Microsoft Defender门户中的 Microsoft Defender for Cloud
适用于:
Microsoft Defender for Cloud 现在是Microsoft Defender XDR的一部分。 安全团队现在可以访问 Microsoft Defender 门户中的 Defender for Cloud 警报和事件,为跨云资源、设备和标识的调查提供更丰富的上下文。 此外,安全团队可以通过即时关联警报和事件来全面了解攻击,包括云环境中发生的可疑和恶意事件。
Microsoft Defender门户结合了保护、检测、调查和响应功能,以保护对设备、电子邮件、协作、标识和云应用的攻击。 门户的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,以显著提高其运营效率。
此外,Defender for Cloud 事件和警报现在是Microsoft Defender XDR公共 API 的一部分。 此集成允许使用单个 API 将安全警报数据导出到任何系统。
先决条件
若要确保在 Microsoft Defender 门户中访问 Defender for Cloud 警报,必须订阅连接 Azure 订阅中列出的任何计划。
所需权限
必须是 Azure Active Directory 中的全局管理员或安全管理员,才能查看 Defender for Cloud 警报和关联。 对于没有这些角色的用户,集成只能通过为 Defender for Cloud 应用 统一的基于角色的访问控制 (RBAC) 角色 来实现。
注意
对于整个租户,查看 Defender for Cloud 警报和关联的权限是自动的。 不支持查看特定订阅。
Microsoft Defender门户中的调查体验
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
以下部分介绍使用 Defender for Cloud 警报在 Microsoft Defender 门户中的检测和调查体验。
注意
Defender for Cloud 的信息警报未集成到 Microsoft Defender 门户,以便专注于相关和高严重性警报。 此策略可简化事件的管理并减少警报疲劳。
| 领域 | 说明 |
|---|---|
| 事件 | 所有 Defender for Cloud 事件都将集成到 Microsoft Defender 门户。 - 支持在 事件队列 中搜索云资源资产。 - 攻击情景 图将显示云资源。 - 事件页中的 “资产”选项卡 将显示云资源。 - 每个虚拟机都有自己的设备页,其中包含所有相关的警报和活动。 其他 Defender 工作负载的事件不会重复。 |
| 警报 | 所有 Defender for Cloud 警报(包括多云、内部和外部提供商的警报)都将集成到 Microsoft Defender 门户。 Defender for Cloud 警报将显示在Microsoft Defender门户警报队列中。云资源资产将显示在警报的“资产”选项卡中。 资源明确标识为 Azure、Amazon 或 Google Cloud 资源。Defender for Cloud 警报将自动与租户关联。不会有来自其他 Defender 工作负载的警报重复。 |
| 警报和事件关联 | 警报和事件会自动关联,为安全运营团队提供可靠的上下文,以了解其云环境中的完整攻击情况。 |
| 威胁检测 | 虚拟实体与设备实体的精确匹配,以确保精确有效的威胁检测。 |
| 统一 API | Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API 中,允许客户使用一个 API 将其安全警报数据导出到其他系统。 |
| 高级搜寻 (预览版) | 有关组织 Defender for Cloud 保护的各种云平台的云审核事件的信息,请参阅高级搜寻中的 CloudAuditEvents 表。 |
对 Microsoft Sentinel 用户的影响
集成Microsoft Defender XDR事件并引入 Defender for Cloud 警报的 Microsoft Sentinel 客户需要进行以下配置更改,以确保不会创建重复的警报和事件:
- 连接基于租户的 Microsoft Defender for Cloud (预览版) 连接器,以将来自所有订阅的警报收集与通过 Microsoft Defender XDR 事件连接器流式传输的基于租户的 Defender for Cloud 事件同步。
- 断开基于订阅的云Microsoft Defender (旧版) 警报连接器,以防止警报重复。
- 关闭用于从 Defender for Cloud 警报创建事件的任何分析规则( 计划 (常规查询类型) 或 Microsoft 安全 (事件创建) 规则)。 Defender for Cloud 事件在 Defender 门户中自动创建,并与 Microsoft Sentinel 同步。
- 如有必要, 请使用自动化规则 关闭干扰事件,或使用 Defender 门户中的内置优化功能 来抑制某些警报。
还应注意以下更改:
- 删除了将警报与Microsoft Defender门户事件关联的操作。
有关详细信息,请参阅通过Microsoft Defender XDR集成引入云事件的 Microsoft Defender。
关闭 Defender for Cloud 警报
默认情况下,Defender for Cloud 的警报处于打开状态。 若要维护基于订阅的设置并避免基于租户的同步或选择退出体验,请执行以下步骤:
- 在Microsoft Defender门户中,转到“设置Microsoft Defender XDR>”。
- 在“警报服务设置”中,查找云警报Microsoft Defender。
- 选择“ 无警报 ”可关闭所有 Defender for Cloud 警报。 选择此选项将停止将新的 Defender for Cloud 警报引入门户。 以前引入的警报将保留在警报或事件页中。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