Microsoft Defender for Cloud na portálu Microsoft Defender
Platí pro:
Microsoft Defender for Cloud je teď součástí Microsoft DefenderU XDR. Bezpečnostní týmy teď můžou přistupovat k výstrahám a incidentům Defenderu for Cloud na portálu Microsoft Defenderu a poskytují širší kontext pro vyšetřování, která zahrnují cloudové prostředky, zařízení a identity. Kromě toho můžou bezpečnostní týmy získat úplnou představu o útoku, včetně podezřelých a škodlivých událostí, ke kterým dochází v jejich cloudovém prostředí, prostřednictvím okamžitých korelací výstrah a incidentů.
Portál Microsoft Defender kombinuje možnosti ochrany, detekce, vyšetřování a reakce na ochranu útoků na zařízení, e-mail, spolupráci, identitu a cloudové aplikace. Možnosti zjišťování a prověřování portálu jsou teď rozšířené na cloudové entity a nabízejí týmům pro operace zabezpečení jedno podokno, které výrazně vylepšuje jejich provozní efektivitu.
Kromě toho jsou teď incidenty a výstrahy defenderu for Cloud součástí veřejného rozhraní API XDR v programu Microsoft Defender. Tato integrace umožňuje exportovat data výstrah zabezpečení do libovolného systému pomocí jednoho rozhraní API.
Předpoklady
Abyste na portálu Microsoft Defenderu zajistili přístup k upozorněním Defenderu pro cloud, musíte se přihlásit k odběru některého z plánů uvedených v části Připojení předplatných Azure.
Požadovaná oprávnění
Poznámka
Oprávnění k zobrazení výstrah a korelací defenderu pro cloud je automatické pro celého tenanta. Zobrazení konkrétních předplatných se nepodporuje. Filtr ID předplatného upozornění můžete použít k zobrazení výstrah Defenderu for Cloud přidružených ke konkrétnímu předplatnému Defenderu for Cloud ve frontách výstrah a incidentů. Přečtěte si další informace o filtrech.
Integrace je dostupná jenom po použití příslušné role řízení přístupu na základě role (RBAC) v programu Microsoft Defender XDR pro Defender for Cloud. Pokud chcete zobrazit výstrahy a korelace Defenderu for Cloud bez sjednoceného řízení přístupu na základě role defenderu XDR, musíte být globálním správcem nebo správcem zabezpečení v Azure Active Directory.
Důležité
Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře, kdy nemůžete použít existující roli. Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace.
Prostředí pro šetření na portálu Microsoft Defender
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Následující část popisuje možnosti zjišťování a šetření na portálu Microsoft Defender s upozorněními defenderu pro cloud.
Oblast | Popis |
---|---|
Incidenty | Všechny incidenty Defenderu for Cloud budou integrovány do portálu Microsoft Defender.
– Podporuje se vyhledávání prostředků cloudových prostředků ve frontě incidentů . – V grafu příběhu útoku se zobrazí cloudový prostředek. – Na kartě Assets (Prostředky ) na stránce incidentu se zobrazí cloudový prostředek. – Každý virtuální počítač má vlastní stránku zařízení, která obsahuje všechna související upozornění a aktivity. Nedojde k duplikaci incidentů z jiných úloh Defenderu. |
Upozornění | Všechna upozornění Defenderu for Cloud, včetně upozornění pro více cloudů, interních a externích poskytovatelů, budou integrována do portálu Microsoft Defender. Upozornění defenderu pro cloud se zobrazí ve frontě upozornění portálu Microsoft Defender.
Prostředek cloudu se zobrazí na kartě Prostředek výstrahy. Prostředky jsou jasně identifikovány jako prostředek Azure, Amazon nebo Google Cloud. Upozornění Defenderu pro cloud se automaticky přidruží k tenantovi. Upozornění z jiných úloh Defenderu se nebudou duplikovat. |
Korelace výstrah a incidentů | Výstrahy a incidenty se automaticky korelují a poskytují robustní kontext týmům pro operace zabezpečení, aby porozuměly kompletnímu scénáři útoku v jejich cloudovém prostředí. |
Detekce hrozeb | Přesné porovnávání virtuálních entit s entitami zařízení, aby se zajistila přesnost a efektivní detekce hrozeb. |
Sjednocené rozhraní API | Výstrahy a incidenty Defenderu for Cloud jsou teď součástí veřejného rozhraní API Microsoft DefenderU XDR, což zákazníkům umožňuje exportovat data výstrah zabezpečení do jiných systémů pomocí jednoho rozhraní API. |
Rozšířené proaktivní vyhledávání (Preview) | Informace o událostech auditu cloudu pro různé cloudové platformy chráněné službou Defender for Cloud organizace jsou k dispozici prostřednictvím tabulky CloudAuditEvents v rámci rozšířeného proaktivního vyhledávání. |
Poznámka
Informační výstrahy z Defenderu pro cloud nejsou integrované na portálu Microsoft Defenderu, aby se mohly soustředit na relevantní výstrahy s vysokou závažností. Tato strategie zjednodušuje správu incidentů a snižuje únavu výstrah.
Dopad na uživatele služby Microsoft Sentinel
Zákazníci služby Microsoft Sentinel , kteří integrují incidenty Microsoft Defender XDRa ingestují výstrahy Defenderu pro cloud, musí provést následující změny konfigurace, aby se zajistilo, že se nebudou vytvářet duplicitní výstrahy a incidenty:
- Připojte konektor Microsoft Defender for Cloud založený na tenantovi (Preview) a synchronizujte kolekci výstrah ze všech vašich předplatných s incidenty Defenderu for Cloud založenými na tenantovi, které se streamují prostřednictvím konektoru Incidents XDR programu Microsoft Defender.
- Pokud chcete zabránit duplicitám výstrah, odpojte konektor upozornění Microsoft Defenderu for Cloud založený na předplatném (starší verze).
- Vypněte všechna analytická pravidla – plánovaná (běžný typ dotazu) nebo pravidla zabezpečení Microsoftu (vytváření incidentů) používaná k vytváření incidentů z výstrah Defenderu for Cloud. Incidenty defenderu for Cloud se automaticky vytvářejí na portálu Defender a synchronizují se se službou Microsoft Sentinel.
- V případě potřeby použijte pravidla automatizace k ukončení rušicích incidentů nebo použijte integrované možnosti ladění na portálu Defender k potlačení určitých výstrah.
Je také třeba poznamenat následující změnu:
- Akce, která má propojit výstrahy s incidenty portálu Microsoft Defender, se odebere.
Další informace najdete v tématu Ingestování incidentů Microsoft Defenderu for Cloud s integrací XDR v programu Microsoft Defender.
Vypnutí upozornění Defenderu pro cloud
Upozornění pro Defender for Cloud jsou ve výchozím nastavení zapnutá. Pokud chcete zachovat nastavení na základě předplatného a vyhnout se synchronizaci na základě tenanta nebo se z tohoto prostředí odhlásit, proveďte následující kroky:
- Na portálu Microsoft Defender přejděte na Nastavení>Microsoft Defender XDR.
- V části Nastavení služby upozornění vyhledejte upozornění Microsoft Defenderu pro cloud.
- Výběrem možnosti Žádné výstrahy vypněte všechna upozornění Defenderu pro cloud. Výběrem této možnosti zastavíte příjem nových upozornění Defenderu pro cloud na portál. Dříve ingestované výstrahy zůstanou na stránce upozornění nebo incidentu.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.