Microsoft Defender для облака на портале Microsoft Defender
Область применения:
Microsoft Defender для облака теперь является частью XDR в Microsoft Defender. Теперь группы безопасности могут получать доступ к оповещениям и инцидентам Defender для облака на портале Microsoft Defender, предоставляя расширенный контекст для расследований, охватывающих облачные ресурсы, устройства и удостоверения. Кроме того, группы безопасности могут получить полную картину атаки, включая подозрительные и вредоносные события, происходящие в облачной среде, путем немедленной корреляции оповещений и инцидентов.
Портал Microsoft Defender объединяет возможности защиты, обнаружения, исследования и реагирования для защиты атак на устройства, электронную почту, совместную работу, удостоверения и облачные приложения. Возможности обнаружения и исследования портала теперь распространяются на облачные сущности, предоставляя командам по операциям безопасности единую панель, чтобы значительно повысить эффективность их работы.
Кроме того, инциденты и оповещения Defender для облака теперь являются частью общедоступного API XDR Microsoft Defender. Эта интеграция позволяет экспортировать данные оповещений системы безопасности в любую систему с помощью одного API.
Предварительное условие
Чтобы обеспечить доступ к оповещениям Defender для облака на портале Microsoft Defender, вы должны быть подписаны на любой из планов, перечисленных в разделе Подключение подписок Azure.
Необходимые разрешения
Примечание.
Разрешение на просмотр оповещений и корреляций Defender для облака является автоматическим для всего клиента. Просмотр определенных подписок не поддерживается. Фильтр идентификаторов подписки на оповещения можно использовать для просмотра оповещений Defender для облака, связанных с определенной подпиской Defender для облака, в очередях оповещений и инцидентов. Дополнительные сведения о фильтрах.
Интеграция доступна только при применении соответствующей роли единого управления доступом на основе ролей Microsoft Defender XDR (RBAC) для Defender для облака. Для просмотра оповещений и корреляций Defender для облака без единого RBAC В Defender XDR необходимо быть глобальным администратором или администратором безопасности в Azure Active Directory.
Важно!
Глобальный администратор — это роль с высоким уровнем привилегий, которая должна быть ограничена сценариями, когда вы не можете использовать существующую роль. Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации.
Опыт исследования на портале Microsoft Defender
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
В следующем разделе описывается обнаружение и исследование на портале Microsoft Defender с оповещениями Defender для облака.
| Область | Описание |
|---|---|
| Инциденты | Все инциденты Defender для облака будут интегрированы на портал Microsoft Defender.
— поддерживается поиск ресурсов облачных ресурсов в очереди инцидентов . — На графике истории атаки будет отображаться облачный ресурс. — На вкладке активы на странице инцидента будет отображаться облачный ресурс. — Каждая виртуальная машина имеет собственную страницу устройства, содержащую все связанные оповещения и действия. Дублирование инцидентов из других рабочих нагрузок Defender не будет. |
| Оповещения | Все оповещения Defender для облака, включая оповещения нескольких облачных, внутренних и внешних поставщиков, будут интегрированы на портал Microsoft Defender. Оповещения Defender для облака будут отображаться в очереди оповещений портала Microsoft Defender.
Ресурс облачных ресурсов будет отображаться на вкладке Актив оповещения. Ресурсы четко определены как ресурсы Azure, Amazon или Google Cloud. Оповещения Defender для облака будут автоматически связаны с клиентом. Дублирование оповещений из других рабочих нагрузок Defender не будет. |
| Корреляция оповещений и инцидентов | Оповещения и инциденты автоматически сопоставляются, обеспечивая надежный контекст для команд по операциям с безопасностью, чтобы понять полную историю атак в их облачной среде. |
| Обнаружение угроз | Точное сопоставление виртуальных сущностей с сущностями устройства для обеспечения точности и эффективного обнаружения угроз. |
| Унифицированный API | Оповещения и инциденты Defender для облака теперь включены в общедоступный API XDR Microsoft Defender, что позволяет клиентам экспортировать свои данные оповещений системы безопасности в другие системы с помощью одного API. |
| Расширенная охота (предварительная версия) | Сведения о событиях аудита облака для различных облачных платформ, защищенных с помощью Defender для облака организации, доступны в таблице CloudAuditEvents в расширенной охоте. |
Примечание.
Информационные оповещения из Defender для облака не интегрируются с порталом Microsoft Defender, чтобы можно было сосредоточиться на соответствующих оповещениях с высоким уровнем серьезности. Эта стратегия упрощает управление инцидентами и снижает усталость от оповещений.
Влияние на пользователей Microsoft Sentinel
Клиенты Microsoft Sentinel , интегрирующие инциденты XDR в Microsoft Defenderи прием оповещений Defender для облака, должны внести следующие изменения в конфигурацию, чтобы гарантировать, что повторяющиеся оповещения и инциденты не создаются:
- Подключите соединитель Microsoft Defender для облака (предварительная версия) на основе клиента, чтобы синхронизировать сбор оповещений из всех подписок с инцидентами Defender для облака на основе клиента, которые передаются через соединитель инцидентов XDR в Microsoft Defender.
- Отключите соединитель оповещений Microsoft Defender для облака (устаревшая версия) на основе подписки , чтобы предотвратить дублирование оповещений.
- Отключите любые правила аналитики ( запланированные (обычные запросы) или правила безопасности ( создание инцидентов) Майкрософт , используемые для создания инцидентов из оповещений Defender для облака. Инциденты Defender для облака создаются автоматически на портале Defender и синхронизируются с Microsoft Sentinel.
- При необходимости используйте правила автоматизации для закрытия шумных инцидентов или используйте встроенные возможности настройки на портале Defender для подавления определенных оповещений.
Следует также отметить следующее изменение:
- Действие по связыванию оповещений с инцидентами портала Microsoft Defender удаляется.
Дополнительные сведения см. в статье Прием инцидентов Microsoft Defender для облака с интеграцией Microsoft Defender XDR.
Отключение оповещений Defender для облака
Оповещения для Defender для облака включены по умолчанию. Чтобы сохранить параметры на основе подписки и избежать синхронизации на основе клиента или отказаться от взаимодействия, выполните следующие действия.
- На портале Microsoft Defender перейдите в раздел Параметры>XDR Microsoft Defender.
- В разделе Параметры службы оповещений найдите оповещения Microsoft Defender для облака.
- Выберите Нет оповещений , чтобы отключить все оповещения Defender для облака. Выбор этого параметра останавливает прием новых оповещений Defender для облака на портале. Ранее обработанные оповещения остаются на странице оповещений или инцидентов.
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.