Прием оповещений Microsoft Defender для облака в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel

интегрированные средства защиты облачных рабочих нагрузок Microsoft Defender для облака позволяют обнаруживать и быстро реагировать на угрозы в гибридных и многооблачных рабочих нагрузках. Соединитель Microsoft Defender для облака позволяет получать оповещения системы безопасности из Defender для облака в Microsoft Sentinel, чтобы просматривать, анализировать и реагировать на оповещения Defender, а также инциденты, которые они создают, в более широком контексте угроз организации.

Microsoft Defender для облака планы Defender включены для каждой подписки. Хотя устаревший соединитель Microsoft Sentinel для приложений Defender для облака также настроен для каждой подписки, соединитель Microsoft Defender для облака на основе клиента в предварительной версии позволяет собирать оповещения Defender для облака по всему клиенту без необходимости включать каждый из них. подписка отдельно. Соединитель на основе клиента также работает с интеграцией Defender для облака с XDR в Microsoft Defender, чтобы убедиться, что все Defender для облака оповещения полностью включены в любые инциденты, которые вы получаете через интеграцию инцидентов XDR в Microsoft Defender.

• Синхронизация оповещений:

  • При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности, принимаемых в Microsoft Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрыто в Defender для облака, это оповещение также отображается как закрытое в Microsoft Sentinel.

  • Изменение состояния оповещения в Defender для облака не повлияет на состояние любых инцидентов Microsoft Sentinel, содержащих оповещение Microsoft Sentinel, только самого оповещения.

• Двунаправленная синхронизация оповещений: включение двунаправленной синхронизации автоматически синхронизирует состояние исходных оповещений системы безопасности с инцидентами Microsoft Sentinel, содержащими эти оповещения. Например, если инцидент Microsoft Sentinel, содержащий оповещения системы безопасности, закрыт, соответствующий исходный оповещение закрывается в Microsoft Defender для облака автоматически.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Примечание.

Соединитель не поддерживает синхронизацию оповещений из подписок, принадлежащих другим клиентам, даже если Lighthouse включен для этих клиентов.

Необходимые компоненты

• Необходимо использовать Microsoft Sentinel в портал Azure. Если вы подключены к единой платформе безопасности Майкрософт (SecOps), Defender для облака оповещения уже приемываются в Microsoft Defender XDR, а соединитель данных на основе клиента Microsoft Defender для облака (предварительная версия) не указан на странице соединителей данных на портале Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

  Если вы подключены к единой платформе SecOps корпорации Майкрософт, вы по-прежнему хотите установить решение Microsoft Defender для облака для использования встроенного содержимого безопасности с Microsoft Sentinel.

  Если вы используете Microsoft Sentinel на портале Defender без XDR в Microsoft Defender, эта процедура по-прежнему актуальна для вас.

• У вас должны быть следующие роли и разрешения:

  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

  • У вас должна быть роль участника или владельца подписки, которую вы хотите подключить к Microsoft Sentinel.

  • Чтобы включить двунаправленную синхронизацию, вы должны иметь роль Участник или Администратор безопасности в соответствующей подписке.

• Необходимо включить по крайней мере один план в Microsoft Defender для облака для каждой подписки, в которой необходимо включить соединитель. Чтобы включить планы Microsoft Defender в подписке, вы должны иметь роль Администратор безопасности для нее.

• Вам потребуется SecurityInsights , чтобы поставщик ресурсов был зарегистрирован для каждой подписки, в которой требуется включить соединитель. Ознакомьтесь с рекомендациями по состоянию регистрации поставщика ресурсов и способам его регистрации.

Подключение к Microsoft Defender для облака

1. В Microsoft Sentinel установите решение для Microsoft Defender для облака из Центра содержимого. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

2. Выберите соединители данных конфигурации>.

3. На странице соединителей данных выберите Microsoft Defender для облака на основе подписки (устаревшая версия) или соединитель на основе клиента Microsoft Defender для облака (предварительная версия) и выберите страницу "Открыть соединитель".

4. В разделе "Конфигурация" вы увидите список подписок в клиенте и состояние подключения к Microsoft Defender для облака. Выберите переключатель Состояние рядом с каждой подпиской, чьи оповещения требуется передать в Microsoft Sentinel в потоковом режиме. Если вы хотите подключить сразу несколько подписок, это можно сделать, установив флажки рядом с соответствующими подписками, а затем нажав кнопку Подключить на панели над списком.

   • Флажки и переключатели подключения активны только в подписках, для которых у вас есть необходимые разрешения.
   • Кнопка "Подключить " активна только в том случае, если установлен флажок хотя бы одной подписки.

5. Чтобы включить двунаправленную синхронизацию для подписки, найдите эту подписку в списке и затем выберите Enabled (Включено) в раскрывающемся списке в столбце Bi-directional sync (Двунаправленная синхронизация). Чтобы включить двунаправленную синхронизацию для нескольких подписок одновременно, установите их флажки и нажмите кнопку Enable bi-directional sync (Включить двунаправленную синхронизацию) на панели над списком.

   • Флажки и раскрывающиеся списки активны только в подписках, для которых у вас есть необходимые разрешения.
   • Кнопка "Включить двунаправленную синхронизацию" активна только в том случае, если установлен флажок хотя бы одной подписки.

6. В столбце планов Microsoft Defender списка можно увидеть, включены ли планы Microsoft Defender в подписке, что является необходимым условием для включения соединителя.

   Значение каждой подписки в этом столбце либо пустое, то есть планы Defender не включены, все включены или включены некоторые. Те, которые говорят, что некоторые включены также имеют ссылку "Включить все, что можно выбрать", которая позволяет перейти к панели мониторинга конфигурации Microsoft Defender для облака для этой подписки, где можно выбрать планы Defender для включения.

   Кнопка "Включить Microsoft Defender для всех подписок" на панели над списком позволяет перейти на страницу Microsoft Defender для облака "Начало работы", где можно выбрать, какие подписки будут полностью включать Microsoft Defender для облака. Например:

   

7. Вы можете выбрать, будут ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе Create incidents (Создание инцидентов) выберите Включено, чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты на основе оповещений. Позднее это правило можно будет изменить в разделе Analytics (Аналитика) на вкладке Активные правила (Active rules).

   Совет

   При выборе настраиваемых правил аналитики для оповещений из Microsoft Defender для облака учитывайте серьезность предупреждения, чтобы избежать открытия инцидентов для информационных оповещений.

   Информационные оповещения в Microsoft Defender для облака сами по себе не представляют угрозу безопасности и важны только в контексте существующего открытого инцидента. Подробную информацию см. в статье Оповещения и инциденты, связанные с безопасностью, в Microsoft Defender для облака.

Проверка и анализ данных

Оповещения по безопасности хранятся в таблице SecurityAlert в рабочей области Log Analytics. Чтобы запросить оповещения по безопасности в Log Analytics, в качестве отправной точки скопируйте в окно запроса следующее:

SecurityAlert 
| where ProductName == "Azure Security Center"

Синхронизация оповещений в обоих направлениях может занять несколько минут. Изменения состояния оповещений могут отображаться не сразу.

Перейдите на вкладку "Дальнейшие действия " на странице соединителя для получения более полезных примеров запросов, шаблонов правил аналитики и рекомендуемых книг.

Связанный контент

В этом документе описано, как подключить Microsoft Defender для облака к Microsoft Sentinel и синхронизировать оповещения между ними. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
• Создавайте собственные правила для обнаружения угроз.