Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Applies to:
Microsoft Defender für Cloud ist in Microsoft Defender Extended Detection and Response (XDR) integriert. Diese Integration ermöglicht Sicherheitsteams den Zugriff auf Defender für Cloud-Warnungen und Vorfälle im Microsoft Defender-Portal. Diese Integration bietet einen umfassenderen Kontext für Untersuchungen, die sich über Cloud-Ressourcen, Geräte und Identitäten erstrecken.
Die Partnerschaft mit Microsoft Defender XDR ermöglicht es Sicherheitsteams, das vollständige Bild eines Angriffs zu erhalten, einschließlich verdächtiger und schädlicher Ereignisse, die in ihrer Cloudumgebung auftreten. Sicherheitsteams können dieses Ziel durch sofortige Korrelationen von Warnungen und Vorfällen erreichen.
Microsoft Defender XDR bietet eine umfassende Lösung, die Schutz-, Erkennungs-, Untersuchungs- und Reaktionsfunktionen kombiniert. Die Lösung schützt vor Angriffen auf Geräte, E-Mails, Zusammenarbeit, Identität und Cloud-Apps. Unsere Erkennungs- und Untersuchungsfunktionen werden nun auf Cloud-Entitäten erweitert und bieten Sicherheitsbetriebsteams ein Single-Pane-of-Glass, um ihre betriebliche Effizienz erheblich zu verbessern.
Vorfälle und Warnungen sind jetzt Teil der öffentlichen API von Microsoft Defender XDR. Diese Integration ermöglicht das Exportieren von Sicherheitswarnungsdaten in jedes System mithilfe einer einzelnen API. Als Microsoft Defender for Cloud verpflichten wir uns, unseren Benutzern die bestmöglichen Sicherheitslösungen bereitzustellen, und diese Integration ist ein wichtiger Schritt zum Erreichen dieses Ziels.
Prerequisites
Aktivieren Sie Defender für Cloud in Ihrem Azure-Abonnement.
Der Zugriff auf Defender for Cloud-Warnungen im Microsoft Defender-Portal hängt davon ab, welche Defender for Cloud-Pläne aktiviert sind. Erfahren Sie mehr über die verschiedenen Defender for Cloud-Planschutzfunktionen.
Note
Berechtigungen zum Anzeigen von Defender für Cloud-Warnungen und Korrelationen sind automatisch für den gesamten Mandanten. Die Anzeige einzelner Abonnements wird nicht unterstützt. Verwenden Sie den Warnungsabonnement-ID-Filter , um Defender for Cloud-Warnungen anzuzeigen, die einem bestimmten Defender for Cloud-Abonnement in den Warnungs- und Vorfallwarteschlangen zugeordnet sind. Learn more about filters.
Die Integration ist nur verfügbar, wenn die entsprechende Microsoft Defender XDR Unified Role-Based Access Control (RBAC)-Rolle für Defender für Cloud angewendet wird. Um Defender für Cloud-Warnungen und -Korrelationen ohne Defender XDR unified RBAC anzuzeigen, müssen Sie ein globaler Administrator oder Sicherheitsadministrator in Azure Active Directory sein.
Untersuchungserfahrung in Microsoft Defender XDR
Die folgende Tabelle beschreibt die Erkennungs- und Untersuchungserfahrung in Microsoft Defender XDR mit Warnungen von Defender for Cloud.
| Area | Description |
|---|---|
| Incidents | Alle Vorfälle von Defender for Cloud sind in Microsoft Defender XDR integriert. - Searching for cloud resource assets in the incident queue is supported. - The attack story graph shows cloud resource. - The assets tab in an incident page shows the cloud resource. – Jede virtuelle Maschine verfügt über eine eigene Entitätsseite, die alle zugehörigen Warnungen und Aktivitäten enthält. Es gibt keine Duplizierungen von Vorfällen aus anderen Defender-Workloads. |
| Alerts | Alle Defender for Cloud-Warnungen, einschließlich Multicloud-, internen und externen Anbietern-Warnungen, sind in Microsoft Defender XDR integriert. Defenders for Cloud alerts show on the Microsoft Defender XDR alert queue. Microsoft Defender XDR Die Ressource cloud resource wird auf der Registerkarte „Ressource“ einer Warnung angezeigt. Ressourcen werden eindeutig als Azure-, Amazon- oder Google Cloud-Ressource identifiziert. Warnungen in Defender für Cloud werden automatisch einem Mandanten zugeordnet. Es gibt keine Duplizierungen von Warnungen von anderen Defender-Workloads. |
| Warnungs- und Vorfallkorrelation | Warnungen und Vorfälle werden automatisch korreliert und bieten einen robusten Kontext für Security Operations Teams, um den vollständigen Angriffsverlauf in ihrer Cloudumgebung zu verstehen. |
| Threat detection | Genaue Übereinstimmung virtueller Entitäten mit Geräte-Entitäten, um eine präzise und effektive Bedrohungserkennung sicherzustellen. |
| Unified API | Defender für Cloud-Warnungen und -Vorfälle sind jetzt in der öffentlichen API von Microsoft Defender XDR enthalten, sodass Kunden ihre Sicherheitswarnungsdaten mithilfe einer API in andere Systeme exportieren können. |
Note
Informationswarnungen von Defender für Cloud sind nicht in das Microsoft Defender-Portal integriert, um den Fokus auf die relevanten und warnungen mit hohem Schweregrad zu ermöglichen. Diese Strategie optimiert die Verwaltung von Vorfällen und reduziert die Alarmmüdigkeit.
