Megosztás a következőn keresztül:

Riasztások betöltése a Microsoft Sentinelbe Felhőhöz készült Microsoft Defender

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel

Felhőhöz készült Microsoft Defender integrált felhőbeli számítási feladatok védelme lehetővé teszi a hibrid és többfelhős számítási feladatok fenyegetéseinek észlelését és gyors reagálását. A Felhőhöz készült Microsoft Defender összekötő lehetővé teszi a biztonsági riasztások betöltését a Felhőhöz készült Defender a Microsoft Sentinelbe, így szélesebb körű szervezeti fenyegetéskörnyezetben tekintheti meg, elemezheti és válaszolhatja meg a Defender-riasztásokat és az általuk generált incidenseket.

Felhőhöz készült Microsoft Defender Defender-csomagok előfizetésenként engedélyezve vannak. Bár a Microsoft Sentinel örökölt Felhőhöz készült Defender-összekötője előfizetésenként is konfigurálva van, a bérlőalapú Felhőhöz készült Microsoft Defender-összekötő előzetes verzióban lehetővé teszi Felhőhöz készült Defender riasztásokat a teljes bérlőn anélkül, hogy külön engedélyeznie kellene az egyes előfizetéseket. A bérlőalapú összekötő együttműködik Felhőhöz készült Defender Microsoft Defender XDR-vel való integrációjával is, így biztosítva, hogy az összes Felhőhöz készült Defender-riasztás teljes mértékben szerepeljen a Microsoft Defender XDR incidensintegrációján keresztül kapott incidensekben.

  • Riasztás-szinkronizálás:

    • Amikor Felhőhöz készült Microsoft Defender csatlakozik a Microsoft Sentinelhez, a rendszer szinkronizálja a Microsoft Sentinelbe beszúrt biztonsági riasztások állapotát a két szolgáltatás között. Így például ha egy riasztás Felhőhöz készült Defender bezárul, az a Microsoft Sentinelben is bezártként jelenik meg.

    • A riasztás állapotának Felhőhöz készült Defender módosítása nem befolyásolja a Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensek állapotát, csak magát a riasztást.

  • Kétirányú riasztások szinkronizálása: A kétirányú szinkronizálás engedélyezése automatikusan szinkronizálja az eredeti biztonsági riasztások állapotát a riasztásokat tartalmazó Microsoft Sentinel-incidensek állapotával. Így például amikor egy biztonsági riasztást tartalmazó Microsoft Sentinel-incidens bezárul, a megfelelő eredeti riasztás automatikusan Felhőhöz készült Microsoft Defender bezárul.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Feljegyzés

Az összekötő nem támogatja a más bérlők tulajdonában lévő előfizetések riasztásainak szinkronizálását, még akkor sem, ha a Lighthouse engedélyezve van ezekhez a bérlőkhöz.

Előfeltételek

  • A Microsoft Sentinelt az Azure Portalon kell használnia. Amikor a Microsoft Sentinelt a Defender portálra irányítja, Felhőhöz készült Defender riasztások már be vannak betöltve a Microsoft Defender XDR-be, és a bérlőalapú Felhőhöz készült Microsoft Defender (előzetes verzió) adatösszekötő nem szerepel a Defender portál Adatösszekötők lapján. További információ: Microsoft Sentinel a Microsoft Defender portálon.

    Ha előkészítette a Microsoft Sentinelt a Defender portálra, akkor is telepítenie kell a Felhőhöz készült Microsoft Defender megoldást, hogy beépített biztonsági tartalmakat használjon a Microsoft Sentinellel.

    Ha Microsoft Sentinelt használ a Defender portálon a Microsoft Defender XDR nélkül, ez az eljárás továbbra is releváns az Ön számára.

  • A következő szerepköröknek és engedélyeknek kell rendelkezniük:

    • Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.

    • A Microsoft Sentinelhez csatlakozni kívánt előfizetésen közreműködői vagy tulajdonosi szerepkörnek kell lennie.

    • A kétirányú szinkronizálás engedélyezéséhez közreműködői vagy biztonsági rendszergazdai szerepkörre van szükség a megfelelő előfizetésben.

  • Minden olyan előfizetéshez engedélyeznie kell legalább egy csomagot Felhőhöz készült Microsoft Defender, ahol engedélyezni szeretné az összekötőt. A Microsoft Defender-csomagok előfizetésen való engedélyezéséhez rendelkeznie kell az előfizetés biztonsági rendszergazdai szerepkörével.

  • Minden olyan előfizetéshez regisztrálnia kell az SecurityInsights erőforrás-szolgáltatót, ahol engedélyezni szeretné az összekötőt. Tekintse át az erőforrás-szolgáltató regisztrációs állapotával és a regisztráció módjával kapcsolatos útmutatást.

Csatlakozás Felhőhöz készült Microsoft Defender

  1. A Microsoft Sentinelben telepítse az Felhőhöz készült Microsoft Defender megoldását a Content Hubról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

  2. Válassza a Konfigurációs > adatösszekötők lehetőséget.

  3. Az Adatösszekötők lapon válassza az Előfizetés-alapú Felhőhöz készült Microsoft Defender (Örökölt) vagy a Bérlőalapú Felhőhöz készült Microsoft Defender (előzetes verzió) összekötőt, majd válassza az Összekötő megnyitása lap lehetőséget.

