Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Applies to:
O Microsoft Defender for Cloud está integrado com o Microsoft Defender Extended Detection and Response (XDR). Essa integração permite que as equipes de segurança acessem alertas e incidentes do Defender for Cloud no portal do Microsoft Defender. Essa integração fornece um contexto mais rico para investigações que abrangem recursos, dispositivos e identidades na nuvem.
A parceria com o Microsoft Defender XDR permite que as equipes de segurança obtenham a imagem completa de um ataque, incluindo eventos suspeitos e mal-intencionados que acontecem em seu ambiente de nuvem. As equipas de segurança podem atingir este objetivo através de correlações imediatas de alertas e incidentes.
O Microsoft Defender XDR oferece uma solução abrangente que combina recursos de proteção, deteção, investigação e resposta. A solução protege contra ataques a dispositivos, e-mail, colaboração, identidade e aplicativos na nuvem. Nossos recursos de deteção e investigação agora são estendidos a entidades na nuvem, oferecendo às equipes de operações de segurança um único painel de vidro para melhorar significativamente sua eficiência operacional.
Incidentes e alertas agora fazem parte da API pública do Microsoft Defender XDR. Esta integração permite exportar dados de alertas de segurança para qualquer sistema usando uma única API. Como Microsoft Defender for Cloud, estamos comprometidos em fornecer aos nossos usuários as melhores soluções de segurança possíveis, e essa integração é um passo significativo para alcançar esse objetivo.
Prerequisites
O acesso aos alertas do Defender for Cloud no portal do Microsoft Defender depende de quais planos do Defender for Cloud estão habilitados. Saiba mais sobre as diferentes proteções do plano Defender for Cloud.
Note
As permissões para visualizar alertas e correlações do Defender for Cloud são automáticas para todo o locatário. Não há suporte para a visualização de assinaturas específicas. Use o filtro ID da assinatura de alerta para exibir alertas do Defender for Cloud associados a uma assinatura específica do Defender for Cloud nas filas de alertas e incidentes. Learn more about filters.
A integração só está disponível ao aplicar a função de controlo de acesso baseado em funções unificada Microsoft Defender XDR (RBAC) adequada para o Defender para Cloud. Para ver os alertas e correlações do Defender para a Cloud sem Defender XDR RBAC Unificado, tem de ser Administrador Global ou Administrador de Segurança no Azure Active Directory.
Experiência de investigação no Microsoft Defender XDR
A tabela a seguir descreve a experiência de deteção e investigação no Microsoft Defender XDR com alertas do Defender for Cloud.
| Area | Description |
|---|---|
| Incidents | Todos os incidentes do Defender for Cloud são integrados ao Microsoft Defender XDR. - Searching for cloud resource assets in the incident queue is supported. - The attack story graph shows cloud resource. - The assets tab in an incident page shows the cloud resource. - Cada máquina virtual tem sua própria página de entidade contendo todos os alertas e atividades relacionados. Não há duplicações de incidentes de outras cargas de trabalho do Defender. |
| Alerts | Todos os alertas do Defender for Cloud, incluindo alertas multicloud, internos e externos, são integrados ao Microsoft Defender XDR. Defenders for Cloud alerts show on the Microsoft Defender XDR alert queue. Microsoft Defender XDR O cloud resource ativo aparece na guia Ativo de um alerta. Os recursos são claramente identificados como um recurso do Azure, da Amazon ou do Google Cloud. Os alertas do Defender for Cloud são automaticamente associados a um locatário. Não há duplicações de alertas de outras cargas de trabalho do Defender. |
| Correlação de alertas e incidentes | Alertas e incidentes são correlacionados automaticamente, fornecendo contexto robusto para que as equipes de operações de segurança entendam a história completa de ataque em seu ambiente de nuvem. |
| Threat detection | Correspondência exata de entidades virtuais com entidades de dispositivos para garantir precisão e detecção eficaz de ameaças. |
| Unified API | Os alertas e incidentes do Defender para a Cloud estão agora incluídos na API pública do Microsoft Defender XDR, permitindo que os clientes exportem os respetivos dados de alertas de segurança para outros sistemas com uma API. |
Note
Os alertas informativos do Defender for Cloud não são integrados ao portal do Microsoft Defender para permitir o foco nos alertas relevantes e de alta gravidade. Esta estratégia simplifica a gestão de incidentes e reduz a fadiga dos alertas.
