Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
si applica a:
Microsoft Defender for Cloud è integrato con Microsoft Defender Extended Detection and Response (XDR). Questa integrazione consente ai team di sicurezza di accedere agli avvisi e agli eventi imprevisti di Defender for Cloud all'interno del portale di Microsoft Defender. Questa integrazione offre un contesto più completo per le indagini che riguardano risorse, dispositivi e identità cloud.
La partnership con Microsoft Defender XDR consente ai team di sicurezza di ottenere il quadro completo di un attacco, inclusi eventi sospetti e dannosi che si verificano nel proprio ambiente cloud. I team di sicurezza possono raggiungere questo obiettivo tramite correlazioni immediate di avvisi e eventi imprevisti.
Microsoft Defender XDR offre una soluzione completa che combina funzionalità di protezione, rilevamento, indagine e risposta. La soluzione protegge da attacchi su dispositivi, posta elettronica, collaborazione, identità e app cloud. Le funzionalità di rilevamento e analisi sono ora estese alle entità cloud, offrendo ai team delle operazioni di sicurezza un unico riquadro di vetro per migliorare significativamente l'efficienza operativa.
Gli eventi imprevisti e gli avvisi fanno ora parte dell'API pubblica di Microsoft Defender XDR. Questa integrazione consente l'esportazione dei dati degli avvisi di sicurezza in qualsiasi sistema usando una singola API. Come Microsoft Defender per il cloud, ci impegniamo a fornire agli utenti le migliori soluzioni di sicurezza possibili e questa integrazione è un passo significativo verso il raggiungimento di tale obiettivo.
Prerequisiti
L'accesso agli avvisi di Defender for Cloud nel portale di Microsoft Defender dipende dai piani di Defender per Cloud abilitati. Altre informazioni sulle diverse protezioni dei piani di Defender for Cloud.
Annotazioni
Le autorizzazioni per visualizzare gli avvisi e le correlazioni di Defender for Cloud sono automatiche per l'intero tenant. La visualizzazione di sottoscrizioni specifiche non è supportata. Usare il filtro ID sottoscrizione avvisi per visualizzare gli avvisi di Defender per il cloud associati a una specifica sottoscrizione di Defender per il cloud nelle code di avvisi ed eventi imprevisti. Altre informazioni sui filtri.
L'integrazione è disponibile solo applicando il ruolo di Microsoft Defender XDR Unified role-based access control (RBAC) appropriato per Defender for Cloud. Per visualizzare gli avvisi e le correlazioni di Defender per il cloud senza il controllo unificato degli accessi in base al ruolo di Defender XDR, è necessario essere un Amministratore Globale o un Amministratore della Sicurezza in Azure Active Directory.
Esperienza di indagine in Microsoft Defender XDR
La tabella seguente descrive l'esperienza di rilevamento e indagine in Microsoft Defender XDR con avvisi Defender per il cloud.
| Zona | Descrizione |
|---|---|
| Eventi imprevisti | Tutti gli eventi imprevisti Defender per il cloud sono integrati in Microsoft Defender XDR. - La ricerca di asset di risorse cloud nella coda degli eventi imprevisti è supportata. - Il grafo della storia di attacco mostra le risorse cloud. - La scheda delle risorse in una pagina di un incidente mostra la risorsa cloud. - Ogni macchina virtuale ha una propria pagina di entità contenente tutti gli avvisi e le attività correlati. Non esistono duplicazioni di eventi imprevisti da altri carichi di lavoro di Defender. |
| Avvisi | Tutti gli avvisi Defender per il cloud, inclusi gli avvisi multicloud, i provider interni ed esterni, sono integrati in Microsoft Defender XDR. Gli avvisi di Defender per il cloud vengono visualizzati nella coda di avvisi di Microsoft Defender XDR. Microsoft Defender XDR L'asset cloud resource viene visualizzato nella scheda Asset di un avviso. Le risorse sono chiaramente identificate come una risorsa Azure, Amazon o Google Cloud. Gli avvisi di Defender for Cloud vengono associati automaticamente a un tenant. Non sono presenti duplicazioni di avvisi di altri carichi di lavoro di Defender. |
| Correlazione di avvisi e eventi imprevisti | Gli avvisi e gli eventi imprevisti vengono correlati automaticamente, fornendo un contesto affidabile ai team delle operazioni di sicurezza per comprendere la storia completa degli attacchi nell'ambiente cloud. |
| Rilevamento delle minacce | Corrispondenza accurata delle entità virtuali alle entità del dispositivo per garantire la precisione e l'efficacia del rilevamento delle minacce. |
| API unificata | Gli avvisi e gli incidenti di Defender per il Cloud sono ora inclusi nell'API pubblica di Microsoft Defender XDR, che consente ai clienti di esportare i dati degli avvisi di sicurezza in altri sistemi usando un'unica API. |
Annotazioni
Gli avvisi informativi di Defender for Cloud non sono integrati nel portale di Microsoft Defender per concentrarsi sugli avvisi rilevanti e di gravità elevata. Questa strategia semplifica la gestione degli eventi imprevisti e riduce l'affaticamento degli avvisi.
