Bulut için Microsoft Defender uyarılarını Microsoft Sentinel'e alma

Bulut için Microsoft Defender tümleşik bulut iş yükü korumaları, hibrit ve çoklu bulut iş yüklerindeki tehditleri algılamanıza ve hızlı bir şekilde yanıtlamanıza olanak sağlar.

Bu bağlayıcı, güvenlik uyarılarını Bulut için Defender Microsoft Sentinel'e almanıza olanak tanır; böylece Defender uyarılarını ve oluşturdukları olayları daha geniş bir kurumsal tehdit bağlamında görüntüleyebilir, analiz edebilir ve yanıtlayabilirsiniz.

Bulut için Microsoft Defender Defender planları abonelik başına etkinleştirildiğinden, bu veri bağlayıcısı her abonelik için ayrı ayrı etkinleştirilir veya devre dışı bırakılır.

PREVIEW'daki yeni Kiracı tabanlı Bulut için Microsoft Defender bağlayıcısı, her aboneliği ayrı ayrı etkinleştirmenize gerek kalmadan kiracınızın tamamında Bulut için Defender uyarı toplamanıza olanak tanır. Ayrıca, tüm Bulut için Defender uyarılarınızın Microsoft Defender XDR olay tümleştirmesi aracılığıyla aldığınız olaylara tam olarak dahil olmasını sağlamak için Bulut için Defender Microsoft Defender XDR (eski adıYla Microsoft 365 Defender) ile tümleştirmesini de sağlar.

Dekont

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Uyarı eşitleme

• Bulut için Microsoft Defender Microsoft Sentinel'e bağladığınızda, Microsoft Sentinel'e alınan güvenlik uyarılarının durumu iki hizmet arasında eşitlenir. Örneğin, bir uyarı Bulut için Defender kapatıldığında, bu uyarı Microsoft Sentinel'de de kapalı olarak görüntülenir.

• Bulut için Defender bir uyarının durumunun değiştirilmesi, Microsoft Sentinel uyarısını içeren microsoft Sentinel olaylarının durumunu etkilemez; yalnızca uyarının kendisini etkiler.

çift yönlü uyarı eşitlemesi

çift yönlü eşitlemenin etkinleştirilmesi, özgün güvenlik uyarılarının durumunu bu uyarıları içeren Microsoft Sentinel olaylarıyla otomatik olarak eşitler. Bu nedenle, örneğin, güvenlik uyarıları içeren bir Microsoft Sentinel olayı kapatıldığında, ilgili özgün uyarı Bulut için Microsoft Defender otomatik olarak kapatılır.

Önkoşullar

• Microsoft Sentinel çalışma alanınızda okuma ve yazma izinleriniz olmalıdır.

• Microsoft Sentinel'e bağlanmak istediğiniz abonelikte Katkıda Bulunan veya Sahip rolüne sahip olmanız gerekir.

• Bağlayıcıyı etkinleştirmek istediğiniz her abonelik için Bulut için Microsoft Defender içinde en az bir planı etkinleştirmeniz gerekir. Bir abonelikte Microsoft Defender planlarını etkinleştirmek için bu abonelik için Güvenlik Yönetici rolüne sahip olmanız gerekir.

• Bağlayıcıyı SecurityInsights etkinleştirmek istediğiniz her abonelik için kaynak sağlayıcısının kaydedilmesi gerekir. Kaynak sağlayıcısı kayıt durumu ve kaydetme yolları hakkındaki yönergeleri gözden geçirin.

• çift yönlü eşitlemeyi etkinleştirmek için ilgili abonelikte Katkıda Bulunan veya Güvenlik Yönetici rolüne sahip olmanız gerekir.

• Microsoft Sentinel'de İçerik Hub'ından Bulut için Microsoft Defender çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Bulut için Microsoft Defender Bağlan

1. Microsoft Sentinel'de gezinti menüsünden Veri bağlayıcıları'nı seçin.

2. Veri bağlayıcıları galerisinden Bulut için Microsoft Defender'ı seçin ve ayrıntılar bölmesinde Bağlayıcıyı aç sayfasını seçin.

