Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Относится к:
- [XDR в Microsoft Defender](/defender-xdr/microsoft-365-defender.md
- [Microsoft Defender для облака](/azure/defender-for-cloud/
Microsoft Defender для облака интегрирован с Расширенным обнаружением и ответом Microsoft Defender (XDR). Эта интеграция позволяет командам безопасности получать доступ к оповещениям и инцидентам Defender в Defender на портале Microsoft Defender. Эта интеграция обеспечивает более широкий контекст для исследований, охватывающих облачные ресурсы, устройства и удостоверения.
Партнерство с Microsoft Defender XDR позволяет группам безопасности получить полную картину атаки, включая подозрительные и вредоносные события, которые происходят в облачной среде. Группы безопасности могут достичь этой цели путем немедленной корреляции оповещений и инцидентов.
XDR в Microsoft Defender предлагает комплексное решение, которое объединяет возможности защиты, обнаружения, исследования и реагирования. Решение защищает от атак на устройства, электронную почту, совместную работу, удостоверение и облачные приложения. Наши возможности обнаружения и исследования теперь расширены для облачных сущностей, предлагая группам по операциям безопасности одну панель стекла, чтобы значительно повысить эффективность работы.
Инциденты и оповещения теперь являются частью общедоступного API XDR в Microsoft Defender. Эта интеграция позволяет экспортировать данные оповещений системы безопасности в любую систему с помощью одного API. Как Microsoft Defender для облака, мы стремимся предоставить нашим пользователям лучшие решения для обеспечения безопасности, и эта интеграция является значительным шагом к достижению этой цели.
Предпосылки
Доступ к оповещениям Defender для облака на портале Microsoft Defender зависит от того, какие планы Defender для облака включены. Узнайте больше о различных защитах планов Defender для облака.
Примечание.
Разрешения на просмотр оповещений и корреляций Defender для облака автоматически предоставляются для всего арендатора. Просмотр определенных подписок не поддерживается. Используйте фильтр идентификатор подписки для оповещений для просмотра оповещений Defender для облака, связанных с конкретной подпиской Defender для облака в очередях оповещений и инцидентов. Дополнительные сведения о фильтрах.
Интеграция доступна только при применении соответствующей Microsoft Defender XDR роли RBAC для Defender для облака. Для просмотра оповещений и корреляций Defender для облака без Defender XDR unified RBAC необходимо быть глобальным администратором или администратором безопасности в Azure Active Directory.
Опыт расследования в Microsoft Defender XDR
В следующей таблице описывается опыт обнаружения и исследования в Microsoft Defender XDR с оповещениями Defender for Cloud.
| Область | Описание |
|---|---|
| Инциденты | Все инциденты Defender для облака интегрированы в XDR в Microsoft Defender. — Поддерживается поиск ресурсов облачных ресурсов в очереди инцидентов. — Граф истории атаки показывает облачный ресурс. — На вкладке "Ресурсы" на странице инцидента отображается облачный ресурс. — Каждая виртуальная машина имеет собственную страницу сущности, содержащую все связанные оповещения и действия. Не существует дублирования инцидентов из других рабочих нагрузок Defender. |
| Оповещения | Все оповещения Defender для облака, включая многооблачные, внутренние и внешние оповещения от поставщиков, интегрированы в Microsoft Defender XDR. Оповещения Defenders for Cloud отображаются в очереди оповещений XDR в Microsoft Defender. Microsoft Defender XDR Ресурс cloud resource отображается на вкладке "Ресурс" оповещения. Ресурсы четко определены как ресурс Azure, Amazon или Google Cloud. Оповещения Defender для облака автоматически связываются с арендатором. Не существует дублирования оповещений из других функций Defender. |
| Корреляция оповещений и инцидентов | Оповещения и инциденты автоматически сопоставляются, предоставляя надежный контекст группам по операциям безопасности, чтобы понять полную историю атаки в облачной среде. |
| Обнаружение угроз | Точное сопоставление виртуальных сущностей с сущностями устройств для обеспечения точности и эффективного обнаружения угроз. |
| Unified API | Defender for Cloud оповещения и инциденты теперь включены в общедоступный API Microsoft Defender XDR, позволяя клиентам экспортировать данные оповещений безопасности в другие системы с помощью одного API. |
Примечание.
