Microsoft Defender XDR 中的警示和事件
適用於雲端的 Microsoft Defender 現在已與 Microsoft Defender 全面偵測回應 整合。 這項整合可讓安全性小組存取 Microsoft Defender 入口網站內的 適用於雲端的 Defender 警示和事件。 這項整合提供更豐富的內容來調查跨越雲端資源、裝置和身分識別。
與 Microsoft Defender 全面偵測回應 的合作關係可讓安全性小組完整了解攻擊,包括在其雲端環境中發生的可疑和惡意事件。 安全性小組可以透過警示和事件的即時相互關聯來完成此目標。
Microsoft Defender 全面偵測回應 提供全方位的解決方案,結合了保護、偵測、調查和回應功能。 此解決方案可防範裝置、電子郵件、共同作業、身分識別和雲端應用程式的攻擊。 我們的偵測和調查功能現在已延伸至雲端實體,為安全性作業小組提供單一玻璃窗格,以大幅提升其營運效率。
事件和警示現在是 Microsoft Defender 全面偵測回應 公用 API 的一部分。 此整合允許使用單一 API 將安全性警示數據匯出至任何系統。 作為 適用於雲端的 Microsoft Defender,我們致力於為使用者提供最佳的安全性解決方案,而這項整合是達成該目標的重要步驟。
Microsoft Defender 全面偵測回應的調查體驗
下表說明 Microsoft Defender 全面偵測回應 適用於雲端的 Defender 警示的偵測和調查體驗。
| 區域 | 描述 |
|---|---|
| 事故 | 所有 適用於雲端的 Defender 事件都會整合至 Microsoft Defender 全面偵測回應。 - 支持搜尋事件佇列中的雲端資源資產。 - 攻擊案例圖表會顯示雲端資源。 - 事件頁面中的資產索引標籤會顯示雲端資源。 - 每個虛擬機都有自己的實體頁面,其中包含所有相關的警示和活動。 其他 Defender 工作負載不會重複事件。 |
| 警示 | 所有 適用於雲端的 Defender 警示,包括多重雲端、內部和外部提供者的警示,都會整合至 Microsoft Defender 全面偵測回應。 適用於雲端的 Defender 警示會顯示在 Microsoft Defender 全面偵測回應 警示佇列上。 Microsoft Defender XDR 資產 cloud resource 會顯示在警示的 [資產] 索引標籤中。 資源會清楚地識別為 Azure、Amazon 或 Google Cloud 資源。 適用於雲端的Defender警示會自動與租使用者相關聯。 其他 Defender 工作負載不會重複警示。 |
| 警示和事件相互關聯 | 警示和事件會自動相互關聯,為安全性作業小組提供強固的內容,以瞭解其雲端環境中的完整攻擊案例。 |
| 威脅偵測 | 精確比對虛擬實體與裝置實體,以確保精確且有效的威脅偵測。 |
| Unified API | 適用於雲端的 Defender 警示和事件現在包含在 Microsoft Defender 全面偵測回應 的公用 API 中,讓客戶能夠使用一個 API 將其安全性警示數據匯出至其他系統。 |
深入瞭解在 Microsoft Defender 全面偵測回應 中處理警示。
Sentinel 客戶
Microsoft Sentinel 客戶可以使用 Microsoft 365 Defender 事件和警示連接器,從其工作區中的 適用於雲端的 Defender 與 Microsoft 365 Defender 整合中獲益。
首先,您需要 在 Microsoft 365 Defender 連接器中啟用事件整合。
然後,讓Tenant-based Microsoft Defender for Cloud (Preview)連接器與您的租使用者型 適用於雲端的 Defender 事件同步處理您的訂用帳戶,以透過 Microsoft 365 Defender 事件連接器串流處理。
連接器可透過內容中樞的 適用於雲端的 Microsoft Defender 解決方案3.0.0版取得。 如果您有此解決方案的舊版,您可以在內容中樞中升級它。
如果您已啟用舊版訂用帳戶型 適用於雲端的 Microsoft Defender 警示連接器(顯示為 Subscription-based Microsoft Defender for Cloud (Legacy)),建議您中斷連接器的連線器,以防止在記錄中複製警示。
建議您停用已啟用的分析規則(已排程或透過 Microsoft 建立規則),從您的 適用於雲端的 Defender 警示建立事件。
您可以使用自動化規則立即關閉事件,並防止特定類型的 適用於雲端的 Defender 警示變成事件。 您也可以使用 Microsoft 365 Defender 入口網站中的內建微調功能,以防止警示成為事件。
將 Microsoft 365 Defender 事件整合至 Sentinel 並想要保留訂閱型設定並避免租使用者型同步處理的客戶可以選擇 不透過 Microsoft 365 Defender 連接器同步處理事件和警示 。
瞭解 適用於雲端的 Defender 和 Microsoft 365 Defender 如何處理數據的隱私權。