Aviseringar och incidenter i Microsoft Defender XDR
Microsoft Defender för molnet är nu integrerat med Microsoft Defender XDR. Med den här integreringen kan säkerhetsteam komma åt Defender för molnet aviseringar och incidenter i Microsoft Defender-portalen. Den här integreringen ger bättre kontext till undersökningar som omfattar molnresurser, enheter och identiteter.
Samarbetet med Microsoft Defender XDR gör det möjligt för säkerhetsteam att få en fullständig bild av en attack, inklusive misstänkta och skadliga händelser som inträffar i molnmiljön. Säkerhetsteam kan uppnå det här målet genom omedelbara korrelationer mellan aviseringar och incidenter.
Microsoft Defender XDR erbjuder en omfattande lösning som kombinerar skydds-, identifierings-, undersöknings- och svarsfunktioner. Lösningen skyddar mot attacker på enheter, e-post, samarbete, identitet och molnappar. Våra identifierings- och undersökningsfunktioner utökas nu till molnentiteter, vilket ger säkerhetsåtgärdsteamen en enda glasruta för att avsevärt förbättra drifteffektiviteten.
Incidenter och aviseringar är nu en del av Microsoft Defender XDR:s offentliga API. Med den här integreringen kan du exportera säkerhetsaviseringsdata till alla system med hjälp av ett enda API. Som Microsoft Defender för molnet är vi fast beslutna att ge våra användare bästa möjliga säkerhetslösningar, och den här integreringen är ett viktigt steg mot att uppnå det målet.
Undersökningsupplevelse i Microsoft Defender XDR
I följande tabell beskrivs identifierings- och undersökningsupplevelsen i Microsoft Defender XDR med Defender för molnet aviseringar.
| Område | beskrivning |
|---|---|
| Incidenter | Alla Defender för molnet incidenter är integrerade i Microsoft Defender XDR. – Sökning efter molnresurstillgångar i incidentkön stöds. – Diagrammet över angreppsberättelsen visar molnresursen. – Fliken Tillgångar på en incidentsida visar molnresursen. – Varje virtuell dator har en egen entitetssida som innehåller alla relaterade aviseringar och aktiviteter. Det finns inga dupliceringar av incidenter från andra Defender-arbetsbelastningar. |
| Aviseringar | Alla Defender för molnet aviseringar, inklusive aviseringar för flera moln, interna och externa leverantörer, är integrerade i Microsoft Defender XDR. Defender for Cloud-aviseringar visas i microsoft Defender XDR-aviseringskön. Microsoft Defender XDR Tillgången cloud resource visas på fliken Tillgång i en avisering. Resurser identifieras tydligt som en Azure-, Amazon- eller Google Cloud-resurs. Defender for Cloud-aviseringar associeras automatiskt med en klientorganisation. Det finns inga dupliceringar av aviseringar från andra Defender-arbetsbelastningar. |
| Aviserings- och incidentkorrelation | Aviseringar och incidenter korreleras automatiskt, vilket ger robust kontext till säkerhetsåtgärdsteam för att förstå hela attackhistorien i molnmiljön. |
| Hotidentifiering | Korrekt matchning av virtuella entiteter till enhetsentiteter för att säkerställa precision och effektiv hotidentifiering. |
| Enhetligt API | Defender för molnet aviseringar och incidenter ingår nu i Microsoft Defender XDR:s offentliga API, vilket gör det möjligt för kunder att exportera sina säkerhetsaviseringar till andra system med hjälp av ett API. |
Läs mer om att hantera aviseringar i Microsoft Defender XDR.
Sentinel-kunder
Microsoft Sentinel-kunder kan dra nytta av Defender för molnet integrering med Microsoft 365 Defender på sina arbetsytor med hjälp av Microsoft 365 Defender-incident- och aviseringsanslutningsappen.
Först måste du aktivera incidentintegrering i din Microsoft 365 Defender-anslutningsapp.
Aktivera sedan anslutningsappen Tenant-based Microsoft Defender for Cloud (Preview) för att synkronisera dina prenumerationer med dina klientbaserade Defender för molnet incidenter för att strömma via Anslutningsappen för Microsoft 365 Defender-incidenter.
Anslutningsappen är tillgänglig via Microsoft Defender för molnet lösning, version 3.0.0, i innehållshubben. Om du har en tidigare version av den här lösningen kan du uppgradera den i innehållshubben.
Om du har aktiverat den äldre prenumerationsbaserade anslutningsappen Microsoft Defender för molnet aviseringar (som visas som Subscription-based Microsoft Defender for Cloud (Legacy)) rekommenderar vi att du kopplar från anslutningsappen för att förhindra duplicering av aviseringar i loggarna.
Vi rekommenderar att du inaktiverar analysregler som är aktiverade (antingen schemalagda eller via Microsofts skapanderegler) från att skapa incidenter från dina Defender för molnet aviseringar.
Du kan använda automatiseringsregler för att stänga incidenter omedelbart och förhindra att specifika typer av Defender för molnet aviseringar blir incidenter. Du kan också använda de inbyggda justeringsfunktionerna i Microsoft 365 Defender-portalen för att förhindra att aviseringar blir incidenter.
Kunder som har integrerat sina Microsoft 365 Defender-incidenter i Sentinel och vill behålla sina prenumerationsbaserade inställningar och undvika klientbaserad synkronisering kan välja bort synkronisering av incidenter och aviseringar via Microsoft 365 Defender-anslutningsappen.
Lär dig hur Defender för molnet och Microsoft 365 Defender hanterar dina datas sekretess.