Информационные оповещения из Defender для облака не интегрируются с Microsoft Defender порталом, чтобы можно было сосредоточиться на соответствующих оповещениях с высоким уровнем серьезности. Эта стратегия упрощает управление инцидентами и снижает усталость от оповещений.
Расширенная охота в XDR
Расширенные возможности охоты в Microsoft Defender XDR теперь включают в себя оповещения и инциденты из Defender для облака. Эта интеграция позволяет группам безопасности искать по всем облачным ресурсам, устройствам и учетным записям в одном запросе.
Расширенный интерфейс охоты в XDR в Microsoft Defender предназначен для предоставления группам безопасности гибкости для создания пользовательских запросов для поиска угроз в их среде. Интеграция с оповещениями и инцидентами от Defender для облака позволяет группам безопасности искать угрозы в их облачных ресурсах, устройствах и учётных записях.
Таблица CloudAuditEvents в расширенном поиске позволяет исследовать и охотиться на события уровня управления и создавать пользовательские правила для выявления подозрительных активностей управления Azure Resource Manager и Kubernetes (KubeAudit).
Таблица CloudProcessEvents в расширенном режиме поиска позволяет сортировать, исследовать и создавать пользовательские правила обнаружения подозрительных действий, которые происходят в вашей облачной инфраструктуре, предоставляя информацию, содержащую детали о процессах.
Клиенты Microsoft Sentinel
Клиенты Microsoft Sentinel, которые интегрируют инциденты XDR в Microsoft Defenderи принимают оповещения Defender для облака, должны предпринять следующие действия, чтобы предотвратить повторяющиеся оповещения и инциденты.
В Microsoft Sentinel настройте соединитель данных Microsoft Defender для облака (предварительная версия) на базе клиента. Этот соединитель данных включен в решение Microsoft Defender для облака , доступное в центре содержимого Microsoft Sentinel.
Соединитель данных Tenant-based Microsoft Defender для облака (предварительная версия) синхронизирует сбор оповещений из всех ваших подписок с инцидентами, связанными с Tenant-based Defender для облака, которые передаются через соединитель инцидентов Microsoft Defender XDR. Инциденты Defender для облака коррелируются во всех подписках клиента.
Если вы работаете с несколькими рабочими областями Microsoft Sentinel на портале Defender, связанные инциденты Defender для облака передаются в основную рабочую область. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender.
Отключите подписной коннектор данных Microsoft Defender для облака (устаревшая версия), чтобы предотвратить дублирование оповещений.
Отключите все правила аналитики, используемые для создания инцидентов из оповещений Defender для облака( запланированных (регулярных типов запросов) или правил безопасности Майкрософт (создание инцидентов).
При необходимости используйте правила автоматизации для закрытия шумных инцидентов или используйте встроенные возможности настройки на портале Defender для подавления определенных оповещений.
Если вы интегрировали инциденты XDR из Microsoft Defender в Microsoft Sentinel и хотите сохранить параметры на основе подписки и избежать синхронизации на основе арендатора, откажитесь от синхронизации инцидентов и оповещений Microsoft Defender XDR.
На портале Microsoft Defender откройте Параметры > Microsoft Defender XDR.
В параметрах службы оповещений найдите оповещения Microsoft Defender для облака.
Выберите Нет оповещений , чтобы отключить все оповещения Defender для облака. Выбор этого параметра прекращает прием новых оповещений Defender for Cloud в Microsoft Defender XDR. Ранее обработанные оповещения остаются на странице оповещений или инцидентов.
Дополнительные сведения см. в разделе:
- Прием инцидентов в Microsoft Defender для облака с интеграцией с Microsoft Defender XDR
- Откройте и управляйте встроенным контентом Microsoft Sentinel