Warnungsstatussynchronisierung
Wenn die Integration zwischen Defender für Cloud und Microsoft Defender XDR aktiviert ist, werden Warnungsstatusänderungen zwischen den beiden Diensten mit den folgenden Verhaltensweisen synchronisiert:
| Scenario | Status synchronization |
|---|---|
| Defender für Cloud-Warnungsstatus in Defender für Cloud geändert | Status reflected in Microsoft Defender XDR: Yes |
| Defender für Cloud-Warnungsstatus in Microsoft Defender XDR geändert | Status reflected in Defender for Cloud: Yes |
| Microsoft Defender für Endpunkt-Warnung in Cloudressource – Status in Defender für Cloud geändert | Status reflected in Defender for Cloud: Yes Status reflected in Microsoft Defender XDR: No |
| Microsoft Defender für Endpunkt-Warnung für Cloudressource – Status in Microsoft Defender XDR geändert | Status reflected in Microsoft Defender XDR: Yes Status reflected in Defender for Cloud: No |
Important
- In Defender für Cloud sind nur Defender für Cloud-Warnungen gültige Entitäten. Verweise auf Microsoft Defender XDR-Warnungen innerhalb von Defender für Cloud gelten nur für Microsoft Defender für Endpunkt-Warnungen für Cloudressourcen.
- Microsoft Defender für Endpunkt-Warnungen in Cloudressourcen werden sowohl in Defender für Cloud als auch in Microsoft Defender XDR angezeigt, aber ihre Status werden nicht zwischen den beiden Diensten synchronisiert.
Erweitertes Hunting in XDR
Die erweiterten Jagdfunktionen von Microsoft Defender XDR werden um Warnungen und Vorfälle von Defender for Cloud erweitert. Diese Integration ermöglicht es Sicherheitsteams, mit einer einzigen Abfrage alle Cloud-Ressourcen, Geräte und Identitäten zu durchsuchen.
Die erweiterte Huntingfunktion in Microsoft Defender XDR bietet Sicherheitsteams die Flexibilität, benutzerdefinierte Abfragen zu erstellen, um in ihrer gesamten Umgebung nach Bedrohungen zu suchen. Die Integration mit den Warnmeldungen und Vorfällen von Defender for Cloud ermöglicht Sicherheitsteams die Suche nach Bedrohungen über ihre Cloudressourcen, Geräte und Identitäten hinweg.
The CloudAuditEvents table in advanced hunting allows you to investigate and hunt through control plane events and to create custom detections to surface suspicious Azure Resource Manager and Kubernetes (KubeAudit) control plane activities.
The CloudProcessEvents table in advanced hunting allows you to triage, investigate and create custom detections for suspicious activities that are invoked in your cloud infrastructure with information that includes details on the process details.
Microsoft Sentinel-Kunden
Microsoft Sentinel-Kunden, die Microsoft Defender XDR-Vorfälle integrierenund Defender for Cloud-Warnungen erfassen, müssen die folgenden Schritte ausführen, um doppelte Warnungen und Vorfälle zu verhindern.
Konfigurieren Sie in Microsoft Sentinel den Datenconnector für mandantenbasiertes Microsoft Defender for Cloud (Preview). Dieser Datenconnector ist in der Microsoft Defender for Cloud-Lösung enthalten, die über den Microsoft Sentinel Content Hub verfügbar ist.
Der Datenconnector für mandantenbasiertes Microsoft Defender for Cloud (Vorschau) synchronisiert die Warnungssammlung aus all Ihren Abonnements mit den mandantenbasierten Defender for Cloud-Vorfällen, die über den Microsoft Defender XDR-Vorfallsconnector gestreamt werden. Defender for Cloud-Vorfälle werden in allen Abonnements des Mandanten korreliert.
Wenn Sie mit mehreren Microsoft Sentinel-Arbeitsbereichen im Defender-Portal arbeiten, werden die kolligierten Vorfälle von Defender for Cloud an den primären Arbeitsbereich gestreamt. Weitere Informationen finden Sie unter Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal.
Trennen Sie den abonnementbasierten Microsoft Defender for Cloud (Legacy)- Datenconnector, um doppelte Warnungen zu verhindern.
Deaktivieren Sie alle Analyseregeln, die zum Erstellen von Vorfällen aus Defender for Cloud-Warnungen verwendet werden, entweder geplante Regeln (regulärer Abfragetyp) oder Microsoft Security-Regeln (Vorfallerstellung).
Verwenden Sie bei Bedarf Automatisierungsregeln, um laute Vorfälle zu schließen, oder verwenden Sie die integrierten Optimierungsfunktionen im Defender-Portal, um bestimmte Warnungen zu unterdrücken.
Wenn Sie Ihre Microsoft Defender XDR-Vorfälle in Microsoft Sentinel integriert haben und die abonnementbasierten Einstellungen beibehalten und die mandantenbasierte Synchronisierung vermeiden möchten, deaktivieren Sie die Synchronisierung von Vorfällen und Warnungen von Microsoft Defender XDR:
Wechseln Sie im Microsoft Defender-Portal zu " Einstellungen > " von Microsoft Defender XDR.
Suchen Sie in den Einstellungen des Warnungsdiensts nach Microsoft Defender für Cloud-Warnungen.
Select No alerts to turn off all Defender for Cloud alerts. Wenn Sie diese Option auswählen, wird die Aufnahme neuer Defender for Cloud-Warnungen an Microsoft Defender XDR beendet. Zuvor erfasste Warnungen verbleiben auf einer Warnungs- oder Ereignisseite.
Weitere Informationen finden Sie unter:
- Erfassen von Microsoft Defender for Cloud-Incidents mit der Microsoft Defender XDR-Integration
- Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte