Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Applies to:
Microsoft Defender для облака интегрирован с Расширенным обнаружением и ответом Microsoft Defender (XDR). Эта интеграция позволяет командам безопасности получать доступ к оповещениям и инцидентам Defender в Defender на портале Microsoft Defender. Эта интеграция обеспечивает более широкий контекст для исследований, охватывающих облачные ресурсы, устройства и удостоверения.
Партнерство с Microsoft Defender XDR позволяет группам безопасности получить полную картину атаки, включая подозрительные и вредоносные события, которые происходят в облачной среде. Группы безопасности могут достичь этой цели путем немедленной корреляции оповещений и инцидентов.
XDR в Microsoft Defender предлагает комплексное решение, которое объединяет возможности защиты, обнаружения, исследования и реагирования. Решение защищает от атак на устройства, электронную почту, совместную работу, удостоверение и облачные приложения. Наши возможности обнаружения и исследования теперь расширены для облачных сущностей, предлагая группам по операциям безопасности одну панель стекла, чтобы значительно повысить эффективность работы.
Инциденты и оповещения теперь являются частью общедоступного API XDR в Microsoft Defender. Эта интеграция позволяет экспортировать данные оповещений системы безопасности в любую систему с помощью одного API. Как Microsoft Defender для облака, мы стремимся предоставить нашим пользователям лучшие решения для обеспечения безопасности, и эта интеграция является значительным шагом к достижению этой цели.
Prerequisites
Доступ к оповещениям Defender для облака на портале Microsoft Defender зависит от того, какие планы Defender для облака включены. Узнайте больше о различных защитах планов Defender для облака.
Note
Разрешения на просмотр оповещений и корреляций Defender для облака автоматически предоставляются для всего арендатора. Просмотр определенных подписок не поддерживается. Используйте фильтр идентификатор подписки для оповещений для просмотра оповещений Defender для облака, связанных с конкретной подпиской Defender для облака в очередях оповещений и инцидентов. Learn more about filters.
Интеграция доступна только при применении соответствующей ролевой модели управления доступом (RBAC) Microsoft Defender XDR для Defender для Cloud. Для просмотра оповещений и корреляций Defender для облака без Defender XDR unified RBAC необходимо быть глобальным администратором или администратором безопасности в Azure Active Directory.
Опыт расследования в Microsoft Defender XDR
В следующей таблице описывается опыт обнаружения и исследования в Microsoft Defender XDR с оповещениями Defender for Cloud.
| Area | Description |
|---|---|
| Incidents | Все инциденты Microsoft Defender для облака интегрированы в Microsoft Defender XDR. - Searching for cloud resource assets in the incident queue is supported. - The attack story graph shows cloud resource. - The assets tab in an incident page shows the cloud resource. — Каждая виртуальная машина имеет собственную страницу сущности, содержащую все связанные оповещения и действия. Инциденты из других рабочих процессов Defender не дублируются. |
| Alerts | Все оповещения Defender для облака, включая многооблачные, а также оповещения внутренних и внешних поставщиков, интегрируются в Microsoft Defender XDR. Defenders for Cloud alerts show on the Microsoft Defender XDR alert queue. Microsoft Defender XDR Ресурс cloud resource отображается на вкладке "Ресурс" оповещения. Ресурсы четко определены как ресурс Azure, Amazon или Google Cloud. Оповещения Defender для облака автоматически связываются с арендатором. Не существует дублирования оповещений из других функций Defender. |
| Корреляция оповещений и инцидентов | Оповещения и инциденты автоматически сопоставляются, предоставляя надежный контекст группам по операциям безопасности, чтобы понять полную историю атаки в облачной среде. |
| Threat detection | Точное сопоставление виртуальных сущностей с сущностями устройств для обеспечения точности и эффективного обнаружения угроз. |
| Unified API | Оповещения и инциденты Defender для облака теперь включены в общедоступный API Microsoft Defender XDR, что позволяет клиентам экспортировать свои данные оповещений системы безопасности в другие системы с помощью одного API. |
Note
Информационные оповещения от Defender для Cloud не интегрированы в портал Microsoft Defender, чтобы позволить сосредоточиться на соответствующих и оповещениях высокой серьезности. Эта стратегия упрощает управление инцидентами и снижает усталость от оповещений.