  4. A Konfiguráció területen megjelenik a bérlő előfizetéseinek listája, valamint a Felhőhöz készült Microsoft Defender való kapcsolatuk állapota. Válassza az Állapot váltógombot minden olyan előfizetés mellett, amelynek a riasztását a Microsoft Sentinelbe szeretné streamelni. Ha egyszerre több előfizetést szeretne csatlakoztatni, ezt úgy teheti meg, hogy bejelöli a megfelelő előfizetések melletti jelölőnégyzeteket, majd a lista feletti sávOn a Csatlakozás gombot választja.

    • A jelölőnégyzetek és a Csatlakozás kapcsolók csak azon előfizetéseken aktívak, amelyekhez a szükséges engedélyekkel rendelkezik.
    • A Csatlakozás gomb csak akkor aktív, ha legalább egy előfizetés jelölőnégyzete be van jelölve.

  5. Ha engedélyezni szeretné a kétirányú szinkronizálást egy előfizetésen, keresse meg az előfizetést a listában, és válassza az Engedélyezve lehetőséget a Kétirányú szinkronizálás oszlop legördülő listájából. Ha egyszerre több előfizetésen szeretné engedélyezni a kétirányú szinkronizálást, jelölje be a jelölőnégyzeteket, és válassza a kétirányú szinkronizálás engedélyezése gombot a lista feletti sávon.

    • A jelölőnégyzetek és a legördülő listák csak azon előfizetéseken aktívak, amelyekhez a szükséges engedélyekkel rendelkezik.
    • A kétirányú szinkronizálás engedélyezése gomb csak akkor aktív, ha legalább egy előfizetés jelölőnégyzete be van jelölve.

  6. A lista Microsoft Defender-csomagok oszlopában láthatja, hogy engedélyezve vannak-e a Microsoft Defender-csomagok az előfizetésében, ami az összekötő engedélyezésének előfeltétele.

    Az oszlopban szereplő előfizetések értéke vagy üres, ami azt jelenti, hogy nincsenek engedélyezve a Defender-csomagok, az Összes engedélyezve vagy a Néhány engedélyezve. Azok, akik azt mondják, hogy a Néhány engedélyezve van, rendelkezik egy minden kiválasztható hivatkozás engedélyezésére szolgáló hivatkozástal is, amely az előfizetéshez tartozó Felhőhöz készült Microsoft Defender konfigurációs irányítópultra viszi, ahol kiválaszthatja az engedélyezni kívánt Defender-csomagokat.

    A lista feletti sávon található Minden előfizetéshez a Microsoft Defender engedélyezése hivatkozás gomb a Felhőhöz készült Microsoft Defender Első lépések lapra viszi, ahol kiválaszthatja, hogy mely előfizetések engedélyezzek Felhőhöz készült Microsoft Defender teljes egészében. Példa:

    Képernyőkép Felhőhöz készült Microsoft Defender összekötő konfigurációjáról.

  7. Megadhatja, hogy a Felhőhöz készült Microsoft Defender riasztásai automatikusan generáljanak-e incidenseket a Microsoft Sentinelben. Az Incidensek létrehozása csoportban válassza az Engedélyezve lehetőséget az alapértelmezett elemzési szabály bekapcsolásához, amely automatikusan létrehoz incidenseket a riasztásokból. Ezt a szabályt az Elemzés területen, az Aktív szabályok lapon szerkesztheti.

    Tipp.

    Ha egyéni elemzési szabályokat konfigurál a Felhőhöz készült Microsoft Defender riasztásaihoz, vegye figyelembe a riasztás súlyosságát, hogy elkerülje az incidensek megnyitását az információs riasztásokhoz.

    Az Felhőhöz készült Microsoft Defender tájékoztató riasztásai önmagukban nem jelentenek biztonsági kockázatot, és csak egy meglévő, nyitott incidens kontextusában relevánsak. További információ: Biztonsági riasztások és incidensek a Felhőhöz készült Microsoft Defender.

Az adatok megkeresése és elemzése

A biztonsági riasztások a Log Analytics-munkaterület SecurityAlert táblájában vannak tárolva. A Log Analytics biztonsági riasztásainak lekérdezéséhez másolja a következőt a lekérdezési ablakba kiindulási pontként:

SecurityAlert 
| where ProductName == "Azure Security Center"

A riasztások szinkronizálása mindkét irányban eltarthat néhány percig. Előfordulhat, hogy a riasztások állapotának változásai nem jelennek meg azonnal.

Az összekötő oldalán a Következő lépések lapon további hasznos lekérdezéseket, elemzési szabálysablonokat és ajánlott munkafüzeteket talál.

Kapcsolódó tartalom

Ebben a dokumentumban megtanulta, hogyan csatlakoztathat Felhőhöz készült Microsoft Defender a Microsoft Sentinelhez, és hogyan szinkronizálhatja közöttük a riasztásokat. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: