Прием инцидентов Microsoft Defender для облака с интеграцией XDR в Microsoft Defender
Microsoft Defender для облака теперь интегрирован с XDR в Microsoft Defender, ранее известном как Microsoft 365 Defender. Эта интеграция позволяет защитнику XDR собирать оповещения из Defender для облака и создавать инциденты XDR Defender.
Благодаря этой интеграции клиенты Microsoft Sentinel, которые обеспечивают интеграцию инцидентов XDR Defender, теперь могут получать и синхронизировать инциденты Defender для облака через XDR в Microsoft Defender.
Для поддержки этой интеграции необходимо настроить один из следующих соединителей данных Microsoft Defender для облака, в противном случае инциденты для Microsoft Defender для облака, поступающих через соединитель XDR в Microsoft Defender, не будут отображать связанные оповещения и сущности:
Microsoft Sentinel имеет новый соединитель Microsoft Defender для облака (предварительная версия) на основе клиента. Этот соединитель позволяет клиентам Microsoft Sentinel получать Defender для облака оповещения во всех клиентах, не отслеживая и сохраняя регистрацию соединителя для всех своих Defender для облака подписок. Мы рекомендуем использовать этот новый соединитель, так как интеграция XDR Microsoft Defender с Microsoft Defender для облака также реализуется на уровне клиента.
Кроме того, можно использовать соединитель Microsoft Defender для облака (устаревшая версия) на основе подписки. Этот соединитель не рекомендуется, так как при наличии Defender для облака подписок, которые не подключены к Microsoft Sentinel в соединителе, инциденты из этих подписок не будут отображать связанные оповещения и сущности.
Оба соединителя, упомянутые выше, можно использовать для приема оповещений Defender для облака независимо от того, включена ли интеграция инцидентов XDR в Defender.
Внимание
Интеграция Defender для облака с XDR Defender теперь общедоступна (GA).
В настоящее время соединитель Microsoft Defender для облака на основе клиента находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Выбор способа использования этой интеграции и нового соединителя
Способ использования этой интеграции, а также способ приема инцидентов или просто оповещений зависит от того, что вы уже делаете в отношении инцидентов XDR в Microsoft Defender.
Если вы уже используете инциденты XDR в Defender или если вы хотите начать это сейчас, настоятельно рекомендуется включить этот новый соединитель на основе клиента. Теперь инциденты XDR Defender будут включать инциденты на основе Defender для облака с полным заполнением оповещений из всех Defender для облака подписок в клиенте.
Если в этой ситуации вы остаетесь с устаревшим соединителем Defender для облака подписки и не подключаете новый клиент, вы можете получить Defender для облака инциденты, содержащие пустые оповещения (в случае подписки, к которой соединитель не зарегистрирован).
Если вы не планируете включить интеграцию инцидентов XDR в Microsoft Defender, вы по-прежнему можете получать оповещения Defender для облака независимо от того, какая версия соединителя включена. Однако новый соединитель на основе клиента по-прежнему предоставляет вам преимущество, не требующее разрешений для мониторинга и поддержания списка подписок Defender для облака в соединителе.
Если вы включили интеграцию XDR Defender, но вы хотите получать Defender для облака оповещения, но не инциденты, вы можете использовать правила автоматизации для немедленного закрытия Defender для облака инцидентов по мере их поступления.
Если это не достаточное решение или вы по-прежнему хотите собирать оповещения из Defender для облака на основе каждой подписки, вы можете полностью отказаться от интеграции Defender для облака на портале XDR в Microsoft Defender, а затем использовать устаревшую версию Defender для облака соединитель для получения этих оповещений.
Настройка интеграции в Microsoft Sentinel
Если вы еще не включили интеграцию инцидентов в соединителе Microsoft 365 Defender, сначала сделайте это.
Затем включите новый соединитель Microsoft Defender для облака (предварительная версия) на основе клиента. Этот соединитель доступен через решение Microsoft Defender для облака версии 3.0.0 в Центре контента. Если у вас есть более ранняя версия этого решения, его можно обновить в центре содержимого.
Если вы ранее включили устаревший соединитель Defender для облака на основе подписки (который будет отображаться как Microsoft Defender для облака подписки (устаревшая версия)), рекомендуется отключить его, чтобы предотвратить дублирование оповещений в журналах.
Если у вас есть правила планирования или аналитики безопасности Майкрософт, которые создают инциденты из оповещений Defender для облака, рекомендуется отключить эти правила, так как вы будете получать готовые инциденты, созданные и синхронизированные с Microsoft 365 Defender.
Если существуют определенные типы оповещений Defender для облака, для которых не требуется создавать инциденты, можно использовать правила автоматизации для немедленного закрытия этих инцидентов или использовать встроенные возможности настройки на портале Microsoft 365 Defender.
Следующие шаги
В этой статье вы узнали, как использовать интеграцию Microsoft Defender для облака с XDR в Microsoft Defender для приема инцидентов и оповещений в Microsoft Sentinel.
Узнайте больше об интеграции Microsoft Defender для облака с XDR в Microsoft Defender.
- См. Microsoft Defender для облака в XDR в Microsoft Defender, а также раздел "Влияние на пользователей Microsoft Sentinel" в документации по XDR в Microsoft Defender.
- Сведения о оповещениях и инцидентах в Microsoft 365 Defender (предварительная версия) см. в документации по Microsoft Defender для облака.