Aviseringar och incidenter i Microsoft Defender XDR
Microsoft Defender för molnet är nu integrerat med Microsoft Defender XDR. Med den här integreringen kan säkerhetsteam komma åt Defender för molnet aviseringar och incidenter i Microsoft Defender-portalen. Den här integreringen ger bättre kontext till undersökningar som omfattar molnresurser, enheter och identiteter.
Samarbetet med Microsoft Defender XDR gör det möjligt för säkerhetsteam att få en fullständig bild av en attack, inklusive misstänkta och skadliga händelser som inträffar i molnmiljön. Säkerhetsteam kan uppnå det här målet genom omedelbara korrelationer mellan aviseringar och incidenter.
Microsoft Defender XDR erbjuder en omfattande lösning som kombinerar skydds-, identifierings-, undersöknings- och svarsfunktioner. Lösningen skyddar mot attacker på enheter, e-post, samarbete, identitet och molnappar. Våra identifierings- och undersökningsfunktioner utökas nu till molnentiteter, vilket ger säkerhetsåtgärdsteamen en enda glasruta för att avsevärt förbättra drifteffektiviteten.
Incidenter och aviseringar är nu en del av Microsoft Defender XDR:s offentliga API. Med den här integreringen kan du exportera säkerhetsaviseringsdata till alla system med hjälp av ett enda API. Som Microsoft Defender för molnet är vi fast beslutna att ge våra användare bästa möjliga säkerhetslösningar, och den här integreringen är ett viktigt steg mot att uppnå det målet.
Undersökningsupplevelse i Microsoft Defender XDR
I följande tabell beskrivs identifierings- och undersökningsupplevelsen i Microsoft Defender XDR med Defender för molnet aviseringar.
| Område | beskrivning |
|---|---|
| Incidenter | Alla Defender för molnet incidenter är integrerade i Microsoft Defender XDR. – Sökning efter molnresurstillgångar i incidentkön stöds. – Diagrammet över angreppsberättelsen visar molnresursen. – Fliken Tillgångar på en incidentsida visar molnresursen. – Varje virtuell dator har en egen entitetssida som innehåller alla relaterade aviseringar och aktiviteter. Det finns inga dupliceringar av incidenter från andra Defender-arbetsbelastningar. |
| Aviseringar | Alla Defender för molnet aviseringar, inklusive aviseringar för flera moln, interna och externa leverantörer, är integrerade i Microsoft Defender XDR. Defender for Cloud-aviseringar visas i microsoft Defender XDR-aviseringskön. Microsoft Defender XDR Tillgången cloud resource visas på fliken Tillgång i en avisering. Resurser identifieras tydligt som en Azure-, Amazon- eller Google Cloud-resurs. Defender for Cloud-aviseringar associeras automatiskt med en klientorganisation. Det finns inga dupliceringar av aviseringar från andra Defender-arbetsbelastningar. |
| Aviserings- och incidentkorrelation | Aviseringar och incidenter korreleras automatiskt, vilket ger robust kontext till säkerhetsåtgärdsteam för att förstå hela attackhistorien i molnmiljön. |
| Hotidentifiering | Korrekt matchning av virtuella entiteter till enhetsentiteter för att säkerställa precision och effektiv hotidentifiering. |
| Enhetligt API | Defender för molnet aviseringar och incidenter ingår nu i Microsoft Defender XDR:s offentliga API, vilket gör det möjligt för kunder att exportera sina säkerhetsaviseringar till andra system med hjälp av ett API. |
Läs mer om att hantera aviseringar i Microsoft Defender XDR.
Avancerad jakt i XDR
Microsoft Defender XDR:s avancerade jaktfunktioner utökas till att omfatta Defender för molnet aviseringar och incidenter. Med den här integreringen kan säkerhetsteam jaga alla sina molnresurser, enheter och identiteter i en enda fråga.
Den avancerade jaktupplevelsen i Microsoft Defender XDR är utformad för att ge säkerhetsteam flexibiliteten att skapa anpassade frågor för att jaga efter hot i sin miljö. Integreringen med Defender för molnet aviseringar och incidenter gör det möjligt för säkerhetsteam att jaga efter hot i sina molnresurser, enheter och identiteter.
Med tabellen CloudAuditEvents i avancerad jakt kan du undersöka och jaga kontrollplanshändelser och skapa anpassade identifieringar för att visa misstänkta Azure Resource Manager- och Kubernetes-kontrollplansaktiviteter (KubeAudit).
Med tabellen CloudProcessEvents i avancerad jakt kan du sortera, undersöka och skapa anpassade identifieringar för misstänkta aktiviteter som anropas i molninfrastrukturen med information som innehåller information om processinformationen.
Microsoft Sentinel-kunder
Om du är en Microsoft Sentinel-kund som har registrerat sig för Microsofts SecOps-plattform (Unified Security Operations) matas Defender för molnet aviseringar redan in direkt till Defender XDR. Om du vill dra nytta av inbyggt säkerhetsinnehåll måste du installera den Microsoft Defender för molnet lösningen från Microsoft Sentinel-innehållshubben.
Microsoft Sentinel-kunder som inte använder Microsofts enhetliga SecOps-plattform kan också dra nytta av Defender för molnet integrering med Microsoft 365 Defender på sina arbetsytor med hjälp av Microsoft 365 Defender-incident- och aviseringsanslutningen.
Först måste du aktivera incidentintegrering i din Microsoft 365 Defender-anslutningsapp.
Aktivera sedan den klientbaserade dataanslutningsappen Microsoft Defender för molnet (förhandsversion) för att synkronisera dina prenumerationer med dina klientbaserade Defender för molnet incidenter för att strömma via anslutningsprogrammet för Microsoft 365 Defender-incidenter.
Den klientbaserade dataanslutningsappen Microsoft Defender för molnet (förhandsversion) är tillgänglig via Microsoft Defender för molnet lösning version 3.0.0 från Microsoft Sentinel-innehållshubben. Om du har en tidigare version av den här lösningen rekommenderar vi att du uppdaterar din lösningsversion. Om du fortfarande har den prenumerationsbaserade Microsoft Defender för molnet (äldre) dataanslutningen aktiverad rekommenderar vi att du kopplar från anslutningsappen för att förhindra duplicering av aviseringar i loggarna.
Vi rekommenderar också att du inaktiverar alla analysregler som skapar incidenter från dina Microsoft Defender för molnet aviseringar direkt. Använd Microsoft Sentinel-automatiseringsregler för att stänga incidenter omedelbart och förhindra att specifika typer av Defender för molnet aviseringar blir incidenter, eller använda de inbyggda justeringsfunktionerna i Microsoft Defender-portalen för att förhindra att aviseringar blir incidenter.
Om du har integrerat dina Microsoft 365 Defender-incidenter i Microsoft Sentinel och vill behålla sina prenumerationsbaserade inställningar och undvika klientbaserad synkronisering kan du välja bort synkronisering av incidenter och aviseringar med hjälp av Microsoft 365 Defender-anslutningsappen.
Mer information finns i:
- Identifiera och hantera innehåll i Microsoft Sentinel
- Mata in Microsoft Defender för molnet incidenter med Microsoft Defender XDR-integrering
- Microsoft Defender för molnet datasäkerhet.