Riasztások betöltése a Microsoft Sentinelbe Felhőhöz készült Microsoft Defender

Felhőhöz készült Microsoft Defender integrált felhőbeli számítási feladatok védelme lehetővé teszi a hibrid és többfelhős számítási feladatok fenyegetéseinek észlelését és gyors reagálását.

Ez az összekötő lehetővé teszi, hogy a biztonsági riasztásokat a Felhőhöz készült Defender a Microsoft Sentinelbe betöltse, így szélesebb körű szervezeti fenyegetéskörnyezetben tekintheti meg, elemezheti és válaszolhatja meg a Defender-riasztásokat és az általuk generált incidenseket.

Mivel Felhőhöz készült Microsoft Defender Defender-csomagok előfizetésenként engedélyezve vannak, ez az adatösszekötő az egyes előfizetések esetében külön is engedélyezve van vagy le van tiltva.

Az új bérlőalapú Felhőhöz készült Microsoft Defender összekötő előzetes verzióban lehetővé teszi Felhőhöz készült Defender riasztások gyűjtését a teljes bérlőn anélkül, hogy külön kellene engedélyeznie az egyes előfizetéseket. Emellett Felhőhöz készült Defender Microsoft Defender XDR-vel (korábbi nevén Microsoft 365 Defender) való integrációját is kihasználva biztosítja, hogy az összes Felhőhöz készült Defender riasztás teljes mértékben szerepeljen a Microsoft Defender XDR incidensintegrációján keresztül kapott incidensekben.

Megjegyzés:

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Riasztás-szinkronizálás

• Amikor Felhőhöz készült Microsoft Defender csatlakozik a Microsoft Sentinelhez, a rendszer szinkronizálja a Microsoft Sentinelbe beszúrt biztonsági riasztások állapotát a két szolgáltatás között. Így például ha egy riasztás bezárul Felhőhöz készült Defender, az a Microsoft Sentinelben is bezártként jelenik meg.

• A riasztás állapotának Felhőhöz készült Defender módosítása nem befolyásolja a Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensekállapotát, csak magát a riasztást.

Kétirányú riasztás szinkronizálása

A kétirányú szinkronizálás engedélyezése automatikusan szinkronizálja az eredeti biztonsági riasztások állapotát a riasztásokat tartalmazó Microsoft Sentinel-incidensek állapotával. Így például ha egy biztonsági riasztást tartalmazó Microsoft Sentinel-incidens bezárul, a megfelelő eredeti riasztás automatikusan Felhőhöz készült Microsoft Defender lesz bezárva.

Előfeltételek

• Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.

• A Microsoft Sentinelhez csatlakozni kívánt előfizetésen közreműködői vagy tulajdonosi szerepkörnek kell lennie.

• Minden olyan előfizetéshez engedélyeznie kell legalább egy csomagot Felhőhöz készült Microsoft Defender, ahol engedélyezni szeretné az összekötőt. A Microsoft Defender-csomagok előfizetésen való engedélyezéséhez az előfizetés biztonsági Rendszergazda szerepkörrel kell rendelkeznie.

• Minden olyan előfizetéshez regisztrálnia kell az SecurityInsights erőforrás-szolgáltatót, ahol engedélyezni szeretné az összekötőt. Tekintse át az erőforrás-szolgáltató regisztrációs állapotával és a regisztráció módjával kapcsolatos útmutatást.

• A kétirányú szinkronizálás engedélyezéséhez közreműködői vagy biztonsági Rendszergazda szerepkört kell rendelkeznie a megfelelő előfizetésben.

• Telepítse a Felhőhöz készült Microsoft Defender megoldását a Microsoft Sentinel Content Hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Csatlakozás Felhőhöz készült Microsoft Defender

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget a navigációs menüből.

2. Az adatösszekötők gyűjteményében válassza a Felhőhöz készült Microsoft Defender lehetőséget, majd a Részletek panelen válassza az Összekötő megnyitása lapot.

3. A Konfiguráció területen megjelenik a bérlő előfizetéseinek listája, valamint a Felhőhöz készült Microsoft Defender való kapcsolatuk állapota. Válassza az Állapot váltógombot minden olyan előfizetés mellett, amelynek a riasztását a Microsoft Sentinelbe szeretné streamelni. Ha egyszerre több előfizetést szeretne csatlakoztatni, ezt úgy teheti meg, hogy bejelöli a megfelelő előfizetések melletti jelölőnégyzeteket, majd a lista feletti sávon a Csatlakozás gombot választja.

