Microsoft Defender voor Cloud waarschuwingen opnemen in Microsoft Sentinel

  • Artikel

met de geïntegreerde cloudworkloadbeveiligingen van Microsoft Defender voor Cloud kunt u bedreigingen in hybride en multicloudworkloads detecteren en snel hierop reageren.

Met deze connector kunt u beveiligingswaarschuwingen van Defender voor Cloud opnemen in Microsoft Sentinel, zodat u Defender-waarschuwingen en de incidenten die ze genereren, kunt bekijken, analyseren en erop kunt reageren, in een bredere context van organisatierisico's.

Aangezien Microsoft Defender voor Cloud Defender-abonnementen per abonnement zijn ingeschakeld, wordt deze gegevensconnector ook afzonderlijk ingeschakeld of uitgeschakeld voor elk abonnement.

Met de nieuwe tenant-Microsoft Defender voor Cloud-connector, in PREVIEW, kunt u Defender voor Cloud waarschuwingen verzamelen over uw hele tenant, zonder dat u elk abonnement afzonderlijk hoeft in te schakelen. Het maakt ook gebruik van de integratie van Defender voor Cloud met Microsoft Defender XDR (voorheen Microsoft 365 Defender) om ervoor te zorgen dat al uw Defender voor Cloud waarschuwingen volledig zijn opgenomen in alle incidenten die u ontvangt via Microsoft Defender XDR-incidentintegratie.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Waarschuwingssynchronisatie

  • Wanneer u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel, wordt de status van beveiligingswaarschuwingen die worden opgenomen in Microsoft Sentinel gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Defender voor Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel.

  • Het wijzigen van de status van een waarschuwing in Defender voor Cloud heeft geen invloed op de status van Microsoft Sentinel-incidenten die de Microsoft Sentinel-waarschuwing bevatten, alleen die van de waarschuwing zelf.

Synchronisatie van bidirectionele waarschuwingen

Als u bidirectionele synchronisatie inschakelt, wordt de status van oorspronkelijke beveiligingswaarschuwingen automatisch gesynchroniseerd met die van de Microsoft Sentinel-incidenten die deze waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel-incident met een beveiligingswaarschuwing wordt gesloten, wordt de bijbehorende oorspronkelijke waarschuwing automatisch gesloten in Microsoft Defender voor Cloud.

Vereisten

  • U moet lees- en schrijfmachtigingen hebben voor uw Microsoft Sentinel-werkruimte.

  • U moet de rol Inzender of Eigenaar hebben voor het abonnement dat u wilt verbinden met Microsoft Sentinel.

  • U moet ten minste één abonnement inschakelen binnen Microsoft Defender voor Cloud voor elk abonnement waarvoor u de connector wilt inschakelen. Als u Microsoft Defender-abonnementen voor een abonnement wilt inschakelen, moet u de rol Security Beheer voor dat abonnement hebben.

  • U moet de SecurityInsights resourceprovider registreren voor elk abonnement waarvoor u de connector wilt inschakelen. Bekijk de richtlijnen voor de registratiestatus van de resourceprovider en de manieren om deze te registreren.

  • Als u bidirectionele synchronisatie wilt inschakelen, moet u de rol Inzender of Beveiliging Beheer hebben voor het relevante abonnement.

  • Installeer de oplossing voor Microsoft Defender voor Cloud vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Verbinding maken Microsoft Defender voor Cloud

  1. Selecteer Gegevensconnectors in het navigatiemenu in Microsoft Sentinel.

  2. Selecteer Microsoft Defender voor Cloud in de galerie met gegevensconnectors en selecteer de pagina Connector openen in het detailvenster.

  3. Onder Configuratie ziet u een lijst met de abonnementen in uw tenant en de status van de verbinding met Microsoft Defender voor Cloud. Selecteer de wisselknop Status naast elk abonnement waarvan u waarschuwingen wilt streamen naar Microsoft Sentinel. Als u meerdere abonnementen tegelijk wilt verbinden, kunt u dit doen door de selectievakjes naast de relevante abonnementen te markeren en vervolgens de knop Verbinding maken op de balk boven de lijst te selecteren.

