riasztások Csatlakozás Felhőhöz készült Microsoft Defender a Microsoft Sentinelnek

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissítjük ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Háttér

Megjegyzés

  • Felhőhöz készült Microsoft Defender korábban Azure Security Center néven ismerték.
  • Felhőhöz készült Defender továbbfejlesztett biztonsági funkcióit korábban együttesen Azure Defenderként ismerték.

Felhőhöz készült Microsoft Defender integrált felhőalapú számítási feladatok védelme lehetővé teszi a hibrid és többfelhős számítási feladatok fenyegetéseinek észlelését és gyors reagálását.

Ezzel az összekötővel biztonsági riasztásokat streamelhet Felhőhöz készült Defender-ból a Microsoft Sentinelbe, így szélesebb körű szervezeti fenyegetési környezetben tekintheti meg, elemezheti és válaszolhatja meg a Defender-riasztásokat és az általuk generált incidenseket.

Mivel Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkciói előfizetésenként engedélyezve vannak, ez az adatösszekötő az egyes előfizetések esetében külön is engedélyezve van vagy le van tiltva.

Megjegyzés

Az USA kormányzati felhőiben elérhető funkciókról a Microsoft Sentinel felhőbeli funkcióinak rendelkezésre állásával kapcsolatos információkat az USA kormányzati ügyfeleinek szóló Microsoft Sentinel-táblákban talál.

Riasztások szinkronizálása

  • Amikor Felhőhöz készült Microsoft Defender csatlakozik a Microsoft Sentinelhez, a Microsoft Sentinelbe betöltött biztonsági riasztások állapota szinkronizálódik a két szolgáltatás között. Így például ha egy riasztás bezárul Felhőhöz készült Defender, az a Microsoft Sentinelben is bezártként jelenik meg.

  • A riasztás állapotának módosítása a Felhőhöz készült Defender nem befolyásolja a Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensek állapotát, csak magát a riasztást.

Kétirányú riasztás szinkronizálása

  • A kétirányú szinkronizálás engedélyezése automatikusan szinkronizálja az eredeti biztonsági riasztások állapotát a riasztásokat tartalmazó Microsoft Sentinel-incidensek állapotával. Így például ha egy biztonsági riasztást tartalmazó Microsoft Sentinel-incidens bezárul, a megfelelő eredeti riasztás automatikusan Felhőhöz készült Microsoft Defender bezáródik.

Előfeltételek

  • Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.

  • A streamelt naplók előfizetéseiben biztonsági olvasói szerepkörnek kell lennie.

  • Minden olyan előfizetéshez engedélyeznie kell legalább egy csomagot Felhőhöz készült Microsoft Defender, ahol engedélyezni szeretné az összekötőt. Ha engedélyezni szeretné a Microsoft Defender-csomagokat egy előfizetésben, az előfizetéshez biztonsági rendszergazdai szerepkörrel kell rendelkeznie.

  • A kétirányú szinkronizálás engedélyezéséhez közreműködői vagy biztonsági rendszergazdai szerepkört kell betöltenie a megfelelő előfizetésben.

Csatlakozás Felhőhöz készült Microsoft Defender

  1. A Microsoft Sentinelben válassza az Adatösszekötőket a navigációs menüből.

  2. Az adatösszekötők gyűjteményében válassza a Felhőhöz készült Microsoft Defender lehetőséget, majd a részletek panelen válassza az Összekötő megnyitása lapot.

  3. A Konfiguráció területen megjelenik a bérlő előfizetéseinek listája, valamint a Felhőhöz készült Microsoft Defender való kapcsolatuk állapota. Válassza az Állapot váltógombot minden olyan előfizetés mellett, amelynek riasztását a Microsoft Sentinelbe szeretné streamelni. Ha egyszerre több előfizetést szeretne csatlakoztatni, ezt úgy teheti meg, hogy bejelöli a megfelelő előfizetések melletti jelölőnégyzeteket, majd a lista feletti sávon a Csatlakozás gombot választja.

