Microsoft Defender 门户中的 Microsoft Defender for Cloud

适用于:

Microsoft Defender for Cloud 现在是 Microsoft Defender XDR 的一部分。 安全团队现在可以在 Microsoft Defender 门户中访问 Defender for Cloud 警报和事件,为跨云资源、设备和标识的调查提供更丰富的上下文。 此外,安全团队可以通过即时关联警报和事件来全面了解攻击,包括云环境中发生的可疑和恶意事件。

Microsoft Defender 门户结合了保护、检测、调查和响应功能,可保护对设备、电子邮件、协作、标识和云应用的攻击。 门户的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,以显著提高其运营效率。

此外,Defender for Cloud 事件和警报现在是 Microsoft Defender XDR 公共 API 的一部分。 此集成允许使用单个 API 将安全警报数据导出到任何系统。

先决条件

若要确保在 Microsoft Defender 门户中访问 Defender for Cloud 警报,必须订阅 连接 Azure 订阅中列出的任何计划。

所需权限

注意

对于整个租户,查看 Defender for Cloud 警报和关联的权限是自动的。 不支持查看特定订阅。 可以使用 警报订阅 ID 筛选器查看与警报和事件队列中特定 Defender for Cloud 订阅关联的 Defender for Cloud 警报。 详细了解 筛选器

集成只能通过应用适用于 Defender for Cloud 的相应 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) 角色来实现。 若要在没有 Defender XDR Unified RBAC 的情况下查看 Defender for Cloud 警报和关联,你必须是 Azure Active Directory 中的全局管理员或安全管理员。

重要

全局管理员是一种高特权角色,在无法使用现有角色时,应限制为方案。 Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。

Microsoft Defender 门户中的调查体验

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

以下部分介绍使用 Defender for Cloud 警报在 Microsoft Defender 门户中的检测和调查体验。

领域 说明
事件 所有 Defender for Cloud 事件都将集成到 Microsoft Defender 门户。

- 支持在 事件队列 中搜索云资源资产。
- 攻击情景 图将显示云资源。
- 事件页中的 “资产”选项卡 将显示云资源。
- 每个虚拟机都有自己的设备页,其中包含所有相关的警报和活动。

其他 Defender 工作负载的事件不会重复。
警报 所有 Defender for Cloud 警报(包括多云、内部和外部提供商的警报)都将集成到 Microsoft Defender 门户。 Defender for Cloud 警报将显示在 Microsoft Defender 门户 警报队列中。

云资源资产将显示在警报的“资产”选项卡中。 资源明确标识为 Azure、Amazon 或 Google Cloud 资源。

Defender for Cloud 警报将自动与租户关联。

不会有来自其他 Defender 工作负载的警报重复。
警报和事件关联 警报和事件会自动关联,为安全运营团队提供可靠的上下文,以了解其云环境中的完整攻击情况。
威胁检测 虚拟实体与设备实体的精确匹配,以确保精确有效的威胁检测。
统一 API Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API 中,允许客户使用一个 API 将其安全警报数据导出到其他系统。
高级搜寻 (预览版) 有关组织 Defender for Cloud 保护的各种云平台的云审核事件的信息,请参阅高级搜寻中的 CloudAuditEvents 表。

注意

来自 Defender for Cloud 的信息警报未集成到 Microsoft Defender 门户,以便专注于相关的高严重性警报。 此策略可简化事件的管理并减少警报疲劳。

对 sentinel Microsoft用户的影响

Microsoft 将 Microsoft Defender XDR 事件集成 引入 Defender for Cloud 警报的 Sentinel 客户需要进行以下配置更改,以确保不会创建重复的警报和事件:

  • 连接 基于租户的 Microsoft Defender for Cloud (预览版) 连接器,以将来自所有订阅的警报集合与通过 Microsoft Defender XDR 事件连接器流式传输的基于租户的 Defender for Cloud 事件同步。
  • 断开 基于订阅的 Microsoft Defender for Cloud (旧版) 警报连接器,以防止警报重复。
  • 关闭用于从 Defender for Cloud 警报创建事件的任何分析规则( 计划 (常规查询类型) 或 Microsoft安全 (事件创建) 规则)。 Defender for Cloud 事件在 Defender 门户中自动创建并与 Microsoft Sentinel 同步。
  • 如有必要, 请使用自动化规则 关闭干扰事件,或使用 Defender 门户中的内置优化功能 来抑制某些警报。

还应注意以下更改:

  • 删除了将警报与 Microsoft Defender 门户事件关联的操作。

有关详细信息,请参阅 通过 Microsoft Defender XDR 集成引入 Microsoft Defender for Cloud 事件

关闭 Defender for Cloud 警报

默认情况下,Defender for Cloud 的警报处于打开状态。 若要维护基于订阅的设置并避免基于租户的同步或选择退出体验,请执行以下步骤:

  1. 在 Microsoft Defender 门户中,转到 “设置Microsoft>Defender XDR”。
  2. “警报服务设置”中,查找 Microsoft Defender for Cloud 警报
  3. 选择“ 无警报 ”可关闭所有 Defender for Cloud 警报。 选择此选项将停止将新的 Defender for Cloud 警报引入门户。 以前引入的警报将保留在警报或事件页中。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区