Alertas e incidentes en Microsoft Defender XDR

Microsoft Defender for Cloud ahora está integrado con XDR de Microsoft Defender. Esta integración permite a los equipos de seguridad acceder a las alertas e incidentes de Defender for Cloud desde el portal de Microsoft Defender. Esta integración proporciona un contexto más completo para las investigaciones que abarcan recursos en la nube, dispositivos e identidades.

La asociación con Microsoft Defender XDR permite a los equipos de seguridad obtener la imagen completa de un ataque, incluidos los eventos sospechosos y maliciosos que se producen en su entorno de nube. Los equipos de seguridad pueden lograr este objetivo mediante correlaciones inmediatas de alertas e incidentes.

Microsoft Defender XDR ofrece una solución integral que combina funciones de protección, detección, investigación y respuesta. La solución protege contra ataques a dispositivos, correo electrónico, colaboración, identidad y aplicaciones en la nube. Nuestras funcionalidades de detección e investigación ahora se extienden a las entidades en la nube, ofreciendo a los equipos de operaciones de seguridad de panel único para mejorar significativamente su eficiencia operativa.

Los incidentes y las alertas forman ahora parte de la API pública de Microsoft Defender XDR. Esta integración permite exportar datos de alertas de seguridad a cualquier sistema mediante una sola API. Como Microsoft Defender for Cloud, nos comprometemos a proporcionar a nuestros usuarios las mejores soluciones de seguridad, y esta integración es un paso importante para lograr ese objetivo.

Experiencia en investigación en Microsoft Defender XDR

La siguiente tabla describe la experiencia de detección e investigación en Microsoft Defender XDR con alertas de Defender for Cloud.

Área Descripción
Incidentes Todos los incidentes de Defender for Cloud se integran en Microsoft Defender XDR.
- Se admite la búsqueda de recursos en la nube en la cola de incidentes.
- El grafo historia de ataque muestra el recurso en la nube.
- La pestaña recursos en una página de incidentes muestra el recurso en la nube.
- Cada máquina virtual tiene su propia página de entidad que contiene todas las alertas y actividades relacionadas.

No hay duplicaciones de incidentes de otras cargas de trabajo de Defender.
Alertas Todas las alertas de Defender for Cloud, incluidas las alertas multinube, de proveedores internos y externos, se integran en Microsoft Defender XDR. Las alertas de Defenders for Cloud se muestran en la cola de alertas de Microsoft Defender XDR.
Microsoft Defender XDR
El recurso cloud resource se muestra en la pestaña Recurso de una alerta. Los recursos se identifican claramente como un recurso de Azure, Amazon o Google Cloud.

Las alertas de Defender for Cloud se asocian automáticamente a un inquilino.

No hay duplicaciones de alertas de otras cargas de trabajo de Defender.
Correlación de alertas e incidentes Las alertas y los incidentes se correlacionan automáticamente, lo que proporciona un contexto sólido a los equipos de operaciones de seguridad para comprender todo el caso de ataque en su entorno de nube.
Detección de amenazas Coincidencia precisa de entidades virtuales con entidades de dispositivo para garantizar la precisión y la detección eficaz de amenazas.
Unified API Las alertas e incidentes de Defender for Cloud se incluyen ahora en la API pública de Microsoft Defender XDR, lo que permite a los clientes exportar sus datos de alertas de seguridad a otros sistemas utilizando una API.

Más información sobre el control de alertas en Microsoft Defender XDR.

Búsqueda avanzada en XDR

Las funcionalidades de búsqueda avanzada de XDR de Microsoft Defender se amplían para incluir alertas e incidentes de Defender for Cloud. Esta integración permite a los equipos de seguridad buscar en todos sus recursos, dispositivos e identidades en la nube en una sola consulta.

La experiencia de búsqueda avanzada en XDR de Microsoft Defender está diseñada para proporcionar a los equipos de seguridad la flexibilidad necesaria para la creación de consultas personalizadas para buscar amenazas en su entorno. La integración con alertas e incidentes de Defender for Cloud permite a los equipos de seguridad buscar amenazas en sus recursos, dispositivos e identidades en la nube.

La tabla CloudAuditEvents en la búsqueda avanzada le permite buscar eventos de auditoría en la nube en Microsoft Defender for Cloud y crear detecciones personalizadas para exponer actividades sospechosas del plano de control de Azure Resource Manager y Kubernetes (KubeAudit).

Clientes de Sentinel

Los clientes de Microsoft Sentinel pueden beneficiarse de la integración de Defender for Cloud con Microsoft 365 Defender en sus áreas de trabajo mediante el conector de incidentes y alertas de Microsoft 365 Defender.

En primer lugar, debe habilitar la integración de incidencias en el conector de Microsoft 365 Defender.

A continuación, habilite el conector Tenant-based Microsoft Defender for Cloud (Preview) para sincronizar las suscripciones con los incidentes de Defender for Cloud basados en inquilinos para transmitirlos a través del conector de incidentes de Microsoft 365 Defender.

El conector está disponible a través de la solución Microsoft Defender for Cloud, versión 3.0.0, en el Centro de contenido. Si tiene una versión anterior de esta solución, puede actualizarla en el Centro de contenido.

Si tiene habilitado el conector de alertas heredado de Microsoft Defender for Cloud basado en suscripción (que se muestra como Subscription-based Microsoft Defender for Cloud (Legacy)), le recomendamos que desconecte el conector para evitar la duplicación de alertas en sus registros.

Le recomendamos que deshabilite las reglas analíticas que estén habilitadas (ya sean programadas o a través de reglas de creación de Microsoft), para que no creen incidentes a partir de sus alertas de Defender for Cloud.

Puede usar reglas de automatización para cerrar incidentes inmediatamente y evitar que determinados tipos de alertas de Defender for Cloud se conviertan en incidentes. También puede utilizar las funciones de ajuste integradas en el portal de Microsoft 365 Defender para evitar que las alertas se conviertan en incidentes.

Los clientes que integraron sus incidentes de Microsoft 365 Defender en Sentinel y desean mantener la configuración basada en suscripción y evitar la sincronización basada en inquilinos pueden optar por no sincronizar incidentes y alertas a través del conector de Microsoft 365 Defender.

Descubra cómo Defender for Cloud y Microsoft 365 Defender manejan la privacidad de sus datos.

Alertas de seguridad: una guía de referencia