Mata in Microsoft Defender för molnet-aviseringar till Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel

Microsoft Defender för molnet integrerade molnarbetsbelastningsskydd kan du identifiera och snabbt svara på hot i hybrid- och multimolnsarbetsbelastningar. Med Microsoft Defender för molnet-anslutningsappen kan du mata in säkerhetsaviseringar från Defender för molnet till Microsoft Sentinel, så att du kan visa, analysera och svara på Defender-aviseringar och de incidenter som de genererar i en bredare organisatorisk hotkontext.

Microsoft Defender för molnet Defender-abonnemang aktiveras per prenumeration. Även om Microsoft Sentinels äldre anslutningsapp för Defender för molnet Apps också är konfigurerad per prenumeration kan du i förhandsversionen av den klientbaserade Microsoft Defender för molnet-anslutningsappen samla in Defender för molnet-aviseringar över hela klientorganisationen utan att behöva aktivera var och en av dem prenumeration separat. Den klientbaserade anslutningsappen fungerar också med Defender för molnet integrering med Microsoft Defender XDR för att säkerställa att alla dina Defender för molnet-aviseringar ingår fullt ut i alla incidenter som du får via Microsoft Defender XDR-incidentintegrering.

• Aviseringssynkronisering:

  • När du ansluter Microsoft Defender för molnet till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När till exempel en avisering stängs i Defender för molnet visas aviseringen som stängd även i Microsoft Sentinel.

  • Om du ändrar status för en avisering i Defender för molnet påverkas inte statusen för microsoft Sentinel-incidenter som innehåller Microsoft Sentinel-aviseringen, bara för själva aviseringen.

• Dubbelriktad aviseringssynkronisering: Om du aktiverar dubbelriktad synkronisering synkroniseras automatiskt statusen för ursprungliga säkerhetsaviseringar med statusen för de Microsoft Sentinel-incidenter som innehåller dessa aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller säkerhetsaviseringar stängs stängs motsvarande ursprungliga avisering i Microsoft Defender för molnet automatiskt.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Kommentar

Anslutningsappen stöder inte synkronisering av aviseringar från prenumerationer som ägs av andra klienter, även när Lighthouse är aktiverat för dessa klienter.

Förutsättningar

• Du måste använda Microsoft Sentinel i Azure Portal. Om du är registrerad på Microsofts plattform för enhetliga säkerhetsåtgärder (SecOps) matas Defender för molnet aviseringar redan in i Microsoft Defender XDR, och den klientbaserade dataanslutningsappen Microsoft Defender för molnet (förhandsversion) visas inte på sidan Dataanslutningar i Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

  Om du är registrerad på Microsofts enhetliga SecOps-plattform vill du fortfarande installera den Microsoft Defender för molnet lösningen för att använda inbyggt säkerhetsinnehåll med Microsoft Sentinel.

  Om du använder Microsoft Sentinel i Defender-portalen utan Microsoft Defender XDR är den här proceduren fortfarande relevant för dig.

• Du måste ha följande roller och behörigheter:

  • Du måste ha läs- och skrivbehörigheter på din Microsoft Sentinel-arbetsyta.

  • Du måste ha rollen Deltagare eller Ägare för den prenumeration som du vill ansluta till Microsoft Sentinel.

  • Om du vill aktivera dubbelriktad synkronisering måste du ha rollen Deltagare eller Säkerhetsadministratör för den relevanta prenumerationen.

• Du måste aktivera minst en plan inom Microsoft Defender för molnet för varje prenumeration där du vill aktivera anslutningsappen. Om du vill aktivera Microsoft Defender-planer för en prenumeration måste du ha rollen Säkerhetsadministratör för den prenumerationen.

• Du måste SecurityInsights ha resursprovidern registrerad för varje prenumeration där du vill aktivera anslutningsappen. Läs vägledningen om registreringsstatus för resursprovidern och hur du registrerar den.

Anslut till Microsoft Defender för molnet

1. Installera lösningen för Microsoft Defender för molnet från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

2. Välj Anslutningsappar för konfigurationsdata>.

3. På sidan Dataanslutningsprogram väljer du antingen den prenumerationsbaserade Microsoft Defender för molnet (äldre) eller anslutningsappen klientbaserad Microsoft Defender för molnet (förhandsversion) och väljer sedan Sidan Öppna anslutningsapp.