Ricerca avanzata in XDR
Le funzionalità di ricerca avanzata di Microsoft Defender XDR sono state ampliate per includere gli avvisi e gli incidenti di Defender per il Cloud. Questa integrazione consente ai team di sicurezza di cercare tutte le risorse, i dispositivi e le identità cloud in una singola query.
L'esperienza di ricerca avanzata in Microsoft Defender XDR è progettata per offrire ai team di sicurezza la flessibilità necessaria per creare query personalizzate per la ricerca di minacce nel proprio ambiente. L'integrazione con gli avvisi e gli eventi imprevisti Defender per il cloud consente ai team di sicurezza di cercare minacce tra le risorse cloud, i dispositivi e le identità.
La tabella CloudAuditEvents nella ricerca avanzata consente di analizzare e cercare gli eventi del piano di controllo e di creare rilevamenti personalizzati per rilevare attività sospette del piano di controllo di Azure Resource Manager e Kubernetes (KubeAudit).
La tabella CloudProcessEvents nella ricerca avanzata consente di valutare, analizzare e creare rilevamenti personalizzati per attività sospette richiamate nell'infrastruttura cloud con informazioni che includono dettagli sul processo.
Clienti di Microsoft Sentinel
I clienti di Microsoft Sentinel che integrano gli eventi imprevisti di Microsoft Defender XDRe inseriscono gli avvisi di Defender for Cloud devono seguire questa procedura per evitare avvisi e eventi imprevisti duplicati.
In Microsoft Sentinel, configurare il connettore dati Microsoft Defender per il cloud basato su tenant (Anteprima). Questo connettore dati è incluso nella soluzione Microsoft Defender for Cloud , disponibile nell'hub del contenuto di Microsoft Sentinel.
Il connettore dati Microsoft Defender per il cloud basato su tenant (Anteprima) sincronizza la raccolta di avvisi da tutte le sottoscrizioni con gli eventi imprevisti di Defender per il cloud basati sul tenant che vengono trasmessi tramite il connettore per eventi imprevisti di Microsoft Defender XDR. Gli eventi imprevisti di Defender for Cloud sono correlati in tutte le sottoscrizioni del tenant.
Se si usano più aree di lavoro di Microsoft Sentinel nel portale di Defender, gli eventi imprevisti correlati di Defender for Cloud vengono trasmessi all'area di lavoro primaria. Per altre informazioni, vedere Più aree di lavoro Microsoft Sentinel nel portale di Defender.
Disconnettere il connettore dati Microsoft Defender for Cloud (legacy) basato sulla sottoscrizione per evitare avvisi duplicati.
Disattivare le regole di analisi usate per creare eventi imprevisti dagli avvisi di Defender per il cloud, siano esse regole pianificate (di tipo query normale) o Microsoft Security (creazione di eventi imprevisti).
Se necessario, usare le regole di automazione per chiudere gli eventi imprevisti rumorosi o usare le funzionalità di ottimizzazione predefinite nel portale di Defender per eliminare determinati avvisi.
Se gli eventi imprevisti di Microsoft Defender XDR sono stati integrati in Microsoft Sentinel e si vogliono mantenere le impostazioni basate sulla sottoscrizione ed evitare la sincronizzazione basata su tenant, rifiutare esplicitamente la sincronizzazione di eventi imprevisti e avvisi da Microsoft Defender XDR:
Nel portale di Microsoft Defender passare a Impostazioni Di > Microsoft Defender XDR.
In Impostazioni del servizio avvisi cercare gli avvisi di Microsoft Defender for Cloud.
Selezionare Nessun avviso per disattivare tutti gli avvisi di Defender per cloud. Selezionando questa opzione si arresta l'inserimento di nuovi avvisi di Defender for Cloud in Microsoft Defender XDR. Gli avvisi inseriti in precedenza rimangono nella pagina degli avvisi o degli eventi imprevisti.
Per altre informazioni, vedi:
- Inserire eventi imprevisti di Microsoft Defender per il cloud con l'integrazione di Microsoft Defender XDR
- Scoprire e gestire contenuti predefiniti di Microsoft Sentinel