   Megjegyzés:

   • A jelölőnégyzetek és a Csatlakozás kapcsolók csak azon előfizetéseken lesznek aktívak, amelyekhez a szükséges engedélyekkel rendelkezik.
   • A Csatlakozás gomb csak akkor lesz aktív, ha legalább egy előfizetés jelölőnégyzete be van jelölve.

4. Ha engedélyezni szeretné a kétirányú szinkronizálást egy előfizetésen, keresse meg az előfizetést a listában, és válassza az Engedélyezve lehetőséget a Kétirányú szinkronizálás oszlop legördülő listájából. Ha egyszerre több előfizetésen szeretné engedélyezni a kétirányú szinkronizálást, jelölje be a jelölőnégyzeteket, és válassza a kétirányú szinkronizálás engedélyezése gombot a lista feletti sávon.

   Megjegyzés:

   • A jelölőnégyzetek és a legördülő listák csak azon előfizetéseken lesznek aktívak, amelyekhez a szükséges engedélyekkel rendelkezik.
   • A kétirányú szinkronizálás engedélyezése gomb csak akkor lesz aktív, ha legalább egy előfizetés jelölőnégyzete be van jelölve.

5. A lista Microsoft Defender-csomagok oszlopában láthatja, hogy engedélyezve vannak-e a Microsoft Defender-csomagok az előfizetésében (az összekötő engedélyezésének előfeltétele). Az oszlopban szereplő előfizetések értéke üres lesz (vagyis nincs engedélyezve Defender-csomag), "Minden engedélyezve" vagy "Néhány engedélyezve". Azok, akik azt mondják, hogy "Néhány engedélyezve" is rendelkezik egy minden kiválasztható hivatkozás engedélyezéséhez, amely az előfizetéshez tartozó Felhőhöz készült Microsoft Defender konfigurációs irányítópultra viszi, ahol kiválaszthatja az engedélyezni kívánt Defender-csomagokat. A microsoft defender engedélyezése a lista fölötti sávon található összes előfizetéshez hivatkozás gomb a Felhőhöz készült Microsoft Defender Első lépések lapra viszi, ahol kiválaszthatja, hogy mely előfizetések engedélyezik a Felhőhöz készült Microsoft Defender teljes egészében.

   

6. Megadhatja, hogy a Felhőhöz készült Microsoft Defender riasztásai automatikusan generáljanak-e incidenseket a Microsoft Sentinelben. Az Incidensek létrehozása csoportban válassza az Engedélyezve lehetőséget az alapértelmezett elemzési szabály bekapcsolásához, amely automatikusan létrehoz incidenseket a riasztásokból. Ezt a szabályt az Elemzés területen, az Aktív szabályok lapon szerkesztheti.

   Tipp.

   Ha egyéni elemzési szabályokat konfigurál a Felhőhöz készült Microsoft Defender riasztásaihoz, vegye figyelembe a riasztás súlyosságát, hogy elkerülje az incidensek megnyitását az információs riasztásokhoz.

   Az Felhőhöz készült Microsoft Defender tájékoztató riasztásai önmagukban nem jelentenek biztonsági kockázatot, és csak egy meglévő, nyitott incidens kontextusában relevánsak. További információ: Biztonsági riasztások és incidensek a Felhőhöz készült Microsoft Defender.

Az adatok megkeresése és elemzése

Megjegyzés:

A riasztások szinkronizálása mindkét irányban eltarthat néhány percig. Előfordulhat, hogy a riasztások állapotának változásai nem jelennek meg azonnal.

• A biztonsági riasztások a Log Analytics-munkaterület SecurityAlert táblájában vannak tárolva.

• A Log Analytics biztonsági riasztásainak lekérdezéséhez másolja a következőt a lekérdezési ablakba kiindulási pontként:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• További hasznos minta lekérdezéseket, elemzési szabálysablonokat és ajánlott munkafüzeteket az összekötő oldalán a Következő lépések lapon talál.

További lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathat Felhőhöz készült Microsoft Defender a Microsoft Sentinelhez, és hogyan szinkronizálhatja közöttük a riasztásokat. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
• Saját szabályokat írhat a fenyegetések észleléséhez.