Ingerir incidentes do Microsoft Defender for Cloud com integração com o Microsoft Defender XDR

O Microsoft Defender for Cloud agora está integrado ao Microsoft Defender XDR, anteriormente conhecido como Microsoft 365 Defender. Essa integração permite que o Defender XDR colete alertas do Defender for Cloud e crie incidentes do Defender XDR a partir deles.

Graças a essa integração, os clientes do Microsoft Sentinel que habilitam a integração de incidentes do Defender XDR agora podem ingerir e sincronizar incidentes do Defender for Cloud por meio do Microsoft Defender XDR.

Para dar suporte a essa integração, você deve configurar um dos seguintes conectores de dados do Microsoft Defender for Cloud, caso contrário, seus incidentes com o Microsoft Defender for Cloud provenientes do conector XDR do Microsoft Defender não exibirão seus alertas e entidades associados:

  • O Microsoft Sentinel tem um novo conector Microsoft Defender for Cloud (Preview) baseado em locatário. Esse conector permite que os clientes do Microsoft Sentinel recebam alertas do Defender for Cloud em todos os seus locatários, sem precisar monitorar e manter o registro do conector em todas as suas assinaturas do Defender for Cloud. Recomendamos o uso desse novo conector, pois a integração do Microsoft Defender XDR com o Microsoft Defender for Cloud também é implementada no nível do locatário.

  • Como alternativa, você pode usar o conector baseado em assinatura do Microsoft Defender for Cloud (Legacy). Esse conector não é recomendado, pois se você tiver alguma assinatura do Defender for Cloud que não esteja conectada ao Microsoft Sentinel no conector, os incidentes dessas assinaturas não exibirão seus alertas e entidades associados.

Ambos os conectores mencionados acima podem ser usados para ingerir alertas do Defender for Cloud, independentemente de você ter a integração de incidentes do Defender XDR ativada.

Importante

  • A integração do Defender for Cloud com o Defender XDR está agora disponível para o público em geral (GA).

  • O conector do Microsoft Defender for Cloud baseado em locatário está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Escolha como usar essa integração e o novo conector

A forma como você escolhe usar essa integração, e se deseja ingerir incidentes completos ou apenas alertas, dependerá em grande parte do que você já está fazendo em relação aos incidentes do Microsoft Defender XDR.

  • Se você já estiver ingerindo incidentes do Defender XDR ou se estiver optando por começar a fazê-lo agora, é altamente recomendável habilitar esse novo conector baseado em locatário. Seus incidentes do Defender XDR agora incluirão incidentes baseados no Defender for Cloud com alertas totalmente preenchidos de todas as assinaturas do Defender for Cloud em seu locatário.

    Se, nessa situação, você permanecer com o conector do Defender for Cloud baseado em assinatura herdado e não conectar o novo conector baseado em locatário, poderá receber incidentes do Defender for Cloud que contenham alertas vazios (no caso de uma assinatura na qual o conector não esteja registrado).

  • Se você não pretende habilitar a integração de incidentes do Microsoft Defender XDR, ainda poderá receber alertas do Defender for Cloud, independentemente da versão do conector habilitada. No entanto, o novo conector baseado em locatário ainda oferece a vantagem de não precisar das permissões para monitorar e manter sua lista de assinaturas do Defender for Cloud no conector.

  • Se você habilitou a integração do Defender XDR, mas deseja receber apenas alertas do Defender for Cloud, mas não incidentes, você pode usar regras de automação para fechar imediatamente os incidentes do Defender for Cloud à medida que eles chegam.

    Se essa não for uma solução adequada, ou se você ainda quiser coletar alertas do Defender for Cloud por assinatura, poderá desativar completamente a integração do Defender for Cloud no portal Microsoft Defender XDR e, em seguida, usar a versão legada baseada em assinatura do conector do Defender for Cloud para receber esses alertas.

Configurar a integração no Microsoft Sentinel

Se ainda não tiver ativado a integração de incidentes no conector do Microsoft 365 Defender, faça-o primeiro.

Em seguida, habilite o novo conector do Microsoft Defender for Cloud (Visualização) baseado em locatário. Este conector está disponível através da solução Microsoft Defender for Cloud, versão 3.0.0, no Content Hub. Se você tiver uma versão anterior dessa solução, poderá atualizá-la no hub de conteúdo.

Se você já havia ativado o conector legado do Defender for Cloud baseado em assinatura (que será exibido como Microsoft Defender for Cloud (Legado) baseado em assinatura), é aconselhável desativá-lo para evitar a duplicação de alertas em seus logs.

Se você tiver alguma regra de análise de segurança agendada ou da Microsoft que crie incidentes a partir de alertas do Defender for Cloud, você é incentivado a desabilitar essas regras, pois receberá incidentes prontos criados e sincronizados com o Microsoft 365 Defender.

Se houver tipos específicos de alertas do Defender for Cloud para os quais você não deseja criar incidentes, você pode usar regras de automação para fechar esses incidentes imediatamente ou pode usar os recursos de ajuste internos no portal do Microsoft 365 Defender.

Próximos passos

Neste artigo, você aprendeu como usar a integração do Microsoft Defender for Cloud com o Microsoft Defender XDR para ingerir incidentes e alertas no Microsoft Sentinel.

Saiba mais sobre a integração do Microsoft Defender for Cloud com o Microsoft Defender XDR.