Прием Microsoft Defender для облачных оповещений Microsoft Sentinel

Microsoft Defender интегрированные средства защиты облачных рабочих нагрузок позволяют обнаруживать угрозы в гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Соединитель Microsoft Defender для облака позволяет принимать оповещения системы безопасности из Defender для облака в Microsoft Sentinel, что позволяет просматривать, анализировать и реагировать на оповещения Defender и инциденты, которые они создают, в более широком контексте организационных угроз.

Microsoft Defender для планов Cloud Defender включены для каждой подписки. Хотя устаревший соединитель Microsoft Sentinel для Defender for Cloud Apps также настраивается для каждой подписки, Microsoft Defender на основе клиента для облачного соединителя в предварительной версии позволяет собирать оповещения Defender для облака по всему клиенту без необходимости включать каждую подписку отдельно. Соединитель на основе клиента также работает с интеграцией Defender для облака с Microsoft Defender XDR, чтобы обеспечить полное включение всех оповещений Defender для облака в любые инциденты, получаемые через интеграцию Microsoft Defender XDR инцидентов.

• Синхронизация оповещений:

  • При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности, которые попадают в Microsoft Sentinel, синхронизируется между двумя службами. Например, если оповещение закрывается в Defender для облака, это оповещение также отображается как закрытое в Microsoft Sentinel.

  • Изменение состояния оповещения в Defender для облака не повлияет на состояние каких-либо инцидентов Microsoft Sentinel, содержащих оповещение Microsoft Sentinel, только на состояние самого оповещения.

• Двунаправленная синхронизация оповещений. Включение двунаправленной синхронизации автоматически синхронизирует состояние исходных оповещений системы безопасности с состоянием Microsoft Sentinel инцидентов, содержащих эти оповещения. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения системы безопасности, соответствующее исходное оповещение автоматически закрывается в Microsoft Defender для облака.

Предварительные условия

• В портал Azure необходимо использовать Microsoft Sentinel. При подключении Microsoft Sentinel на портал Defender оповещения Defender для облака уже будут приниматься в Microsoft Defender XDR, а соединитель данных Microsoft Defender для облака (предварительная версия) на странице Соединители данных на портале Defender отсутствует. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.

  Если вы подключены Microsoft Sentinel к порталу Defender, вы по-прежнему захотите установить решение Microsoft Defender для облака, чтобы использовать встроенное содержимое системы безопасности с Microsoft Sentinel.

  Если вы используете Microsoft Sentinel на портале Defender без Microsoft Defender XDR, эта процедура по-прежнему актуальна для вас.

• У вас должны быть следующие роли и разрешения:

  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

  • У вас должна быть роль участник или владелец подписки, к которой вы хотите подключиться, Microsoft Sentinel.

  • Чтобы включить двунаправленную синхронизацию, необходимо иметь роль участника или Администратор безопасности в соответствующей подписке.

• Вам потребуется включить по крайней мере один план в Microsoft Defender для облака для каждой подписки, в которой вы хотите включить соединитель. Чтобы включить Microsoft Defender планы в подписке, необходимо иметь роль Администратор безопасности для этой подписки.

• Поставщик ресурсов должен SecurityInsights быть зарегистрирован для каждой подписки, в которой вы хотите включить соединитель. Ознакомьтесь с рекомендациями по состоянию регистрации поставщика ресурсов и способам его регистрации.

Подключение к Microsoft Defender для облака

1. В Microsoft Sentinel установите решение для Microsoft Defender для облака из Центра содержимого. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.

2. Выберите Соединители данных конфигурации>.

3. На странице Соединители данных выберите соединитель Microsoft Defender на основе подписки для облака (устаревшая версия) или на основе клиента Microsoft Defender для облака (предварительная версия), а затем выберите открыть страницу соединителя.

4. В разделе Конфигурация вы увидите список подписок в клиенте и состояние их подключения к Microsoft Defender для облака. Установите переключатель Состояние рядом с каждой подпиской, оповещения которой нужно передавать в Microsoft Sentinel. Если вы хотите подключить сразу несколько подписок, это можно сделать, пометив поля проверка рядом с соответствующими подписками и нажав кнопку Подключить на панели над списком.

   • Флажки проверка и Переключатели Подключить активны только для подписок, для которых у вас есть необходимые разрешения.
   • Кнопка Подключить активна, только если отмечено по крайней мере одно поле проверка подписки.

5. Чтобы включить двунаправленную синхронизацию в подписке, найдите подписку в списке и выберите Включено в раскрывающемся списке в столбце Двунаправленная синхронизация . Чтобы включить двунаправленную синхронизацию для нескольких подписок одновременно, пометьте их проверка поля и нажмите кнопку Включить двунаправленную синхронизацию на панели над списком.

   • Поля проверка и раскрывающиеся списки активны только в подписках, для которых у вас есть необходимые разрешения.
   • Кнопка Включить двунаправленную синхронизацию активна, только если отмечено по крайней мере одно поле проверка подписки.

6. В столбце Microsoft Defender планов списка можно увидеть, включены ли Microsoft Defender планы в подписке, что является необходимым условием для включения соединителя.

   Значение для каждой подписки в этом столбце является пустым, то есть планы Defender не включены, все включены или некоторые включены. Для тех, кто говорит Некоторые включены, также есть ссылка Включить все, которую можно выбрать, которая позволяет перейти на панель мониторинга конфигурации Microsoft Defender для облака для этой подписки, где можно выбрать планы Defender, чтобы включить.

   Кнопка включить Microsoft Defender для всех подписок на панели над списком позволяет перейти на страницу Microsoft Defender для облачных начало работы, где можно выбрать, какие подписки следует включить в целом Microsoft Defender для облака. Например, вы можете:

   

7. Вы можете выбрать, должны ли оповещения из Microsoft Defender для облака автоматически создавать инциденты в Microsoft Sentinel. В разделе Создание инцидентов выберите Включено , чтобы включить правило аналитики по умолчанию, которое автоматически создает инциденты из оповещений. Затем это правило можно изменить в разделе Аналитика на вкладке Активные правила .

   Совет

   При настройке настраиваемых правил аналитики для оповещений из Microsoft Defender для облака учитывайте серьезность оповещений, чтобы избежать возникновения инцидентов для информационных оповещений.

   Информационные оповещения в Microsoft Defender для облака сами по себе не представляют угрозу безопасности и актуальны только в контексте существующего открытого инцидента. Дополнительные сведения см. в статье Оповещения системы безопасности и инциденты в Microsoft Defender для облака.

Поиск и анализ данных

Оповещения системы безопасности хранятся в таблице SecurityAlert в рабочей области Log Analytics. Чтобы запросить оповещения системы безопасности в Log Analytics, скопируйте следующее в окно запроса в качестве отправной точки:

SecurityAlert 
| where ProductName == "Azure Security Center"

Синхронизация оповещений в обоих направлениях может занять несколько минут. Изменения в состоянии оповещений могут отображаться не сразу.

Дополнительные примеры запросов, шаблоны правил аналитики и рекомендуемые книги см. на вкладке Дальнейшие действия на странице соединителя.

Связанные материалы

В этом документе вы узнали, как подключить Microsoft Defender для облака для Microsoft Sentinel и синхронизации оповещений между ними. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:

• Узнайте, как получить представление о данных и потенциальных угрозах.
• Приступая к обнаружению угроз с помощью Microsoft Sentinel.
• Создайте собственные правила для обнаружения угроз.