Microsoft Defender för molnet i Microsoft Defender-portalen
Gäller för:
Säkerhetsteam som använder Microsoft Defender för molnet kan nu visa aviseringar och incidenter i Defender för molnet i Microsoft Defender-portalen. Detta hjälper säkerhetsteam att få bättre kontext till undersökningar som omfattar molnarbetsbelastningar. Dessutom kan säkerhetsteam få en fullständig bild av en attack, inklusive misstänkta och skadliga händelser som inträffar i molnmiljön, genom omedelbara korrelationer mellan aviseringar och incidenter.
Microsoft Defender-portalen kombinerar funktioner för skydd, identifiering, undersökning och svar för att skydda attacker mot enhets-, e-post-, samarbets-, identitets- och molnappar. Portalens identifierings- och undersökningsfunktioner utökas nu till molnentiteter och erbjuder säkerhetsteam en enda glasruta för att avsevärt förbättra drifteffektiviteten.
Dessutom ingår incidenter och aviseringar i Defender för molnet nu i Microsoft Defender XDR offentliga API. Med den här integreringen kan du exportera säkerhetsaviseringsdata till alla system med hjälp av ett enda API.
Förutsättningar
För att säkerställa åtkomst till Defender för molnet-aviseringar i Microsoft Defender-portalen måste du prenumerera på något av de abonnemang som anges i Anslut dina Azure-prenumerationer.
Nödvändiga behörigheter
Obs!
Behörigheten att visa Aviseringar och korrelationer i Defender för molnet är automatisk för hela klientorganisationen. Visning för specifika prenumerationer stöds inte. Du kan använda aviseringsprenumerations-ID-filtret för att visa Defender for Cloud-aviseringar som är associerade med en specifik Defender för molnet-prenumeration i aviserings- och incidentköerna. Läs mer om filter.
Integreringen är endast tillgänglig genom att använda lämplig Microsoft Defender XDR rollbaserad åtkomstkontroll (RBAC) för Defender för molnet. Om du vill visa aviseringar och korrelationer i Defender för molnet utan Defender XDR Unified RBAC måste du vara global administratör eller säkerhetsadministratör i Azure Active Directory.
Viktigt
Global administratör är en mycket privilegierad roll som bör begränsas till scenarier när du inte kan använda en befintlig roll. Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation.
Undersökningsupplevelse i Microsoft Defender-portalen
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
I följande avsnitt beskrivs identifierings- och undersökningsupplevelsen i Microsoft Defender-portalen med Defender för molnet-aviseringar.
| Område | Beskrivning |
|---|---|
| Incidenter | Alla Defender for Cloud-incidenter kommer att integreras i Microsoft Defender-portalen.
– Sökning efter molnresurstillgångar i incidentkön stöds. – Diagrammet med angreppsberättelsen visar molnresursen. – Fliken Tillgångar på en incidentsida visar molnresursen. – Varje virtuell dator har en egen enhetssida som innehåller alla relaterade aviseringar och aktiviteter. Det kommer inte att finnas någon duplicering av incidenter från andra Defender-arbetsbelastningar. |
| Varningar | Alla Defender for Cloud-aviseringar, inklusive aviseringar för flera moln, interna och externa leverantörer, kommer att integreras i Microsoft Defender-portalen. Defender for Cloud-aviseringar visas i Microsoft Defender portalens aviseringskö.
Molnresurstillgången visas på fliken Tillgång i en avisering. Resurser identifieras tydligt som en Azure-, Amazon- eller Google Cloud-resurs. Defender for Cloud-aviseringar associeras automatiskt med en klientorganisation. Det blir ingen duplicering av aviseringar från andra Defender-arbetsbelastningar. |
| Aviserings- och incidentkorrelation | Aviseringar och incidenter korreleras automatiskt, vilket ger robust kontext till säkerhetsåtgärdsteamen för att förstå hela attackberättelsen i molnmiljön. |
| Hotidentifiering | Korrekt matchning av virtuella entiteter till enhetsentiteter för att säkerställa precision och effektiv hotidentifiering. |
| Enhetligt API | Aviseringar och incidenter i Defender för molnet ingår nu i Microsoft Defender XDR offentliga API, vilket gör det möjligt för kunder att exportera sina säkerhetsaviseringar till andra system med hjälp av ett API. |
| Avancerad jakt (förhandsversion) | Information om händelser för molngranskning för olika molnplattformar som skyddas av organisationens Defender för molnet finns i tabellen CloudAuditEvents i avancerad jakt. |
Obs!
Informationsaviseringar från Defender för molnet är inte integrerade i Microsoft Defender-portalen så att du kan fokusera på relevanta och allvarliga aviseringar. Den här strategin effektiviserar hanteringen av incidenter och minskar varningströttheten.
Påverkan på Microsoft Sentinel användare
Microsoft Sentinel kunder som integrerar Microsoft Defender XDR incidenteroch matar in Defender for Cloud-aviseringar krävs för att göra följande konfigurationsändringar för att säkerställa att dubblettaviseringar och incidenter inte skapas:
- Anslut anslutningsappen klientbaserad Microsoft Defender för molnet (förhandsversion) för att synkronisera insamling av aviseringar från alla dina prenumerationer med klientbaserade Defender for Cloud-incidenter som strömmas via anslutningsappen Microsoft Defender XDR Incidents.
- Koppla från anslutningsappen för prenumerationsbaserade Microsoft Defender för molnaviseringar (äldre) för att förhindra aviseringsdbbletter.
- Inaktivera alla analysregler – antingen schemalagda (vanlig frågetyp) eller Microsofts säkerhetsregler (incidentskapande) – som används för att skapa incidenter från Defender för moln-aviseringar. Defender för molnincidenter skapas automatiskt i Defender-portalen och synkroniseras med Microsoft Sentinel.
- Om det behövs kan du använda automatiseringsregler för att stänga incidenter med störningar eller använda de inbyggda justeringsfunktionerna i Defender-portalen för att förhindra vissa aviseringar.
Följande ändring bör också noteras:
- Åtgärden för att koppla aviseringar till Microsoft Defender-portalincidenter tas bort.
Läs mer i Mata in Microsoft Defender för molnincidenter med Microsoft Defender XDR integrering.
Inaktivera Aviseringar för Defender för molnet
Aviseringarna för Defender för molnet är aktiverade som standard. Utför följande steg för att behålla dina prenumerationsbaserade inställningar och undvika klientbaserad synkronisering eller avanmäla dig från upplevelsen:
- I Microsoft Defender-portalen går du till Inställningar>Microsoft Defender XDR.
- Leta efter Microsoft Defender för molnaviseringar i Aviseringstjänstinställningar.
- Välj Inga aviseringar för att inaktivera alla Defender för moln-aviseringar. Om du väljer det här alternativet stoppas inmatningen av nya Defender för moln-aviseringar till portalen. Aviseringar som tidigare matats in finns kvar på en aviserings- eller incidentsida.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.