    Notitie

    • De selectievakjes en Verbinding maken wisselknoppen zijn alleen actief voor de abonnementen waarvoor u de vereiste machtigingen hebt.
    • De knop Verbinding maken is alleen actief als het selectievakje van ten minste één abonnement is gemarkeerd.

  4. Als u bidirectionele synchronisatie voor een abonnement wilt inschakelen, zoekt u het abonnement in de lijst en kiest u Ingeschakeld in de vervolgkeuzelijst in de kolom Bidirectionele synchronisatie . Als u bidirectionele synchronisatie voor meerdere abonnementen tegelijk wilt inschakelen, markeert u de selectievakjes en schakelt u de knop Bidirectionele synchronisatie inschakelen in op de balk boven de lijst.

    Notitie

    • De selectievakjes en vervolgkeuzelijsten zijn alleen actief voor de abonnementen waarvoor u de vereiste machtigingen hebt.
    • De knop Bidirectionele synchronisatie inschakelen is alleen actief als het selectievakje van ten minste één abonnement is gemarkeerd.

  5. In de kolom Microsoft Defender-plannen van de lijst kunt u zien of Microsoft Defender-abonnementen zijn ingeschakeld voor uw abonnement (een vereiste voor het inschakelen van de connector). De waarde voor elk abonnement in deze kolom is leeg (wat betekent dat er geen Defender-abonnementen zijn ingeschakeld), 'Alle ingeschakeld' of 'Sommige ingeschakeld'. Degenen met de tekst 'Sommige ingeschakeld' hebben ook een koppeling Alles inschakelen die u kunt selecteren. Hiermee gaat u naar uw Microsoft Defender voor Cloud configuratiedashboard voor dat abonnement, waar u Defender-abonnementen kunt kiezen die u wilt inschakelen. Met de koppelingsknop Microsoft Defender voor alle abonnementen inschakelen op de balk boven de lijst gaat u naar uw Microsoft Defender voor Cloud pagina Aan de slag, waar u kunt kiezen voor welke abonnementen u Microsoft Defender voor Cloud helemaal wilt inschakelen.

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. U kunt selecteren of u wilt dat de waarschuwingen van Microsoft Defender voor Cloud automatisch incidenten genereren in Microsoft Sentinel. Selecteer onder Incidenten maken de optie Ingeschakeld om de standaardanalyseregel in te schakelen waarmee automatisch incidenten worden gemaakt op basis van waarschuwingen. U kunt deze regel vervolgens bewerken onder Analytics op het tabblad Actieve regels .

    Tip

    Houd bij het configureren van aangepaste analyseregels voor waarschuwingen van Microsoft Defender voor Cloud rekening met de ernst van de waarschuwing om te voorkomen dat incidenten worden geopend voor informatieve waarschuwingen.

    Informatieve waarschuwingen in Microsoft Defender voor Cloud geen beveiligingsrisico op zichzelf vertegenwoordigen en zijn alleen relevant in de context van een bestaand, open incident. Zie Beveiligingswaarschuwingen en -incidenten in Microsoft Defender voor Cloud voor meer informatie.

Uw gegevens zoeken en analyseren

Notitie

Waarschuwingssynchronisatie in beide richtingen kan enkele minuten duren. Wijzigingen in de status van waarschuwingen worden mogelijk niet onmiddellijk weergegeven.

  • Beveiligingswaarschuwingen worden opgeslagen in de tabel SecurityAlert in uw Log Analytics-werkruimte.

  • Als u beveiligingswaarschuwingen in Log Analytics wilt opvragen, kopieert u het volgende als uitgangspunt in uw queryvenster:

    SecurityAlert 
| where ProductName == "Azure Security Center"

  • Zie het tabblad Volgende stappen op de connectorpagina voor aanvullende nuttige voorbeeldquery's, sjablonen voor analyseregels en aanbevolen werkmappen.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel en waarschuwingen synchroniseert. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: