Microsoft Defender voor Cloud in de Microsoft Defender-portal
Van toepassing op:
Microsoft Defender for Cloud maakt nu deel uit van Microsoft Defender XDR. Beveiligingsteams hebben nu toegang tot Defender for Cloud-waarschuwingen en -incidenten in de Microsoft Defender-portal, en bieden uitgebreidere context voor onderzoeken die cloudresources, apparaten en identiteiten omvatten. Bovendien kunnen beveiligingsteams een volledig beeld krijgen van een aanval, inclusief verdachte en schadelijke gebeurtenissen die zich in hun cloudomgeving voordoen, door directe correlaties van waarschuwingen en incidenten.
De Microsoft Defender portal combineert mogelijkheden voor beveiliging, detectie, onderzoek en reactie om aanvallen op apparaten, e-mail, samenwerking, identiteit en cloud-apps te beveiligen. De detectie- en onderzoeksmogelijkheden van de portal zijn nu uitgebreid naar cloudentiteiten, waardoor beveiligingsteams één venster van glas hebben om hun operationele efficiëntie aanzienlijk te verbeteren.
Bovendien maken de Defender for Cloud-incidenten en -waarschuwingen nu deel uit van de openbare API van Microsoft Defender XDR. Met deze integratie kunt u gegevens van beveiligingswaarschuwingen exporteren naar elk systeem met behulp van één API.
Vereiste
Als u toegang wilt tot Defender for Cloud-waarschuwingen in de Microsoft Defender portal, moet u zijn geabonneerd op een van de abonnementen die worden vermeld in Uw Azure-abonnementen verbinden.
Vereiste machtigingen
U moet een globale beheerder of een beveiligingsbeheerder in Azure Active Directory zijn om waarschuwingen en correlaties van Defender for Cloud weer te geven. Voor gebruikers die deze rollen niet hebben, is de integratie alleen beschikbaar door geïntegreerde RBAC-rollen (op rollen gebaseerd toegangsbeheer) toe te passen voor Defender for Cloud.
Opmerking
De machtiging voor het weergeven van Defender for Cloud-waarschuwingen en -correlaties is automatisch voor de hele tenant. Het weergeven van specifieke abonnementen wordt niet ondersteund.
Onderzoekservaring in de Microsoft Defender-portal
In de volgende sectie wordt de detectie- en onderzoekservaring in de Microsoft Defender-portal met Defender for Cloud-waarschuwingen beschreven.
Opmerking
Informatieve waarschuwingen van Defender voor Cloud zijn niet geïntegreerd in de Microsoft Defender portal, zodat de focus op de relevante waarschuwingen en waarschuwingen met hoge ernst kan worden gericht. Deze strategie stroomlijnt het beheer van incidenten en vermindert de vermoeidheid van waarschuwingen.
| Gebied | Omschrijving |
|---|---|
| Incidenten | Alle Defender for Cloud-incidenten worden geïntegreerd in de Microsoft Defender-portal. - Het zoeken naar cloudresourceassets in de incidentwachtrij wordt ondersteund. - In de grafiek van het aanvalsverhaal wordt de cloudresource weergegeven. - Op het tabblad Assets op een incidentpagina wordt de cloudresource weergegeven. - Elke virtuele machine heeft een eigen apparaatpagina met alle gerelateerde waarschuwingen en activiteiten. Er zijn geen duplicaties van incidenten van andere Defender-workloads. |
| Waarschuwingen | Alle Defender for Cloud-waarschuwingen, inclusief waarschuwingen van meerdere clouds, interne en externe providers, worden geïntegreerd in de Microsoft Defender portal. Defender for Cloud-waarschuwingen worden weergegeven in de waarschuwingswachtrij van Microsoft Defender portal. De cloudresourceasset wordt weergegeven op het tabblad Asset van een waarschuwing. Resources worden duidelijk geïdentificeerd als een Azure-, Amazon- of Google Cloud-resource.Defender for Cloud-waarschuwingen worden automatisch gekoppeld aan een tenant.Er zijn geen duplicatie van waarschuwingen van andere Defender-workloads. |
| Correlatie van waarschuwingen en incidenten | Waarschuwingen en incidenten worden automatisch gecorreleerd, waardoor beveiligingsteams een robuuste context krijgen om het volledige aanvalsverhaal in hun cloudomgeving te begrijpen. |
| Detectie van bedreigingen | Nauwkeurige afstemming van virtuele entiteiten met apparaatentiteiten om precisie en effectieve detectie van bedreigingen te garanderen. |
| Geïntegreerde API | Defender for Cloud-waarschuwingen en -incidenten zijn nu opgenomen in de openbare API van Microsoft Defender XDR, zodat klanten hun gegevens van beveiligingswaarschuwingen naar andere systemen kunnen exporteren met behulp van één API. |
Impact op Microsoft Sentinel-gebruikers
Microsoft Sentinel-klanten die Microsoft Defender XDR incidenten integrerenen Defender for Cloud-waarschuwingen opnemen, moeten de volgende configuratiewijzigingen aanbrengen om ervoor te zorgen dat dubbele waarschuwingen en incidenten niet worden gemaakt:
- Verbind de tenantgebaseerde Microsoft Defender voor Cloud-connector (preview) om de verzameling waarschuwingen van al uw abonnementen te synchroniseren met Defender for Cloud-incidenten op basis van tenants die worden gestreamd via de connector Microsoft Defender XDR Incidenten.
- Verbreek de verbinding met de connector voor Microsoft Defender voor cloudwaarschuwingen (verouderd) om dubbele waarschuwingen te voorkomen.
- Schakel alle analyseregels uit( geplande (reguliere querytype) of Microsoft-beveiligingsregels (incident maken) die worden gebruikt om incidenten te maken vanuit Defender for Cloud-waarschuwingen. Defender for Cloud-incidenten worden automatisch gemaakt in de Defender-portal en gesynchroniseerd met Microsoft Sentinel.
- Gebruik zo nodig automatiseringsregels om luidruchtige incidenten te sluiten of gebruik de ingebouwde afstemmingsmogelijkheden in de Defender-portal om bepaalde waarschuwingen te onderdrukken.
De volgende wijziging moet ook worden opgemerkt:
- De actie voor het koppelen van waarschuwingen aan de Microsoft Defender portalincidenten wordt verwijderd.
Zie Opnemen Microsoft Defender voor cloudincidenten met Microsoft Defender XDR-integratie voor meer informatie.
Defender for Cloud-waarschuwingen uitschakelen
De waarschuwingen voor Defender for Cloud zijn standaard ingeschakeld. Voer de volgende stappen uit om uw abonnementsinstellingen te behouden en synchronisatie op basis van tenants te voorkomen of om u af te zien van de ervaring:
- Ga in de Microsoft Defender portal naar Instellingen>Microsoft Defender XDR.
- Zoek in Instellingen voor waarschuwingsservicenaar Microsoft Defender voor cloudwaarschuwingen.
- Selecteer Geen waarschuwingen om alle Defender for Cloud-waarschuwingen uit te schakelen. Als u deze optie selecteert, stopt u de opname van nieuwe Defender for Cloud-waarschuwingen in de portal. Waarschuwingen die eerder zijn opgenomen, blijven op een waarschuwings- of incidentpagina.
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor