你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Microsoft Defender for Cloud 警报引入到 Microsoft Sentinel

通过 Microsoft Defender for Cloud 的集成云工作负载保护,可以检测和快速响应混合与多云工作负载中的威胁。 使用 Microsoft Defender for Cloud 连接器,可以将安全警报从 Defender for Cloud 引入到 Microsoft Sentinel,以便在更广泛的组织威胁情境中查看、分析和响应 Defender 警报及其生成的事件。

每个订阅都启用了 Microsoft Defender for Cloud Defender 计划。 由于也为每个订阅配置了适用于 Defender for Cloud Apps 的 Microsoft Sentinel 的旧版连接器,基于租户的 Microsoft Defender for Cloud 连接器(预览版)可以收集整个租户的 Defender for Cloud 警报,而无需单独启用每个订阅。 基于租户的连接器还与 Defender for Cloud 与 Microsoft Defender XDR 的集成共同来确保所有 Defender for Cloud 警报完全包含在通过 Microsoft Defender XDR 事件集成收到的任何事件中。

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

警报同步

  • 将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 时,引入到 Microsoft Sentinel 中的安全警报的状态将在两个服务之间同步。 例如,当某个警报在 Defender for Cloud 中处于已关闭状态时,该警报在 Microsoft Sentinel 中也会显示为已关闭。

  • 在 Defender for Cloud 中更改警报的状态不会影响包含同步 Microsoft Sentinel 警报的任何 Microsoft Sentinel 事件的状态,只会影响同步警报自身的状态。

双向警报同步

启用双向同步会自动将原始安全警报的状态与包含这些警报的 Microsoft Sentinel 事件的状态进行同步。 例如,当包含安全警报的 Microsoft Sentinel 事件关闭时,会自动在 Microsoft Defender for Cloud 中关闭相应的原始警报。

先决条件

  • 必须对 Microsoft Sentinel 工作区拥有读取和写入权限。

  • 你必须拥有要将其连接到 Microsoft Sentinel 的订阅上的“参与者”或“所有者”角色。

  • 需要在 Microsoft Defender for Cloud 中为你要启用连接器的每个订阅启用至少一个计划。 若要在订阅上启用 Microsoft Defender 计划,必须具有该订阅的“安全管理员”角色。

  • 你需要为要在其中启用连接器的每个订阅注册 SecurityInsights 资源提供程序。 查看有关资源提供程序注册状态和注册方式的指南。

  • 若要启用双向同步,你必须在相关订阅上具有“参与者”或“安全管理员”角色。

  • 从 Microsoft Sentinel 的内容中心安装 Microsoft Defender for Cloud 的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

连接到 Microsoft Defender for Cloud

  1. 安装解决方案后,在 Microsoft Sentinel 中,选择“配置”>“数据连接器”

  2. 在“数据连接器”页中,选择基于订阅的 Microsoft Defender for Cloud(旧版)基于租户的 Microsoft Defender for Cloud(预览版)连接器,然后选择“打开连接器”页

  3. 在“配置”下,你会看到租户中的订阅的列表,以及这些订阅与 Microsoft Defender for Cloud 之间的连接的状态。 选择要将其警报流式传输到 Microsoft Sentinel 中的每个订阅旁的“状态”开关。 如果要一次连接多个订阅,可选中相关订阅旁边的复选框,然后选择列表上方的栏中的“连接”按钮。

    • 复选框和“连接”开关将仅在你拥有所需权限的订阅上处于活动状态。
    • 只有选中了至少一个订阅的复选框时,“连接”按钮才会处于活动状态。
  4. 若要在某个订阅上启用双向同步,请在列表中定位到该订阅,并从“双向同步”列的下拉列表中选择“已启用” 。 若要一次在多个订阅上启用双向同步,请选中它们的复选框,然后在列表上方的栏中选择“启用双向同步”按钮。

    • 复选框和下拉列表将仅在你拥有所需权限的订阅上处于活动状态。
    • 只有选中了至少一个订阅的复选框时,“启用双向同步”按钮才会处于活动状态。
  5. 在列表的“Microsoft Defender 计划”列中,可以看到订阅上是否启用了 Microsoft Defender 计划(这是启用连接器的先决条件)。

    此列中每个订阅的值将为空白(表示未启用任何 Defender 计划)、“已全部启用”或“已部分启用”。 显示了“已部分启用”的订阅还会有一个可供选择的“全部启用”链接,单击该链接可前往该订阅的 Microsoft Defender for Cloud 配置仪表板,你可在其中选择要启用的 Defender 计划。

    使用列表上方的栏中的“为所有订阅启用 Microsoft Defender”链接按钮,可以前往 Microsoft Defender for Cloud 入门页面,在其中选择要一起启用 Microsoft Defender for Cloud 的订阅。 例如:

    Microsoft Defender for Cloud 连接器配置的屏幕截图。

  6. 可以选择是否希望 Microsoft Defender for Cloud 中的警报在 Microsoft Sentinel 中自动生成事件。 在“创建事件”下,选择“启用”以启用自动根据警报创建事件的默认分析规则。 然后,可以在“分析”下的“活动规则”选项卡中编辑此规则。

    提示

    为来自 Microsoft Defender for Cloud 的警报配置自定义分析规则时,请考虑警报严重性,避免为信息性警报创建事件。

    Microsoft Defender for Cloud 中的信息性警报并不代表其自身的安全风险,它们仅与现有的开放事件的上下文有关。 有关更多信息,请参阅 Microsoft Defender for Cloud 中的安全警告和事件

查找并分析数据

注意

双向警报同步可能需要几分钟的时间。 警报状态的更改可能不会立即显示。

  • 安全警报存储在 Log Analytics 工作区中的 SecurityAlert 表中。

  • 若要在 Log Analytics 中查询安全警报,请先将以下内容复制到查询窗口中:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • 如需其他有用的示例查询、分析规则模板和建议的工作簿,请参阅连接器页中的“后续步骤”选项卡。

后续步骤

在本文档中,你已了解如何将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 并在它们之间同步警报。 若要详细了解 Microsoft Sentinel,请参阅以下文章: