适用于:
Microsoft Defender for Cloud 与 Microsoft Defender 扩展检测和响应(XDR)集成。 此集成允许安全团队访问 Microsoft Defender 门户中的 Defender for Cloud 警报和事件。 该集成为涉及云资源、设备和身份的调查提供了更丰富的上下文。
与 Microsoft Defender XDR 的合作伙伴关系使安全团队能够全面了解攻击,包括在云环境中发生的可疑和恶意事件。 安全团队可以通过直接关联警报和事件来实现此目标。
Microsoft Defender XDR 提供了一个全面的解决方案,将保护、检测、调查和响应功能结合使用。 该解决方案可防范对设备、电子邮件、协作、标识和云应用的攻击。 我们的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,可以显著提高其运营效率。
事件和警报现在是 Microsoft Defender XDR 的公共 API 的一部分。 这种集成允许使用单个 API 将安全警报数据导出到任何系统。 作为 Microsoft Defender for Cloud 的开发者,我们致力于为用户提供最佳的安全解决方案,这种集成是实现该目标的重要一步。
先决条件
访问 Microsoft Defender 门户中的 Defender for Cloud 警报取决于已启用哪些 Defender for Cloud 计划。 详细了解不同的 Defender for Cloud 计划保护。
注释
查看 Defender for Cloud 警报和关联的权限对于整个租户都是自动的。 不支持查看特定订阅。 使用 警报订阅 ID 筛选器查看警报和事件队列中与特定 Defender for Cloud 订阅关联的 Defender for Cloud 警报。 详细了解 筛选器。
集成只能通过应用适用于 Defender for Cloud 的相应Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 角色来实现。 若要在不Defender XDR统一 RBAC 的情况下查看 Defender for Cloud 警报和关联,你必须是 Azure Active Directory 中的全局管理员或安全管理员。
Microsoft Defender XDR 中的调查体验
下表介绍了在 Microsoft Defender XDR 中使用 Defender for Cloud 警报进行检测和调查的体验。
| 范围 | 说明 |
|---|---|
| 事故 | 所有 Defender for Cloud 事件都已集成到 Microsoft Defender XDR。 - 支持在事件队列中搜索云资源资产。 - 攻击情景图表显示云资源。 - 事件页中的“资产”选项卡显示云资源。 - 每个虚拟机都有自己的实体页面,其中包含所有相关的警报和活动。 其他 Defender 工作负载中不存在重复事件。 |
| 警报 | 所有 Defender for Cloud 警报(包括多云、内部和外部提供程序的警报)都集成到 Microsoft Defender XDR。 Defender for Cloud 警报在 Microsoft Defender XDR 警报队列上显示。 Microsoft Defender XDR cloud resource 资产显示在警报的“资产”选项卡中。 资源明确标识为 Azure、Amazon 或 Google Cloud 资源。 Defender for Cloud 警报会自动与租户关联。 其他 Defender 工作负载中不存在重复警报。 |
| 警报和事件关联 | 警报和事件自动关联,为安全运营团队提供强大的上下文,让其了解其云环境中的完整攻击情景。 |
| 威胁检测 | 虚拟实体与设备实体精准匹配,确保威胁检测精准有效。 |
| Unified API | Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API 中,客户可使用一个 API 将其安全警报数据导出到其他系统。 |
注释
Defender for Cloud 的信息警报未集成到 Microsoft Defender 门户,以便专注于相关和高严重性警报。 此策略可简化事件的管理并减少警报疲劳。
XDR 中的高级搜寻
Microsoft Defender XDR 的高级搜寻功能已扩展为包括 Defender for Cloud 警报和事件。 此集成允许安全团队在单个查询中搜寻其所有云资源、设备和标识。
Microsoft Defender XDR 中的高级搜寻体验旨在为安全团队提供创建自定义查询的灵活性,以在其环境中搜寻威胁。 与 Defender for Cloud 警报和事件的集成允许安全团队在其云资源、设备和标识中搜寻威胁。
在高级狩猎中使用 CloudAuditEvents 表,可以调查和追踪控制平面事件,并创建自定义检测来揭示可疑的 Azure 资源管理器和 Kubernetes (KubeAudit) 控制平面活动。
在高级搜寻中使用 CloudProcessEvents 表,可以对云基础结构中调用的可疑活动进行会审和调查,并创建自定义检测,其中包含有关流程详细信息的信息。
Microsoft Sentinel 客户
Microsoft Sentinel 客户在集成 Microsoft Defender XDR 事件并接收 Defender for Cloud 警报时,必须执行以下步骤以防止重复的警报和事件。
在 Microsoft Sentinel 中,配置 基于租户的 Microsoft Defender for Cloud(预览版) 数据连接器。 此数据连接器包含在 Microsoft Defender for Cloud 解决方案中,可从 Microsoft Sentinel 内容中心获取。
“基于租户的 Microsoft Defender for Cloud(预览版)”数据连接器将来自所有订阅的警报集合与通过 Microsoft Defender XDR 事件连接器流式传输的基于租户的 Defender for Cloud 事件进行同步。 Defender for Cloud 事件与租户的所有订阅相关。
如果在 Defender 门户中使用多个Microsoft Sentinel 工作区,则关联的 Defender for Cloud 事件将流式传输到主工作区。 有关详细信息,请参阅 Defender 门户中的多个Microsoft Sentinel工作区。
断开“基于订阅的 Microsoft Defender for Cloud(旧版)”数据连接器的连接,以防止出现重复的警报。
关闭用于根据 Defender for Cloud 警报创建事件的任何分析规则:已计划(定期查询类型)或 Microsoft 安全性(事件创建)规则。
如有必要, 请使用自动化规则 关闭干扰事件,或使用 Defender 门户中的内置优化功能 来抑制某些警报。
如果已将 Microsoft Defender XDR 事件集成到 Microsoft Sentinel,并希望保留其基于订阅的设置并避免基于租户的同步,请选择不要从 Microsoft Defender XDR 同步事件和警报:
在 Microsoft Defender 门户中,转到 “设置” > Microsoft Defender XDR。
在 警报服务设置中,查找 Microsoft Defender for Cloud 警报。
选择“ 无警报 ”可关闭所有 Defender for Cloud 警报。 选择此选项将停止将新的 Defender for Cloud 警报传递到Microsoft Defender XDR。 以前引入的警报仍保留在警报或事件页中。
有关详细信息,请参阅: