Microsoft Defender for Cloud en el portal de Microsoft Defender

Se aplica a:

Microsoft Defender for Cloud ahora forma parte de Microsoft Defender XDR. Los equipos de seguridad ahora pueden acceder a alertas e incidentes de Defender for Cloud en el portal de Microsoft Defender, lo que proporciona un contexto más completo a las investigaciones que abarcan recursos, dispositivos e identidades en la nube. Además, los equipos de seguridad pueden obtener la imagen completa de un ataque, incluidos los eventos sospechosos y malintencionados que se producen en su entorno de nube, a través de correlaciones inmediatas de alertas e incidentes.

El portal de Microsoft Defender combina funcionalidades de protección, detección, investigación y respuesta para proteger los ataques en aplicaciones de dispositivo, correo electrónico, colaboración, identidad y nube. Las funcionalidades de detección e investigación del portal ahora se amplían a las entidades en la nube, lo que ofrece a los equipos de operaciones de seguridad un único panel de cristal para mejorar significativamente su eficacia operativa.

Además, los incidentes y alertas de Defender for Cloud ahora forman parte de la API pública de XDR de Microsoft Defender. Esta integración permite exportar datos de alertas de seguridad a cualquier sistema mediante una única API.

Requisito previo

Para garantizar el acceso a las alertas de Defender for Cloud en el portal de Microsoft Defender, debe suscribirse a cualquiera de los planes enumerados en Conexión de las suscripciones de Azure.

Permisos necesarios

Nota:

El permiso para ver las alertas y correlaciones de Defender for Cloud es automático para todo el inquilino. No se admite la visualización de suscripciones específicas. Puede usar el filtro de identificador de suscripción de alerta para ver las alertas de Defender for Cloud asociadas a una suscripción específica de Defender for Cloud en las colas de alertas e incidentes. Obtenga más información sobre los filtros.

La integración solo está disponible aplicando el rol de control de acceso unificado (RBAC) unificado de XDR de Microsoft Defender para Defender for Cloud. Para ver las alertas y correlaciones de Defender for Cloud sin RBAC unificado de Defender XDR, debe ser administrador global o administrador de seguridad en Azure Active Directory.

Importante

Administrador global es un rol con privilegios elevados que debe limitarse a escenarios en los que no se puede usar un rol existente. Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización.

Experiencia de investigación en el portal de Microsoft Defender

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

En la sección siguiente se describe la experiencia de detección e investigación en el portal de Microsoft Defender con alertas de Defender for Cloud.

Área Descripción
Incidentes Todos los incidentes de Defender for Cloud se integrarán en el portal de Microsoft Defender.

: se admite la búsqueda de recursos en la nube en la cola de incidentes .
- El gráfico del caso de ataque mostrará el recurso en la nube.
- La pestaña recursos de una página de incidente mostrará el recurso en la nube.
- Cada máquina virtual tiene su propia página de dispositivo que contiene todas las alertas y actividades relacionadas.

No habrá duplicación de incidentes de otras cargas de trabajo de Defender.
Alertas Todas las alertas de Defender for Cloud, incluidas las alertas de proveedores externos, internos e internos, se integrarán en el portal de Microsoft Defender. Las alertas de Defender for Cloud se mostrarán en la cola de alertas del portal de Microsoft Defender.

El recurso de recurso en la nube se mostrará en la pestaña Recurso de una alerta. Los recursos se identifican claramente como recursos de Azure, Amazon o Google Cloud.

Las alertas de Defender for Cloud se asociarán automáticamente a un inquilino.

No habrá duplicación de alertas de otras cargas de trabajo de Defender.
Correlación de alertas e incidentes Las alertas e incidentes se correlacionan automáticamente, lo que proporciona un contexto sólido a los equipos de operaciones de seguridad para comprender la historia completa de ataques en su entorno en la nube.
Detección de amenazas Coincidencia precisa de entidades virtuales con entidades de dispositivo para garantizar la precisión y la detección eficaz de amenazas.
API unificada Las alertas e incidentes de Defender for Cloud ahora se incluyen en la API pública de Microsoft Defender XDR, lo que permite a los clientes exportar sus datos de alertas de seguridad a otros sistemas mediante una API.
Búsqueda avanzada (versión preliminar) La información sobre los eventos de auditoría en la nube para varias plataformas en la nube protegidas por Defender for Cloud de la organización está disponible a través de la tabla CloudAuditEvents en búsqueda avanzada.

Nota:

Las alertas informativas de Defender for Cloud no se integran en el portal de Microsoft Defender para permitir centrarse en las alertas pertinentes y de alta gravedad. Esta estrategia simplifica la administración de incidentes y reduce la fatiga de alertas.

Impacto para los usuarios de Microsoft Sentinel

Los clientes de Microsoft Sentinel que integran incidentes XDR de Microsoft Defendere ingieren alertas de Defender for Cloud son necesarios para realizar los siguientes cambios de configuración para asegurarse de que no se crean alertas e incidentes duplicados:

  • Conecte el conector de Microsoft Defender for Cloud (versión preliminar) basado en inquilinos para sincronizar la recopilación de alertas de todas las suscripciones con incidentes de Defender for Cloud basados en inquilinos que se transmiten a través del conector de incidentes XDR de Microsoft Defender.
  • Desconecte el conector de alertas de Microsoft Defender for Cloud (heredado) basado en suscripciones para evitar duplicados de alertas.
  • Desactive las reglas de análisis (programadas (tipo de consulta normal) o de seguridad de Microsoft (creación de incidentes) que se usen para crear incidentes a partir de alertas de Defender for Cloud. Los incidentes de Defender for Cloud se crean automáticamente en el portal de Defender y se sincronizan con Microsoft Sentinel.
  • Si es necesario, use reglas de automatización para cerrar incidentes ruidosos o use las funcionalidades de optimización integradas en el portal de Defender para suprimir determinadas alertas.

También debe tenerse en cuenta el siguiente cambio:

  • Se quita la acción para relacionar alertas con los incidentes del portal de Microsoft Defender.

Obtenga más información en Ingesta de incidentes de Microsoft Defender for Cloud con la integración de XDR de Microsoft Defender.

Desactivar alertas de Defender for Cloud

Las alertas de Defender for Cloud están activadas de forma predeterminada. Para mantener la configuración basada en suscripciones y evitar la sincronización basada en inquilinos o no participar en la experiencia, siga estos pasos:

  1. En el portal de Microsoft Defender, vaya a Configuración XDR> deMicrosoft Defender.
  2. En Configuración del servicio de alertas, busque alertas de Microsoft Defender for Cloud.
  3. Seleccione Sin alertas para desactivar todas las alertas de Defender for Cloud. Al seleccionar esta opción, se detiene la ingesta de nuevas alertas de Defender for Cloud en el portal. Las alertas ingeridas anteriormente permanecen en una página de alerta o incidente.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.