你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender XDR 中的警报和事件

Microsoft Defender for Cloud 现已与 Microsoft Defender XDR 集成。 此集成使安全团队可以访问 Microsoft Defender 门户中的 Defender for Cloud 警报和事件。 该集成为跨云资源、设备和标识的调查提供了更丰富的上下文。

与 Microsoft Defender XDR 的合作伙伴关系使安全团队能够全面了解攻击,包括在云环境中发生的可疑和恶意事件。 安全团队可以通过直接关联警报和事件来实现此目标。

Microsoft Defender XDR 提供了一个全面的解决方案,将保护、检测、调查和响应功能结合使用。 该解决方案可防范对设备、电子邮件、协作、标识和云应用的攻击。 我们的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,可以显著提高其运营效率。

事件和警报现在是 Microsoft Defender XDR 的公共 API 的一部分。 这种集成允许使用单个 API 将安全警报数据导出到任何系统。 作为 Microsoft Defender for Cloud 的开发者,我们致力于为用户提供最佳的安全解决方案,这种集成是实现该目标的重要一步。

Microsoft Defender XDR 中的调查体验

下表介绍了在 Microsoft Defender XDR 中使用 Defender for Cloud 警报进行检测和调查的体验。

范围 说明
事故 所有 Defender for Cloud 事件都已集成到 Microsoft Defender XDR。
- 支持在事件队列中搜索云资源资产。
- 攻击情景图表显示云资源。
- 事件页中的“资产”选项卡显示云资源。
- 每个虚拟机都有自己的实体页面,其中包含所有相关的警报和活动。

其他 Defender 工作负荷中不存在重复事件。
警报 所有 Defender for Cloud 警报(包括多云、内部和外部提供程序的警报)都集成到 Microsoft Defender XDR。 Defender for Cloud 警报在 Microsoft Defender XDR 警报队列上显示。
Microsoft Defender XDR
cloud resource 资产显示在警报的“资产”选项卡中。 资源明确标识为 Azure、Amazon 或 Google Cloud 资源。

Defender for Cloud 警报会自动与租户关联。

其他 Defender 工作负荷中不存在重复警报。
警报和事件关联 警报和事件自动关联,为安全运营团队提供强大的上下文,让其了解其云环境中的完整攻击情景。
威胁检测 虚拟实体与设备实体精准匹配,确保威胁检测精准有效。
Unified API Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API 中,客户可使用一个 API 将其安全警报数据导出到其他系统。

了解有关在 Microsoft Defender XDR 中处理警报的详细信息。

XDR 中的高级搜寻

Microsoft Defender XDR 的高级搜寻功能已扩展为包括 Defender for Cloud 警报和事件。 此集成允许安全团队在单个查询中搜寻其所有云资源、设备和标识。

Microsoft Defender XDR 中的高级搜寻体验旨在为安全团队提供创建自定义查询的灵活性,以在其环境中搜寻威胁。 与 Defender for Cloud 警报和事件的集成允许安全团队在其云资源、设备和标识中搜寻威胁。

在高级搜寻中使用 CloudAuditEvents 表,可以调查搜寻控制面板事件,并创建自定义检测来显示可疑的 Azure 资源管理器和 Kubernetes (KubeAudit) 控制平面活动。  

在高级搜寻中使用 CloudProcessEvents 表,可以对云基础结构中调用的可疑活动进行会审和调查,并创建自定义检测,其中包含有关流程详细信息的信息。   

Microsoft Sentinel 客户

如果你是已加入 Microsoft 统一安全运营 (SecOps) 平台的 Microsoft Sentinel 客户,Defender for Cloud 警报已直接引入 Defender XDR。 若要从内置安全内容中受益,请确保从 Microsoft Sentinel 内容中心安装 Microsoft Defender for Cloud 解决方案。

未使用 Microsoft 的统一 SecOps 平台的 Microsoft Sentinel 客户也可以在其工作区中使用 Microsoft 365 Defender 事件和警报连接器,从 Defender for Cloud 与 Microsoft 365 Defender 的集成中受益

首先,需要在 Microsoft 365 Defender 连接器中启用事件集成

然后,启用基于租户的 Microsoft Defender for Cloud(预览版)数据连接器,将订阅与基于租户的 Defender for Cloud 事件同步,以通过 Microsoft 365 Defender 事件连接器进行流式传输。

基于租户的 Microsoft Defender for Cloud(预览版)数据连接器通过 Microsoft Sentinel 内容中心中的 Microsoft Defender for Cloud 解决方案版本 3.0.0 提供。 如果你有此解决方案的早期版本,建议更新解决方案版本。 如果你仍然启用了基于订阅的 Microsoft Defender for Cloud(旧版)数据连接器,建议断开连接器的连接,以防止在日志中复制警报。

我们还建议禁用直接从 Microsoft Defender for Cloud 警报创建事件的任何分析规则。 使用 Microsoft Sentinel 自动化规则立即关闭事件,并防止特定类型的 Defender for Cloud 警报成为事件,或使用 Microsoft Defender 门户中的内置优化功能来防止警报成为事件。

如果将 Microsoft 365 Defender 事件集成到 Microsoft Sentinel,并希望保留其基于订阅的设置并避免基于租户的同步,可以使用 Microsoft 365 Defender 连接器选择退出同步事件和警报

有关详细信息,请参阅:

安全警报 - 参考指南