Microsoft Defender XDR 中的警示和事件
適用於雲端的 Microsoft Defender 現在已與 Microsoft Defender XDR 整合。 此整合可讓安全性小組在 Microsoft Defender 入口網站內存取適用於雲端的 Defender 警示和事件。 此整合可跨雲端資源、裝置和身分識別提供更豐富的調查內容。
與 Microsoft Defender XDR 的合作可讓安全性小組了解攻擊的全貌,包括在其雲端環境中發生的可疑和惡意事件。 安全性小組可以透過警示和事件的即時相互關聯來完成此目標。
Microsoft Defender XDR 提供結合了保護、偵測、調查和回應功能的全方位解決方案。 解決方案可防範裝置、電子郵件、共同作業、身分識別和雲端應用程式上的攻擊。 我們的偵測和調查功能現在已延伸至雲端實體,為安全性作業小組提供單一窗口,以大幅提升其營運效率。
事件和警示現在是 Microsoft Defender XDR 公用 API 的一部分。 此整合允許使用單一 API 將安全性警示資料匯出至任何系統。 身為適用於雲端的 Microsoft Defender,我們致力於為使用者提供最佳的安全性解決方案,而此整合是達成該目標的重要步驟。
Microsoft Defender XDR 中的調查體驗
下表描述 Microsoft Defender XDR 搭配適用於雲端的 Defender 警示的偵測和調查體驗。
區域 | 描述 |
---|---|
事故 | 所有適用於雲端的 Defender 事件都會整合至 Microsoft Defender XDR。 - 支援搜尋事件佇列中的雲端資源資產。 - 攻擊案例圖表會顯示雲端資源。 - 事件頁面中的資產索引標籤會顯示雲端資源。 - 每個虛擬機器都有自己的實體頁面,其中包含所有相關的警示和活動。 不會有來自其他 Defender 工作負載事件的重複項目。 |
警示 | 所有適用於雲端的 Defender 警示,包括多雲端、內部和外部提供者的警示,都已整合至 Microsoft Defender XDR。 適用於雲端的 Defender 警示會顯示在 Microsoft Defender XDR 警示佇列上。 Microsoft Defender XDR cloud resource 資產會顯示在警示的 [資產] 索引標籤中。 資源會清楚地識別為 Azure、Amazon 或 Google Cloud 資源。 適用於雲端的 Defender 警示會自動與租用戶相關聯。 不會有來自其他 Defender 工作負載的警示重複項目。 |
警示和事件相互關聯 | 警示和事件會自動相互關聯,為安全性作業小組提供強固的內容,以了解其雲端環境中的完整攻擊案例。 |
威脅偵測 | 精確比對虛擬實體與裝置實體,以確保精確且有效的威脅偵測。 |
Unified API | 適用於雲端的 Defender 警示和事件現在包含在 Microsoft Defender XDR 的公用 API 中,讓客戶能夠使用一個 API 將安全性警示資料匯出至其他系統。 |
深入了解在 Microsoft Defender XDR 中處理警示。
延伸偵測及回應中的進階搜捕
Microsoft Defender 全面偵測回應的進階搜捕功能延伸為包含適用於雲端的 Defender 警示和事件。 這項整合可讓安全性小組在單一查詢中搜捕其所有雲端資源、裝置和身分識別。
Microsoft Defender 全面偵測回應中的進階搜捕體驗旨在為安全性小組提供彈性,以建立自訂查詢來搜捕其環境中的威脅。 與適用於雲端的 Defender 警示和事件整合可讓安全性小組在其雲端資源、裝置和身分識別中搜捕威脅。
進 階搜捕中的 CloudAuditEvents 數據表 可讓您透過控制平面事件調查和搜捕,並建立自定義偵測來呈現可疑的 Azure Resource Manager 和 Kubernetes (KubeAudit) 控制平面活動。
進 階搜捕中的 CloudProcessEvents 數據表 可讓您對雲端基礎結構中叫用的可疑活動進行分級、調查和建立自定義偵測,其中包含程式詳細數據的詳細資訊。
Microsoft Sentinel 客戶
如果您是已上線至 Microsoft 統一安全性作業 (SecOps) 平臺的 Microsoft Sentinel 客戶,適用於雲端的 Defender 警示已直接內嵌至 Defender XDR。 若要受益於內建的安全性內容,請務必從 Microsoft Sentinel 內容中樞安裝 適用於雲端的 Microsoft Defender 解決方案。
Microsoft未使用 Microsoft 統一 SecOps 平臺的 Sentinel 客戶,也可以使用 Microsoft 365 Defender 事件和警示連接器,從其工作區中的 適用於雲端的 Defender 與 Microsoft 365 Defender 整合中獲益。
首先,您必須 在 Microsoft 365 Defender 連接器中啟用事件整合。
然後,啟用租使用者型 適用於雲端的 Microsoft Defender (預覽) 數據連接器,將您的訂用帳戶與您的租使用者型 適用於雲端的 Defender 事件同步處理,以透過 Microsoft 365 Defender 事件連接器進行串流處理。
租使用者型 適用於雲端的 Microsoft Defender (預覽) 資料連接器可從 Microsoft Sentinel 內容中樞透過 適用於雲端的 Microsoft Defender 解決方案 3.0.0 版取得。 如果您有此解決方案的舊版,建議您更新解決方案版本。 如果您仍然已啟用訂用帳戶型 適用於雲端的 Microsoft Defender(舊版)數據連接器,建議您中斷連接器的連線器,以防止在記錄中複製警示。
我們也建議您停用直接從 適用於雲端的 Microsoft Defender 警示建立事件的任何分析規則。 使用Microsoft Sentinel 自動化規則來立即關閉事件,並防止特定類型的 適用於雲端的 Defender 警示成為事件,或使用 Microsoft Defender 入口網站中的內建微調功能,以防止警示成為事件。
如果您已將Microsoft 365 Defender 事件整合至 Microsoft Sentinel,並想要保留其訂用帳戶型設定,並避免租使用者型同步處理可以選擇 不使用同步處理事件和警示 ,並使用 Microsoft 365 Defender 連接器。
如需詳細資訊,請參閱
- 探索及管理 Microsoft Sentinel 現用內容
- 擷取適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應整合
- 適用於雲端的 Microsoft Defender 數據安全性。