Microsoft Defender para Nuvem no portal do Microsoft Defender
Aplica-se a:
Microsoft Defender para Nuvem agora faz parte do Microsoft Defender XDR. As equipes de segurança agora podem acessar alertas e incidentes do Defender para Nuvem no portal Microsoft Defender, fornecendo um contexto mais avançado para investigações que abrangem recursos de nuvem, dispositivos e identidades. Além disso, as equipes de segurança podem obter a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que acontecem em seu ambiente de nuvem, por meio de correlações imediatas de alertas e incidentes.
O portal Microsoft Defender combina recursos de proteção, detecção, investigação e resposta para proteger ataques em aplicativos de dispositivo, email, colaboração, identidade e nuvem. As funcionalidades de detecção e investigação do portal agora são estendidas a entidades de nuvem, oferecendo às equipes de operações de segurança um único painel de vidro para melhorar significativamente sua eficiência operacional.
Além disso, os incidentes e alertas do Defender para Nuvem agora fazem parte da API pública do Microsoft Defender XDR. Essa integração permite a exportação de dados de alertas de segurança para qualquer sistema usando uma única API.
Pré-requisito
Para garantir o acesso aos alertas do Defender para Nuvem no portal do Microsoft Defender, você deve ser inscrito em qualquer um dos planos listados em Conectar suas assinaturas do Azure.
Permissões obrigatórias
Você deve ser um administrador global ou um administrador de segurança no Azure Active Directory para exibir alertas e correlações do Defender para Nuvem. Para usuários que não têm essas funções, a integração só está disponível aplicando funções de RBAC (controle de acesso baseado em função) unificadas para o Defender para Nuvem.
Observação
A permissão para exibir alertas e correlações do Defender para Nuvem é automática para todo o locatário. Não há suporte para exibição de assinaturas específicas.
Experiência de investigação no portal do Microsoft Defender
A seção a seguir descreve a experiência de detecção e investigação no portal Microsoft Defender com alertas do Defender para Nuvem.
Observação
Os alertas informativos do Defender para Nuvem não são integrados ao portal Microsoft Defender para permitir o foco nos alertas relevantes e de alta gravidade. Essa estratégia simplifica o gerenciamento de incidentes e reduz a fadiga do alerta.
| Área | Descrição |
|---|---|
| Incidentes | Todos os incidentes do Defender para Nuvem serão integrados ao portal Microsoft Defender. – Há suporte para pesquisar ativos de recurso de nuvem na fila de incidentes . - O gráfico de história de ataque mostrará o recurso de nuvem. - A guia ativos em uma página de incidente mostrará o recurso de nuvem. - Cada máquina virtual tem sua própria página de dispositivo contendo todos os alertas e atividades relacionados. Não haverá duplicação de incidentes de outras cargas de trabalho do Defender. |
| Alertas | Todos os alertas do Defender para Nuvem, incluindo alertas de provedores internos e externos de várias nuvens serão integrados ao portal Microsoft Defender. Os alertas do Defender para Nuvem serão exibidos na fila de alertas do portal Microsoft Defender. O ativo de recurso de nuvem aparecerá na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, Amazon ou Google Cloud.Os alertas do Defender para Nuvem serão automaticamente associados a um locatário.Não haverá duplicação de alertas de outras cargas de trabalho do Defender. |
| Correlação de alertas e incidentes | Alertas e incidentes são correlacionados automaticamente, fornecendo contexto robusto às equipes de operações de segurança para entender a história completa do ataque em seu ambiente de nuvem. |
| Detecção de ameaças | Correspondência precisa de entidades virtuais com entidades de dispositivo para garantir a precisão e a detecção eficaz de ameaças. |
| API unificada | Alertas e incidentes do Defender para Nuvem agora estão incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem seus dados de alertas de segurança para outros sistemas usando uma API. |
Impacto para usuários do Microsoft Sentinel
Os clientes do Microsoft Sentinel que integram Microsoft Defender XDR incidentese ingerem alertas do Defender para Nuvem são necessários para fazer as seguintes alterações de configuração para garantir que alertas e incidentes duplicados não sejam criados:
- Conecte o conector Microsoft Defender for Cloud (Versão Prévia) baseado em locatário para sincronizar a coleção de alertas de todas as suas assinaturas com incidentes do Defender para Nuvem baseados em locatário que estão sendo transmitidos pelo conector Microsoft Defender XDR Incidentes.
- Desconecte o conector de alertas Microsoft Defender para Nuvem (Herdado) baseado em assinatura para evitar duplicatas de alerta.
- Desative todas as regras de análise — regras agendadas (tipo de consulta regular) ou de segurança da Microsoft (criação de incidentes) usadas para criar incidentes a partir de alertas do Defender para Nuvem. Os Incidentes do Defender para Nuvem são criados automaticamente no portal do Defender e sincronizados com o Microsoft Sentinel.
- Se necessário, use regras de automação para fechar incidentes barulhentos ou use as funcionalidades de ajuste internas no portal do Defender para suprimir determinados alertas.
A seguinte alteração também deve ser anotada:
- A ação para relacionar alertas aos incidentes do portal Microsoft Defender é removida.
Saiba mais em Ingestão Microsoft Defender para incidentes na nuvem com Microsoft Defender XDR integração.
Desativar alertas do Defender para Nuvem
Os alertas do Defender para Nuvem são ativados por padrão. Para manter suas configurações baseadas em assinatura e evitar a sincronização baseada em locatário ou optar por sair da experiência, execute as seguintes etapas:
- No portal Microsoft Defender, acesse Configurações>Microsoft Defender XDR.
- Em Configurações de serviço de alerta, procure Microsoft Defender para alertas de nuvem.
- Selecione Sem alertas para desativar todos os alertas do Defender para Nuvem. A seleção dessa opção interrompe a ingestão de novos alertas do Defender para Nuvem no portal. Os alertas ingeridos anteriormente permanecem em uma página de alerta ou incidente.
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de