Microsoft Defender XDR 中的警示和事件
適用於雲端的 Microsoft Defender 現在已與 Microsoft Defender XDR 整合。 此整合可讓安全性小組在 Microsoft Defender 入口網站內存取適用於雲端的 Defender 警示和事件。 此整合可跨雲端資源、裝置和身分識別提供更豐富的調查內容。
與 Microsoft Defender XDR 的合作可讓安全性小組了解攻擊的全貌,包括在其雲端環境中發生的可疑和惡意事件。 安全性小組可以透過警示和事件的即時相互關聯來完成此目標。
Microsoft Defender XDR 提供結合了保護、偵測、調查和回應功能的全方位解決方案。 解決方案可防範裝置、電子郵件、共同作業、身分識別和雲端應用程式上的攻擊。 我們的偵測和調查功能現在已延伸至雲端實體,為安全性作業小組提供單一窗口,以大幅提升其營運效率。
事件和警示現在是 Microsoft Defender XDR 公用 API 的一部分。 此整合允許使用單一 API 將安全性警示資料匯出至任何系統。 身為適用於雲端的 Microsoft Defender,我們致力於為使用者提供最佳的安全性解決方案,而此整合是達成該目標的重要步驟。
Microsoft Defender XDR 中的調查體驗
下表描述 Microsoft Defender XDR 搭配適用於雲端的 Defender 警示的偵測和調查體驗。
區域 | 描述 |
---|---|
事故 | 所有適用於雲端的 Defender 事件都會整合至 Microsoft Defender XDR。 - 支援搜尋事件佇列中的雲端資源資產。 - 攻擊案例圖表會顯示雲端資源。 - 事件頁面中的資產索引標籤會顯示雲端資源。 - 每個虛擬機器都有自己的實體頁面,其中包含所有相關的警示和活動。 不會有來自其他 Defender 工作負載事件的重複項目。 |
警示 | 所有適用於雲端的 Defender 警示,包括多雲端、內部和外部提供者的警示,都已整合至 Microsoft Defender XDR。 適用於雲端的 Defender 警示會顯示在 Microsoft Defender XDR 警示佇列上。 Microsoft Defender XDR cloud resource 資產會顯示在警示的 [資產] 索引標籤中。 資源會清楚地識別為 Azure、Amazon 或 Google Cloud 資源。 適用於雲端的 Defender 警示會自動與租用戶相關聯。 不會有來自其他 Defender 工作負載的警示重複項目。 |
警示和事件相互關聯 | 警示和事件會自動相互關聯,為安全性作業小組提供強固的內容,以了解其雲端環境中的完整攻擊案例。 |
威脅偵測 | 精確比對虛擬實體與裝置實體,以確保精確且有效的威脅偵測。 |
Unified API | 適用於雲端的 Defender 警示和事件現在包含在 Microsoft Defender XDR 的公用 API 中,讓客戶能夠使用一個 API 將安全性警示資料匯出至其他系統。 |
深入了解在 Microsoft Defender XDR 中處理警示。
延伸偵測及回應中的進階搜捕
Microsoft Defender 全面偵測回應的進階搜捕功能延伸為包含適用於雲端的 Defender 警示和事件。 這項整合可讓安全性小組在單一查詢中搜捕其所有雲端資源、裝置和身分識別。
Microsoft Defender 全面偵測回應中的進階搜捕體驗旨在為安全性小組提供彈性,以建立自訂查詢來搜捕其環境中的威脅。 與適用於雲端的 Defender 警示和事件整合可讓安全性小組在其雲端資源、裝置和身分識別中搜捕威脅。
進 階搜捕中的 CloudAuditEvents 數據表 可讓您透過控制平面事件調查和搜捕,並建立自定義偵測來呈現可疑的 Azure Resource Manager 和 Kubernetes (KubeAudit) 控制平面活動。
進 階搜捕中的 CloudProcessEvents 數據表 可讓您對雲端基礎結構中叫用的可疑活動進行分級、調查和建立自定義偵測,其中包含程式詳細數據的詳細資訊。
Sentinel 客戶
Microsoft Sentinel 客戶可以使用 Microsoft 365 Defender 事件和警示連接器,在其工作區中受益於適用於雲端的 Defender 與 Microsoft 365 Defender 整合。
首先,您需要在 Microsoft 365 Defender 連接器中啟用事件整合。
然後,讓 Tenant-based Microsoft Defender for Cloud (Preview)
連接器將您的訂用帳戶與您的租用戶型適用於雲端的 Defender 事件同步處理,以透過 Microsoft 365 Defender 事件連接器串流。
連接器可透過內容中樞的適用於雲端的 Microsoft Defender 解決方案 3.0.0 版取得。 如果您有此解決方案的舊版,您可以在內容中樞中升級它。
如果您已啟用舊版訂用帳戶型適用於雲端的 Microsoft Defender 警示連接器 (如 Subscription-based Microsoft Defender for Cloud (Legacy)
所示),建議您中斷連接器,以防止在記錄中重複出現警示。
建議您停用已啟用 (已排程或透過 Microsoft 建立規則) 的分析規則,使其無法從適用於雲端的 Defender 警示建立事件。
您可以使用自動化規則以立即關閉事件,並防止特定類型的適用於雲端的 Defender 警示成為事件。 您也可以使用 Microsoft 365 Defender 入口網站中的內建微調功能,以防止警示成為事件。
將 Microsoft 365 Defender 事件整合至 Sentinel 並想要保留訂用帳戶型設定並避免租用戶型同步處理的客戶可以透過 Microsoft 365 Defender 連接器選擇退出同步處理事件和警示。
了解適用於雲端的 Defender 和 Microsoft 365 Defender 如何處理您的資料隱私權。