Riasztások és incidensek a Microsoft Defender XDR-ben
Felhőhöz készült Microsoft Defender integrálva van a Microsoft Defender XDR-sel. Ez az integráció lehetővé teszi, hogy a biztonsági csapatok hozzáférjenek Felhőhöz készült Defender riasztásokhoz és incidensekhez a Microsoft Defender portálon. Ez az integráció gazdagabb környezetet biztosít a felhőalapú erőforrásokat, eszközöket és identitásokat felölelő vizsgálatokhoz.
A Microsoft Defender XDR-szel való együttműködés lehetővé teszi, hogy a biztonsági csapatok teljes képet kaphassanak egy támadásról, beleértve a felhőkörnyezetükben előforduló gyanús és rosszindulatú eseményeket is. A biztonsági csapatok a riasztások és incidensek azonnali korrelációjával érik el ezt a célt.
A Microsoft Defender XDR átfogó megoldást kínál, amely egyesíti a védelmi, észlelési, vizsgálati és válaszképességeket. A megoldás védelmet nyújt az eszközök, az e-mailek, az együttműködés, az identitás és a felhőalkalmazások elleni támadások ellen. Észlelési és vizsgálati képességeink mostantól ki vannak terjesztve a felhőbeli entitásokra, így a biztonsági üzemeltetési csapatok egyetlen üvegablakot kínálnak a működési hatékonyságuk jelentős javítása érdekében.
Az incidensek és riasztások mostantól a Microsoft Defender XDR nyilvános API-jának részét képezik. Ez az integráció lehetővé teszi a biztonsági riasztások adatainak exportálását bármely rendszerbe egyetlen API használatával. Ahogy Felhőhöz készült Microsoft Defender, elkötelezettek vagyunk a felhasználók számára a lehető legjobb biztonsági megoldások biztosítása mellett, és ez az integráció jelentős lépés e cél elérése felé.
A Microsoft Defender XDR vizsgálati tapasztalatai
Az alábbi táblázat a Microsoft Defender XDR észlelési és vizsgálati tapasztalatait ismerteti Felhőhöz készült Defender riasztásokkal.
| Terület | Leírás |
|---|---|
| Incidensek | Minden Felhőhöz készült Defender incidens integrálva van a Microsoft Defender XDR-be. – A felhőbeli erőforrás-objektumok keresése az incidenssorban támogatott. - A támadási történet grafikonja a felhőbeli erőforrást mutatja. – Az incidensoldal Eszközök lapja a felhőbeli erőforrást jeleníti meg. - Minden virtuális gép saját entitásoldallal rendelkezik, amely az összes kapcsolódó riasztást és tevékenységet tartalmazza. Más Defender-számítási feladatok incidensei nem ismétlődnek. |
| Riasztások | Minden Felhőhöz készült Defender riasztás, beleértve a többfelhős, belső és külső szolgáltatók riasztását, integrálva van a Microsoft Defender XDR-be. A Defenders for Cloud riasztások megjelennek a Microsoft Defender XDR riasztási üzenetsorán. Microsoft Defender XDR Az cloud resource objektum megjelenik egy riasztás Eszköz lapján. Az erőforrások egyértelműen Azure-, Amazon- vagy Google Cloud-erőforrásként vannak azonosítva. A felhőbeli riasztások defenderei automatikusan társítva lesznek egy bérlőhöz. Más Defender-számítási feladatok riasztásai nem ismétlődnek. |
| Riasztások és incidensek korrelációja | A riasztások és incidensek automatikusan korrelálnak, és robusztus környezetet biztosítanak a biztonsági műveleti csapatoknak a felhőkörnyezet teljes támadási történetének megértéséhez. |
| Fenyegetések észlelése | A virtuális entitások és az eszközentitások pontos egyeztetése a pontosság és a hatékony fenyegetésészlelés érdekében. |
| Egyesített API | Felhőhöz készült Defender riasztások és incidensek mostantól a A Microsoft Defender XDR nyilvános API-ja lehetővé teszi, hogy az ügyfelek egy API használatával exportálhassák a biztonsági riasztások adatait más rendszerekbe. |
További információ a Riasztások kezeléséről a Microsoft Defender XDR-ben.