    Megjegyzés

    • A jelölőnégyzetek és a Csatlakozás kapcsolók csak azon előfizetésekben lesznek aktívak, amelyekhez rendelkezik a szükséges engedélyekkel.
    • A Csatlakozás gomb csak akkor lesz aktív, ha legalább egy előfizetés jelölőnégyzete be van jelölve.
  4. Ha engedélyezni szeretné a kétirányú szinkronizálást egy előfizetésen, keresse meg az előfizetést a listában, és válassza az Engedélyezve lehetőséget a kétirányú szinkronizálási oszlop legördülő listájából. Ha egyszerre több előfizetésen szeretné engedélyezni a kétirányú szinkronizálást, jelölje be a jelölőnégyzetüket, és válassza a kétirányú szinkronizálás engedélyezése gombot a lista feletti sávon.

    Megjegyzés

    • A jelölőnégyzetek és a legördülő listák csak azokban az előfizetésekben lesznek aktívak, amelyekhez rendelkezik a szükséges engedélyekkel.
    • A kétirányú szinkronizálás engedélyezése gomb csak akkor lesz aktív, ha legalább egy előfizetés jelölőnégyzete be van jelölve.
  5. A lista Microsoft Defender-csomagok oszlopában láthatja, hogy engedélyezve vannak-e a Microsoft Defender-csomagok az előfizetésben (ez az összekötő engedélyezésének előfeltétele). Az oszlopban szereplő előfizetések értéke vagy üres lesz (ami azt jelenti, hogy nincs engedélyezve Defender-csomag), "Minden engedélyezve" vagy "Néhány engedélyezve". Azok, akik azt mondják, hogy "Néhány engedélyezve" is van egy Engedélyezve hivatkozás, amelyet kiválaszthat, amely az előfizetéshez tartozó Felhőhöz készült Microsoft Defender konfigurációs irányítópultra nyitja meg, ahol kiválaszthatja az engedélyezni kívánt Defender-csomagokat. A lista fölötti sávon található Összes előfizetés esetén a Microsoft Defender engedélyezése hivatkozás gomb a Felhőhöz készült Microsoft Defender Első lépések oldalra irányítja, ahol kiválaszthatja, hogy mely előfizetések engedélyezik Felhőhöz készült Microsoft Defender teljes egészében.

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. Megadhatja, hogy a Felhőhöz készült Microsoft Defender riasztásai automatikusan generáljanak-e incidenseket a Microsoft Sentinelben. Az Incidensek létrehozása területen válassza az Engedélyezve lehetőséget az alapértelmezett elemzési szabály bekapcsolásához, amely automatikusan létrehoz incidenseket a riasztásokból. Ezt a szabályt az Elemzés területen, az Aktív szabályok lapon szerkesztheti.

    Tipp

    Amikor egyéni elemzési szabályokat konfigurál a Felhőhöz készült Microsoft Defender riasztásaihoz, vegye figyelembe a riasztás súlyosságát, hogy elkerülje a tájékoztató riasztások incidenseinek megnyitását.

    A Felhőhöz készült Microsoft Defender tájékoztató riasztásai önmagukban nem jelentenek biztonsági kockázatot, és csak egy meglévő, nyitott incidens kontextusában relevánsak. További információ: Biztonsági riasztások és incidensek a Felhőhöz készült Microsoft Defender.

Az adatok megkeresése és elemzése

Megjegyzés

A riasztások szinkronizálása mindkét irányban eltarthat néhány percig. Előfordulhat, hogy a riasztások állapotának változásai nem jelennek meg azonnal.

  • A biztonsági riasztások tárolása a Log Analytics-munkaterület SecurityAlert táblájában történik.

  • A Biztonsági riasztások Log Analyticsben való lekérdezéséhez másolja az alábbiakat a lekérdezési ablakba kiindulási pontként:

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • Az összekötő oldalán található Következő lépések lapon további hasznos minta lekérdezéseket, elemzési szabálysablonokat és ajánlott munkafüzeteket talál.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja Felhőhöz készült Microsoft Defender a Microsoft Sentinelhez, és hogyan szinkronizálhatja a riasztásokat közöttük. A Microsoft Sentinelről az alábbi cikkekben talál további információt: