Поделиться через


Оповещения и инциденты в XDR в Microsoft Defender

Microsoft Defender для облака теперь интегрирован с XDR в Microsoft Defender. Эта интеграция позволяет группам безопасности получать доступ к оповещениям и инцидентам Defender для облака на портале Microsoft Defender. Эта интеграция обеспечивает более широкий контекст для исследований, охватывающих облачные ресурсы, устройства и удостоверения.

Партнерство с Microsoft Defender XDR позволяет группам безопасности получить полную картину атаки, включая подозрительные и вредоносные события, которые происходят в облачной среде. Группы безопасности могут достичь этой цели путем немедленной корреляции оповещений и инцидентов.

XDR в Microsoft Defender предлагает комплексное решение, которое объединяет возможности защиты, обнаружения, исследования и реагирования. Решение защищает от атак на устройства, электронную почту, совместную работу, удостоверение и облачные приложения. Наши возможности обнаружения и исследования теперь расширены для облачных сущностей, предлагая группам по операциям безопасности одну панель стекла, чтобы значительно повысить эффективность работы.

Инциденты и оповещения теперь являются частью общедоступного API XDR в Microsoft Defender. Эта интеграция позволяет экспортировать данные оповещений системы безопасности в любую систему с помощью одного API. Как Microsoft Defender для облака, мы стремимся предоставить нашим пользователям лучшие решения для обеспечения безопасности, и эта интеграция является значительным шагом к достижению этой цели.

Опыт исследования в XDR в Microsoft Defender

В следующей таблице описывается процесс обнаружения и исследования в XDR в Microsoft Defender с Defender для облака оповещениями.

Область Description
Инциденты Все инциденты Defender для облака интегрированы в XDR в Microsoft Defender.
— Поддерживается поиск ресурсов облачных ресурсов в очереди инцидентов.
— Граф истории атаки показывает облачный ресурс.
— На вкладке "Ресурсы" на странице инцидента отображается облачный ресурс.
— Каждая виртуальная машина имеет собственную страницу сущности, содержащую все связанные оповещения и действия.

Не существует дублирования инцидентов из других рабочих нагрузок Defender.
видны узлы Все оповещения Defender для облака, включая многооблачные, внутренние и внешние поставщики, интегрированы в XDR в Microsoft Defender. Оповещения Defenders for Cloud отображаются в очереди оповещений XDR в Microsoft Defender.
Microsoft Defender XDR
Ресурс cloud resource отображается на вкладке "Ресурс" оповещения. Ресурсы четко определены как ресурс Azure, Amazon или Google Cloud.

Оповещения Defenders for Cloud автоматически связываются с клиентом.

Не существует дублирования оповещений из других рабочих нагрузок Defender.
Корреляция оповещений и инцидентов Оповещения и инциденты автоматически сопоставляются, предоставляя надежный контекст группам по операциям безопасности, чтобы понять полную историю атаки в облачной среде.
Обнаружение угроз Точное сопоставление виртуальных сущностей с сущностями устройств для обеспечения точности и эффективного обнаружения угроз.
Unified API Defender для облака оповещения и инциденты теперь включены в Общедоступный API XDR в Microsoft Defender, позволяющий клиентам экспортировать данные оповещений системы безопасности в другие системы с помощью одного API.

Дополнительные сведения об обработке оповещений в XDR в Microsoft Defender.

Расширенная охота в XDR

Расширенные возможности поиска XDR в Microsoft Defender расширены для включения Defender для облака оповещений и инцидентов. Эта интеграция позволяет группам безопасности охотиться на все облачные ресурсы, устройства и удостоверения в одном запросе.

Расширенный интерфейс охоты в XDR в Microsoft Defender предназначен для предоставления группам безопасности гибкости для создания пользовательских запросов для поиска угроз в их среде. Интеграция с оповещениями и инцидентами Defender для облака позволяет группам безопасности охотиться на угрозы в облачных ресурсах, устройствах и удостоверениях.

Таблица CloudAuditEvents в расширенной охоте позволяет охотиться на события аудита облака в Microsoft Defender для облака и создавать пользовательские обнаружения для обнаружения подозрительных действий уровня управления Azure Resource Manager и Kubernetes (KubeAudit).

Клиенты Sentinel

Клиенты Microsoft Sentinel могут воспользоваться интеграцией Defender для облака с Microsoft 365 Defender в своих рабочих областях с помощью соединителя инцидентов и оповещений Microsoft 365 Defender.

Сначала необходимо включить интеграцию инцидентов в соединителе Microsoft 365 Defender.

Затем включите соединитель Tenant-based Microsoft Defender for Cloud (Preview) для синхронизации подписок с клиентами Defender для облака инцидентов для потоковой передачи через соединитель инцидентов Microsoft 365 Defender.

Соединитель доступен через решение Microsoft Defender для облака версии 3.0.0 в Центре содержимого. Если у вас есть более ранняя версия этого решения, его можно обновить в Центре содержимого.

Если у вас есть устаревший соединитель оповещений на основе подписки Microsoft Defender для облака (который отображается какSubscription-based Microsoft Defender for Cloud (Legacy)), рекомендуется отключить соединитель, чтобы предотвратить дублирование оповещений в журналах.

Мы рекомендуем отключить правила аналитики, которые включены (запланированные или с помощью правил создания Майкрософт), от создания инцидентов из оповещений Defender для облака.

Правила автоматизации можно использовать для немедленного закрытия инцидентов и предотвращения возникновения конкретных типов оповещений Defender для облака. Вы также можете использовать встроенные возможности настройки на портале Microsoft 365 Defender, чтобы предотвратить появление оповещений.

Клиенты, которые интегрируют инциденты Microsoft 365 Defender в Sentinel и хотят сохранить параметры на основе подписки и избежать синхронизации на основе клиентов, могут отказаться от синхронизации инцидентов и оповещений через соединитель Microsoft 365 Defender.

Узнайте, как Defender для облака и Microsoft 365 Defender обрабатывают конфиденциальность ваших данных.

Оповещения системы безопасности — справочное руководство