3. Yapılandırma altında, kiracınızdaki aboneliklerin listesini ve Bulut için Microsoft Defender bağlantılarının durumunu görürsünüz. Uyarılarını Microsoft Sentinel'e aktarmak istediğiniz her aboneliğin yanındaki Durum düğmesini seçin. Aynı anda birkaç abonelik bağlamak istiyorsanız, ilgili aboneliklerin yanındaki onay kutularını işaretleyip listenin üstündeki çubukta Bağlan düğmesini seçerek bunu yapabilirsiniz.

   Dekont

   • Onay kutuları ve Bağlan geçişleri yalnızca gerekli izinlere sahip olduğunuz aboneliklerde etkin olur.
   • Bağlan düğmesi yalnızca en az bir aboneliğin onay kutusu işaretlenmişse etkin olur.

4. Abonelikte çift yönlü eşitlemeyi etkinleştirmek için listede aboneliği bulun ve çift yönlü eşitleme sütunundaki açılan listeden Etkin'i seçin. Aynı anda birkaç abonelikte çift yönlü eşitlemeyi etkinleştirmek için, onay kutularını işaretleyin ve listenin üstündeki çubukta çift yönlü eşitlemeyi etkinleştir düğmesini seçin.

   Dekont

   • Onay kutuları ve açılan listeler yalnızca gerekli izinlere sahip olduğunuz aboneliklerde etkin olur.
   • Çift yönlü eşitlemeyi etkinleştir düğmesi yalnızca en az bir aboneliğin onay kutusu işaretlenmişse etkin olur.

5. Listenin Microsoft Defender planları sütununda aboneliğinizde Microsoft Defender planlarının etkinleştirilip etkinleştirilmediğini görebilirsiniz (bağlayıcıyı etkinleştirme önkoşulu). Bu sütundaki her aboneliğin değeri boş (Defender planı etkinleştirilmemiş anlamına gelir), "Tümü etkin" veya "Bazıları etkin" olur. "Bazıları etkinleştirildi" diyenler de seçebileceğiniz Tümünü etkinleştir bağlantısına sahip olur ve bu bağlantı sizi bu aboneliğin Bulut için Microsoft Defender yapılandırma panonuza götürür ve bu panoyu etkinleştirmek için Defender planlarını seçebilirsiniz. Listenin üst kısmındaki çubukta yer alan Tüm abonelikler için Microsoft Defender'ı etkinleştir bağlantı düğmesi sizi Bulut için Microsoft Defender Başlarken sayfanıza götürür ve burada Bulut için Microsoft Defender tamamen etkinleştirmek istediğiniz abonelikleri seçebilirsiniz.

   

6. Bulut için Microsoft Defender uyarılarının Microsoft Sentinel'de otomatik olarak olay oluşturmasını isteyip istemediğinizi seçebilirsiniz. Olay oluştur'un altında Etkin'i seçerek uyarılardan otomatik olarak olaylar oluşturan varsayılan analiz kuralını açın. Ardından bu kuralı Analytics'in altında, Etkin kurallar sekmesinde düzenleyebilirsiniz.

   Bahşiş

   Bulut için Microsoft Defender uyarıları için özel analiz kuralları yapılandırırken, bilgilendiren uyarılar için olayların açılmasını önlemek için uyarı önem derecesini göz önünde bulundurun.

   Bulut için Microsoft Defender'daki bilgilendirme uyarıları kendi başına bir güvenlik riskini temsil etmemektedir ve yalnızca mevcut, açık bir olay bağlamında geçerlidir. Daha fazla bilgi için bkz. Bulut için Microsoft Defender güvenlik uyarıları ve olayları.

Verilerinizi bulma ve analiz etme

Dekont

Her iki yönde uyarı eşitlemesi birkaç dakika sürebilir. Uyarıların durumundaki değişiklikler hemen görüntülenmeyebilir.

• Güvenlik uyarıları Log Analytics çalışma alanınızdaki SecurityAlert tablosunda depolanır.

• Log Analytics'te güvenlik uyarılarını sorgulamak için aşağıdakileri başlangıç noktası olarak sorgu pencerenize kopyalayın:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Ek yararlı örnek sorgular, analiz kuralı şablonları ve önerilen çalışma kitapları için bağlayıcı sayfasındaki Sonraki adımlar sekmesine bakın.

Sonraki adımlar

Bu belgede, Bulut için Microsoft Defender Microsoft Sentinel'e bağlanmayı ve uyarılar arasında eşitlemeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Tehditleri algılamak için kendi kurallarınızı yazın.