Speciális vadászat az XDR-ben
A Microsoft Defender XDR speciális vadászati képességei Felhőhöz készült Defender riasztásokra és incidensekre is kiterjednek. Ez az integráció lehetővé teszi, hogy a biztonsági csapatok egyetlen lekérdezésben keressék az összes felhőbeli erőforrásukat, eszközüket és identitásukat.
A Microsoft Defender XDR fejlett vadászati felülete lehetővé teszi a biztonsági csapatok számára, hogy egyéni lekérdezéseket hozzanak létre a környezetük fenyegetéseinek kereséséhez. Az Felhőhöz készült Defender riasztásokkal és incidensekkel való integráció lehetővé teszi, hogy a biztonsági csapatok a felhőbeli erőforrásaik, eszközeik és identitásaik fenyegetéseit keressék.
A CloudAuditEvents tábla a speciális vadászatban lehetővé teszi a vezérlősík eseményeinek vizsgálatát és keresését, valamint egyéni észlelések létrehozását a gyanús Azure Resource Manager és Kubernetes (KubeAudit) vezérlősík-tevékenységek felszínre hozásához.
A CloudProcessEvents tábla speciális vadászatban lehetővé teszi a felhőinfrastruktúra által meghívott gyanús tevékenységek osztályozását, vizsgálatát és egyéni észlelések létrehozását a folyamat részleteivel kapcsolatos részletekkel.
Microsoft Sentinel-ügyfelek
Ha Ön Microsoft Sentinel-ügyfél, aki a Microsoft egyesített biztonsági műveleteinek (SecOps) platformjára lépett, Felhőhöz készült Defender riasztások már közvetlenül a Defender XDR-be kerülnek. A beépített biztonsági tartalmak előnyeinek kihasználásához telepítse a Felhőhöz készült Microsoft Defender megoldást a Microsoft Sentinel Tartalomközpontból.
Azok a Microsoft Sentinel-ügyfelek, akik nem használják a Microsoft egyesített SecOps platformját, a Microsoft 365 Defenderrel való Felhőhöz készült Defender integrációt is élvezhetik a munkaterületeiken a Microsoft 365 Defender incidensek és riasztások összekötőjével.
Először engedélyeznie kell az incidensek integrációját a Microsoft 365 Defender-összekötőben.
Ezután engedélyezze a bérlőalapú Felhőhöz készült Microsoft Defender (előzetes verzió) adatösszekötőt, hogy szinkronizálja az előfizetéseket a bérlőalapú Felhőhöz készült Defender incidensekkel a Microsoft 365 Defender incidensek összekötőjén keresztüli streameléshez.
A bérlőalapú Felhőhöz készült Microsoft Defender (előzetes verzió) adatösszekötő a Microsoft Sentinel Content Hub Felhőhöz készült Microsoft Defender 3.0.0-s verzióján keresztül érhető el. Ha rendelkezik a megoldás egy korábbi verziójával, javasoljuk, hogy frissítse a megoldás verzióját. Ha továbbra is engedélyezve van az előfizetés-alapú Felhőhöz készült Microsoft Defender (örökölt) adatösszekötő, javasoljuk, hogy válassza le az összekötőt, hogy megakadályozza a riasztások duplikálását a naplókban.
Azt is javasoljuk, hogy tiltson le minden olyan elemzési szabályt, amely incidenseket hoz létre közvetlenül a Felhőhöz készült Microsoft Defender-riasztásokból. A Microsoft Sentinel automatizálási szabályaival azonnal lezárhatja az incidenseket, és megakadályozhatja, hogy bizonyos típusú Felhőhöz készült Defender riasztások incidensekké váljanak, vagy használja a Microsoft Defender portál beépített hangolási funkcióit, hogy megakadályozza a riasztások incidenssé válását.
Ha a Microsoft 365 Defender-incidenseket a Microsoft Sentinelbe integrálta, és meg szeretné tartani az előfizetés-alapú beállításokat, és elkerüli a bérlőalapú szinkronizálást, a Microsoft 365 Defender-összekötővel letilthatja az incidensek és riasztások szinkronizálását.
További információk:
- A Microsoft Sentinel beépített tartalmainak felderítése és kezelése
- Felhőhöz készült Microsoft Defender incidensek betöltése a Microsoft Defender XDR-integrációval
- Felhőhöz készült Microsoft Defender adatbiztonságot.