4. Under Konfiguration visas en lista över prenumerationerna i din klientorganisation och status för deras anslutning till Microsoft Defender för molnet. Välj växlingsknappen Status bredvid varje prenumeration vars aviseringar du vill strömma till Microsoft Sentinel. Om du vill ansluta flera prenumerationer samtidigt kan du göra detta genom att markera kryssrutorna bredvid relevanta prenumerationer och sedan välja knappen Anslut i fältet ovanför listan.

   • Kryssrutorna och Connect-växlarna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
   • Knappen Anslut är endast aktiv om kryssrutan för minst en prenumeration har markerats.

5. Om du vill aktivera dubbelriktad synkronisering för en prenumeration letar du upp prenumerationen i listan och väljer Aktiverad i listrutan i kolumnen Dubbelriktad synkronisering . Om du vill aktivera dubbelriktad synkronisering på flera prenumerationer samtidigt markerar du kryssrutorna och väljer knappen Aktivera dubbelriktad synkronisering i fältet ovanför listan.

   • Kryssrutorna och listrutorna är endast aktiva för de prenumerationer som du har nödvändiga behörigheter för.
   • Knappen Aktivera dubbelriktad synkronisering är endast aktiv om kryssrutan för minst en prenumeration har markerats.

6. I kolumnen Microsoft Defender-planer i listan kan du se om Microsoft Defender-planer är aktiverade för din prenumeration, vilket är en förutsättning för att aktivera anslutningsappen.

   Värdet för varje prenumeration i den här kolumnen är antingen tomt, vilket innebär att inga Defender-planer är aktiverade, Alla aktiverade eller Vissa aktiverade. De som säger Vissa aktiverade har också en Aktivera alla-länk som du kan välja, som tar dig till din Microsoft Defender för molnet konfigurationsinstrumentpanel för den prenumerationen, där du kan välja Defender-planer att aktivera.

   Länken Aktivera Microsoft Defender för alla prenumerationer i fältet ovanför listan tar dig till din Microsoft Defender för molnet Komma igång sida, där du kan välja vilka prenumerationer som ska aktivera Microsoft Defender för molnet helt och hållet. Till exempel:

   

7. Du kan välja om du vill att aviseringarna från Microsoft Defender för molnet ska generera incidenter automatiskt i Microsoft Sentinel. Under Skapa incidenter väljer du Aktiverad för att aktivera standardanalysregeln som automatiskt skapar incidenter från aviseringar. Du kan sedan redigera den här regeln under Analys på fliken Aktiva regler .

   Dricks

   När du konfigurerar anpassade analysregler för aviseringar från Microsoft Defender för molnet bör du överväga aviseringens allvarlighetsgrad för att undvika att öppna incidenter för informationsaviseringar.

   Informationsaviseringar i Microsoft Defender för molnet utgör inte en säkerhetsrisk på egen hand och är endast relevanta i samband med en befintlig öppen incident. Mer information finns i Säkerhetsaviseringar och incidenter i Microsoft Defender för molnet.

Hitta och analysera dina data

Säkerhetsaviseringar lagras i tabellen SecurityAlert på Log Analytics-arbetsytan. Om du vill köra frågor mot säkerhetsaviseringar i Log Analytics kopierar du följande till frågefönstret som utgångspunkt:

SecurityAlert 
| where ProductName == "Azure Security Center"

Aviseringssynkronisering i båda riktningarna kan ta några minuter. Ändringar i status för aviseringar kanske inte visas omedelbart.

Mer användbara exempelfrågor, analysregelmallar och rekommenderade arbetsböcker finns på fliken Nästa steg på anslutningssidan.

Relaterat innehåll

I det här dokumentet har du lärt dig hur du ansluter Microsoft Defender för molnet till Microsoft Sentinel och synkroniserar aviseringar mellan dem. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång identifiera hot med Microsoft Sentinel.
• Skriv egna regler för att identifiera hot.