Sincronização do estado do alerta
Quando a integração entre o Defender for Cloud e o Microsoft Defender XDR está habilitada, as alterações de status de alerta são sincronizadas entre os dois serviços com os seguintes comportamentos:
| Scenario | Status synchronization |
|---|---|
| O status de alerta do Defender for Cloud foi alterado no Defender for Cloud | Status reflected in Microsoft Defender XDR: Yes |
| Estado de alerta do Defender for Cloud alterado no Microsoft Defender XDR | Status reflected in Defender for Cloud: Yes |
| Alerta do Microsoft Defender for Endpoint no recurso de nuvem - status alterado no Defender for Cloud | Status reflected in Defender for Cloud: Yes Status reflected in Microsoft Defender XDR: No |
| Alerta do Microsoft Defender for Endpoint no recurso de nuvem - status alterado no Microsoft Defender XDR | Status reflected in Microsoft Defender XDR: Yes Status reflected in Defender for Cloud: No |
Important
- No Defender for Cloud, apenas os alertas do Defender for Cloud são entidades válidas. As referências aos alertas do Microsoft Defender XDR no Defender for Cloud aplicam-se apenas aos alertas do Microsoft Defender for Endpoint em recursos de nuvem.
- Os alertas do Microsoft Defender for Endpoint sobre recursos de nuvem aparecem no Defender for Cloud e no Microsoft Defender XDR, mas seus status não são sincronizados entre os dois serviços.
Caça avançada em XDR
Os recursos avançados de caça do Microsoft Defender XDR são estendidos para incluir alertas e incidentes do Defender for Cloud. Essa integração permite que as equipes de segurança busquem todos os seus recursos, dispositivos e identidades na nuvem em uma única consulta.
A experiência avançada de caça no Microsoft Defender XDR foi projetada para fornecer às equipes de segurança a flexibilidade de criar consultas personalizadas para caçar ameaças em seu ambiente. A integração com alertas e incidentes do Defender for Cloud permite que as equipes de segurança busquem ameaças em seus recursos, dispositivos e identidades na nuvem.
The CloudAuditEvents table in advanced hunting allows you to investigate and hunt through control plane events and to create custom detections to surface suspicious Azure Resource Manager and Kubernetes (KubeAudit) control plane activities.
The CloudProcessEvents table in advanced hunting allows you to triage, investigate and create custom detections for suspicious activities that are invoked in your cloud infrastructure with information that includes details on the process details.
Clientes do Microsoft Sentinel
Os clientes do Microsoft Sentinel que estão integrando incidentes do Microsoft Defender XDRe estão ingerindo alertas do Defender for Cloud devem seguir as etapas a seguir para evitar alertas e incidentes duplicados.
No Microsoft Sentinel, configure o conector de dados Microsoft Defender for Cloud (pré-visualização) com base no locatário. Esse conector de dados está incluído na solução Microsoft Defender for Cloud , disponível no hub de conteúdo do Microsoft Sentinel.
O conector de dados do Microsoft Defender for Cloud (Visualização) orientado para locatário sincroniza a recolha de alertas de todas as suas assinaturas com os incidentes do Defender for Cloud com base no locatário que estão a ser transmitidos através do conector de incidentes do Microsoft Defender XDR. Os incidentes do Defender for Cloud estão correlacionados em todas as subscrições do inquilino.
Se você estiver trabalhando com vários espaços de trabalho do Microsoft Sentinel no portal do Defender, os incidentes correlacionados do Defender for Cloud serão transmitidos para o espaço de trabalho principal. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender.
Desconecte o conector de dados baseado em assinatura do Microsoft Defender for Cloud (Legado) para evitar alertas duplicados.
Desative todas as regras de análise usadas para criar incidentes a partir de alertas do Defender for Cloud, sejam elas agendadas (tipo de consulta regular) ou de segurança da Microsoft (criação de incidentes).
Se necessário, utilize regras de automatização para fechar incidentes ruidosos ou utilize as capacidades de otimização incorporadas no portal do Defender para suprimir determinados alertas.
Se você integrou seus incidentes do Microsoft Defender XDR no Microsoft Sentinel e deseja manter as configurações baseadas em assinatura e evitar a sincronização baseada em locatário, desative a sincronização de incidentes e alertas do Microsoft Defender XDR:
No portal do Microsoft Defender, vá para Configurações > do Microsoft Defender XDR.
Em Configurações do serviço de alerta, procure alertas do Microsoft Defender for Cloud.
Select No alerts to turn off all Defender for Cloud alerts. Selecionar esta opção interrompe a ingestão de novos alertas do Defender for Cloud para o Microsoft Defender XDR. Os alertas ingeridos anteriormente permanecem numa página de alerta ou incidente.
Para obter mais informações, consulte:
- Ingerir incidentes do Microsoft Defender for Cloud através da integração com o Microsoft Defender XDR
- Descubra e gere conteúdo pronto a usar do Microsoft Sentinel