Výstrahy a incidenty v XDR v programu Microsoft Defender
Microsoft Defender for Cloud je teď integrovaný s XDR v programu Microsoft Defender. Tato integrace umožňuje týmům zabezpečení přistupovat k výstrahám a incidentům v programu Defender for Cloud na portálu Microsoft Defender. Tato integrace poskytuje širší kontext pro šetření, která zahrnují cloudové prostředky, zařízení a identity.
Partnerství s XDR v programu Microsoft Defender umožňuje bezpečnostním týmům získat úplný přehled o útoku, včetně podezřelých a škodlivých událostí, ke kterým dochází ve svém cloudovém prostředí. Týmy zabezpečení můžou tohoto cíle dosáhnout prostřednictvím okamžitých korelací výstrah a incidentů.
XDR v programu Microsoft Defender nabízí komplexní řešení, které kombinuje možnosti ochrany, detekce, vyšetřování a reakce. Řešení chrání před útoky na zařízení, e-mail, spolupráci, identitu a cloudové aplikace. Naše možnosti detekce a vyšetřování jsou nyní rozšířeny na cloudové entity, které nabízejí týmům operací zabezpečení jediné podokno skla, aby výrazně zlepšily provozní efektivitu.
Incidenty a výstrahy jsou teď součástí veřejného rozhraní API XDR v programu Microsoft Defender. Tato integrace umožňuje exportovat data výstrah zabezpečení do libovolného systému pomocí jednoho rozhraní API. Jako Microsoft Defender pro cloud jsme se zavázali poskytovat našim uživatelům nejlepší možná řešení zabezpečení a tato integrace je významným krokem k dosažení tohoto cíle.
Prostředí pro šetření v XDR v programu Microsoft Defender
Následující tabulka popisuje možnosti detekce a prověřování v XDR v programu Microsoft Defender s upozorněními Defenderu pro cloud.
| Oblast | Popis |
|---|---|
| Incidenty | Všechny incidenty Defenderu pro cloud jsou integrované do XDR v programu Microsoft Defender. – Vyhledávání prostředků cloudu ve frontě incidentů je podporováno. – Graf scénáře útoku zobrazuje cloudový prostředek. – Karta Prostředky na stránce incidentu zobrazuje cloudový prostředek. – Každý virtuální počítač má vlastní stránku entity obsahující všechny související výstrahy a aktivitu. Neexistují žádné duplikace incidentů z jiných úloh Defenderu. |
| Výstrahy | Všechny výstrahy Defenderu pro cloud, včetně upozornění multicloudu, interních a externích poskytovatelů, jsou integrované do XDR v programu Microsoft Defender. Výstrahy Defenderu pro cloud se zobrazují ve frontě upozornění XDR v programu Microsoft Defender. Microsoft Defender XDR Prostředek cloud resource se zobrazí na kartě Asset výstrahy. Prostředky jsou jasně označené jako prostředek Azure, Amazon nebo Google Cloud. Výstrahy Defenderu pro cloud se automaticky přidružují k tenantovi. Z jiných úloh Defenderu neexistují žádné duplicity výstrah. |
| Korelace výstrah a incidentů | Výstrahy a incidenty se automaticky korelují a poskytují robustní kontext týmům operací zabezpečení, aby porozuměly kompletnímu scénáři útoku ve svém cloudovém prostředí. |
| Detekce hrozeb | Přesné porovnávání virtuálních entit s entitami zařízení za účelem zajištění přesnosti a efektivní detekce hrozeb. |
| Unified API | Ve veřejném rozhraní API XDR v programu Microsoft Defender jsou teď zahrnutá upozornění a incidenty Defenderu pro cloud, což zákazníkům umožňuje exportovat data výstrah zabezpečení do jiných systémů pomocí jednoho rozhraní API. |
Přečtěte si další informace o zpracování výstrah v XDR v programu Microsoft Defender.
Zákazníci služby Sentinel
Zákazníci Microsoft Sentinelu můžou využívat integraci Defenderu pro cloud s Microsoft 365 Defenderem ve svých pracovních prostorech pomocí incidentů a výstrah Microsoft 365 Defenderu.
Nejdřív musíte povolit integraci incidentů v konektoru Microsoft 365 Defender.
Potom konektoru povolte Tenant-based Microsoft Defender for Cloud (Preview) synchronizaci vašich předplatných s incidenty Defenderu pro cloud založenými na tenantovi, aby streamovat prostřednictvím konektoru incidentů Microsoftu 365 Defenderu.
Konektor je k dispozici prostřednictvím řešení Microsoft Defender for Cloud verze 3.0.0 v centru obsahu. Pokud máte starší verzi tohoto řešení, můžete ho upgradovat v centru obsahu.
Pokud máte povolený starší konektor Microsoft Defenderu pro upozornění cloudu založený na předplatném (který se zobrazuje jako Subscription-based Microsoft Defender for Cloud (Legacy)), doporučujeme konektor odpojit, abyste zabránili duplikování výstrah v protokolech.
Doporučujeme zakázat analytická pravidla, která jsou povolená (naplánovaná nebo prostřednictvím pravidel pro vytváření Microsoftu), z vytváření incidentů z výstrah Defenderu pro cloud.
Pomocí pravidel automatizace můžete okamžitě zavřít incidenty a zabránit tomu, aby se konkrétní typy výstrah Defenderu pro cloud staly incidenty. Můžete také použít integrované možnosti ladění na portálu Microsoft 365 Defender, abyste zabránili tomu, aby se upozornění stala incidenty.
Zákazníci, kteří integrovali své incidenty Microsoft 365 Defenderu do služby Sentinel a chtějí zachovat nastavení na základě předplatného a vyhnout se synchronizaci na základě tenanta, se můžou vyjádřit k nesouhlasu se synchronizací incidentů a upozornění prostřednictvím konektoru Microsoft 365 Defender.
Přečtěte si, jak Defender for Cloud a Microsoft 365 Defender zpracovávají ochranu osobních údajů vašich dat.