Синхронизация состояния оповещения
Когда включена интеграция между Defender для облака и XDR в Microsoft Defender, изменения состояния оповещения синхронизируются между двумя службами со следующими поведениями:
| Scenario | Status synchronization |
|---|---|
| Состояние оповещения Defender для облака изменилось в Defender для облака | Status reflected in Microsoft Defender XDR: Yes |
| Состояние оповещения Microsoft Defender для облака изменилось в Microsoft Defender XDR. | Status reflected in Defender for Cloud: Yes |
| Оповещение Microsoft Defender для конечной точки на облачном ресурсе — статус изменён в Defender для облака | Status reflected in Defender for Cloud: Yes Status reflected in Microsoft Defender XDR: No |
| Оповещение Microsoft Defender для конечных точек о ресурсе в облаке — статус изменен в Microsoft Defender XDR. | Status reflected in Microsoft Defender XDR: Yes Status reflected in Defender for Cloud: No |
Important
- В Defender для облака допустимы только оповещения Defender для облака. Ссылки на оповещения XDR в Microsoft Defender для облака применяются только к оповещениям Microsoft Defender для конечной точки в облачных ресурсах.
- Оповещения Microsoft Defender для конечных точек в облачных ресурсах отображаются как в Defender для облака, так и в Microsoft Defender XDR, но их статусы не синхронизированы между двумя службами.
Расширенный поиск в XDR
Расширенные возможности охоты в Microsoft Defender XDR теперь включают в себя оповещения и инциденты из Defender для облака. Эта интеграция позволяет группам безопасности искать по всем облачным ресурсам, устройствам и учетным записям в одном запросе.
Расширенный интерфейс охоты в XDR в Microsoft Defender предназначен для предоставления группам безопасности гибкости для создания пользовательских запросов для поиска угроз в их среде. Интеграция с оповещениями и инцидентами от Defender для облака позволяет группам безопасности искать угрозы в их облачных ресурсах, устройствах и учётных записях.
The CloudAuditEvents table in advanced hunting allows you to investigate and hunt through control plane events and to create custom detections to surface suspicious Azure Resource Manager and Kubernetes (KubeAudit) control plane activities.
The CloudProcessEvents table in advanced hunting allows you to triage, investigate and create custom detections for suspicious activities that are invoked in your cloud infrastructure with information that includes details on the process details.
Клиенты Microsoft Sentinel
Клиенты Microsoft Sentinel, которые интегрируют инциденты XDR в Microsoft Defenderи принимают оповещения Defender для облака, должны предпринять следующие действия, чтобы предотвратить повторяющиеся оповещения и инциденты.
В Microsoft Sentinel настройте соединитель данных Microsoft Defender для облака (предварительная версия) на базе клиента. Этот соединитель данных включен в решение Microsoft Defender для облака , доступное в центре содержимого Microsoft Sentinel.
Соединитель данных Tenant-based Microsoft Defender для облака (предварительная версия) синхронизирует сбор оповещений из всех ваших подписок с инцидентами, связанными с Tenant-based Defender для облака, которые передаются через соединитель инцидентов Microsoft Defender XDR. Инциденты Defender для облака коррелируются во всех подписках клиента.
Если вы работаете с несколькими рабочими областями Microsoft Sentinel на портале Defender, связанные инциденты Defender для облака передаются в основную рабочую область. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender.
Отключите подписной коннектор данных Microsoft Defender для облака (устаревшая версия), чтобы предотвратить дублирование оповещений.
Отключите все правила аналитики, используемые для создания инцидентов из оповещений Defender for Cloud, либо Запланированные (правила регулярного типа запроса), либо правила безопасности Microsoft (создание инцидентов).
При необходимости используйте правила автоматизации для закрытия шумных инцидентов или используйте встроенные возможности настройки на портале Defender для подавления определенных оповещений.
Если вы интегрировали инциденты Microsoft Defender XDR в Microsoft Sentinel и хотите сохранить настройки, основанные на подписке, и избежать синхронизации на основе арендатора, отключите синхронизацию инцидентов и оповещений из Microsoft Defender XDR:
На портале Microsoft Defender откройте Параметры > Microsoft Defender XDR.
В параметрах службы оповещений найдите оповещения Microsoft Defender для облака.
Select No alerts to turn off all Defender for Cloud alerts. Выбор этого параметра прекращает прием новых оповещений Defender for Cloud в Microsoft Defender XDR. Ранее обработанные оповещения остаются на странице оповещений или инцидентов.
Дополнительные сведения см. в разделе:
- Прием инцидентов в Microsoft Defender для облака с интеграцией с Microsoft Defender XDR
- Откройте и управляйте встроенным контентом Microsoft Sentinel