Alertas e incidentes no Microsoft Defender XDR

O Microsoft Defender for Cloud agora está integrado ao Microsoft Defender XDR. Essa integração permite que as equipes de segurança acessem alertas e incidentes do Defender for Cloud no Portal do Microsoft Defender. Essa integração fornece um contexto mais rico para investigações que abrangem recursos, dispositivos e identidades na nuvem.

A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que acontecem em seu ambiente de nuvem. As equipas de segurança podem atingir este objetivo através de correlações imediatas de alertas e incidentes.

O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, deteção, investigação e resposta. A solução protege contra ataques a dispositivos, e-mail, colaboração, identidade e aplicativos na nuvem. Nossos recursos de deteção e investigação agora são estendidos a entidades na nuvem, oferecendo às equipes de operações de segurança um único painel de vidro para melhorar significativamente sua eficiência operacional.

Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Esta integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender for Cloud, estamos comprometidos em fornecer aos nossos usuários as melhores soluções de segurança possíveis, e essa integração é um passo significativo para alcançar esse objetivo.

Experiência de investigação no Microsoft Defender XDR

A tabela a seguir descreve a experiência de deteção e investigação no Microsoft Defender XDR com alertas do Defender for Cloud.

Área Description
Incidentes Todos os incidentes do Defender for Cloud são integrados ao Microsoft Defender XDR.
- A pesquisa de ativos de recursos de nuvem na fila de incidentes é suportada.
- O gráfico da história de ataque mostra o recurso da nuvem.
- A guia ativos em uma página de incidente mostra o recurso de nuvem.
- Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados.

Não há duplicações de incidentes de outras cargas de trabalho do Defender.
Alertas Todos os alertas do Defender for Cloud, incluindo alertas multicloud, internos e externos, são integrados ao Microsoft Defender XDR. Os alertas do Defenders for Cloud são exibidos na fila de alertas do Microsoft Defender XDR.
Microsoft Defender XDR
O cloud resource ativo aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud.

Os alertas do Defenders for Cloud são automaticamente associados a um inquilino.

Não há duplicações de alertas de outras cargas de trabalho do Defender.
Correlação de alertas e incidentes Alertas e incidentes são correlacionados automaticamente, fornecendo contexto robusto para que as equipes de operações de segurança entendam a história completa de ataque em seu ambiente de nuvem.
Deteção de ameaças Correspondência precisa de entidades virtuais com entidades de dispositivo para garantir precisão e deteção eficaz de ameaças.
API unificada Os alertas e incidentes do Defender for Cloud agora estão incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem seus dados de alertas de segurança para outros sistemas usando uma API.

Saiba mais sobre como lidar com alertas no Microsoft Defender XDR.

Caça avançada em XDR

Os recursos avançados de caça do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender for Cloud. Essa integração permite que as equipes de segurança busquem todos os seus recursos, dispositivos e identidades na nuvem em uma única consulta.

A experiência avançada de caça no Microsoft Defender XDR foi projetada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para caçar ameaças em seu ambiente. A integração com alertas e incidentes do Defender for Cloud permite que as equipes de segurança busquem ameaças em seus recursos, dispositivos e identidades na nuvem.

A tabela CloudAuditEvents em busca avançada permite que você vasculhe eventos de auditoria de nuvem no Microsoft Defender for Cloud e crie deteções personalizadas para exibir atividades suspeitas do plano de controle do Azure Resource Manager e do Kubernetes (KubeAudit).

Clientes Sentinel

Os clientes do Microsoft Sentinel podem se beneficiar da integração do Defender for Cloud com o Microsoft 365 Defender em seus espaços de trabalho usando o conector de incidentes e alertas do Microsoft 365 Defender.

Primeiro, você precisa habilitar a integração de incidentes no conector do Microsoft 365 Defender.

Em seguida, habilite o Tenant-based Microsoft Defender for Cloud (Preview) conector para sincronizar suas assinaturas com os incidentes do Defender for Cloud baseados em locatário para transmitir através do conector de incidentes do Microsoft 365 Defender.

O conector está disponível através da solução Microsoft Defender for Cloud, versão 3.0.0, no Content Hub. Se você tiver uma versão anterior dessa solução, poderá atualizá-la no Hub de conteúdo.

Se você tiver o conector de alertas do Microsoft Defender for Cloud baseado em assinatura herdado habilitado (que é exibido como Subscription-based Microsoft Defender for Cloud (Legacy)), recomendamos que você desconecte o conector para evitar a duplicação de alertas em seus logs.

Recomendamos que você desabilite as regras analíticas habilitadas (agendadas ou por meio de regras de criação da Microsoft) para evitar a criação de incidentes a partir dos alertas do Defender for Cloud.

Você pode usar regras de automação para fechar incidentes imediatamente e evitar que tipos específicos de alertas do Defender for Cloud se tornem incidentes. Você também pode usar os recursos de ajuste internos no portal do Microsoft 365 Defender para evitar que os alertas se tornem incidentes.

Os clientes que integraram seus incidentes do Microsoft 365 Defender no Sentinel e desejam manter suas configurações baseadas em assinatura e evitar a sincronização baseada em locatário podem optar por não sincronizar incidentes e alertas por meio do conector do Microsoft 365 Defender.

Saiba como o Defender for Cloud e o Microsoft 365 Defender lidam com a privacidade dos seus dados.

Alertas de segurança – um guia de referência