Pemberitahuan dan insiden di Microsoft Defender XDR
Microsoft Defender untuk Cloud terintegrasi dengan Microsoft Defender XDR. Integrasi ini memungkinkan tim keamanan untuk mengakses pemberitahuan dan insiden Defender untuk Cloud dalam Portal Pertahanan Microsoft. Integrasi ini menyediakan konteks yang lebih kaya untuk penyelidikan yang mencakup sumber daya, perangkat, dan identitas cloud.
Kemitraan dengan Microsoft Defender XDR memungkinkan tim keamanan untuk mendapatkan gambaran lengkap tentang serangan, termasuk peristiwa mencurigakan dan berbahaya yang terjadi di lingkungan cloud mereka. Tim keamanan dapat mencapai tujuan ini melalui korelasi langsung pemberitahuan dan insiden.
Microsoft Defender XDR menawarkan solusi komprehensif yang menggabungkan kemampuan perlindungan, deteksi, investigasi, dan respons. Solusi ini melindungi dari serangan pada perangkat, email, kolaborasi, identitas, dan aplikasi cloud. Kemampuan deteksi dan investigasi kami sekarang diperluas ke entitas cloud, menawarkan tim operasi keamanan satu panel kaca untuk secara signifikan meningkatkan efisiensi operasional mereka.
Insiden dan pemberitahuan sekarang menjadi bagian dari API publik Microsoft Defender XDR. Integrasi ini memungkinkan ekspor data pemberitahuan keamanan ke sistem apa pun menggunakan satu API. Sebagai Microsoft Defender untuk Cloud, kami berkomitmen untuk menyediakan solusi keamanan terbaik kepada pengguna kami, dan integrasi ini adalah langkah signifikan untuk mencapai tujuan tersebut.
Pengalaman investigasi di Pertahanan Microsoft XDR
Tabel berikut ini menjelaskan pengalaman deteksi dan investigasi di Microsoft Defender XDR dengan pemberitahuan Defender untuk Cloud.
| Area | Deskripsi |
|---|---|
| Insiden | Semua insiden Defender untuk Cloud diintegrasikan ke Microsoft Defender XDR. - Mencari aset sumber daya cloud dalam antrean insiden didukung. - Grafik cerita serangan menunjukkan sumber daya cloud. - Tab aset di halaman insiden menunjukkan sumber daya cloud. - Setiap komputer virtual memiliki halaman entitasnya sendiri yang berisi semua pemberitahuan dan aktivitas terkait. Tidak ada duplikasi insiden dari beban kerja Defender lainnya. |
| Peringatan | Semua pemberitahuan Defender untuk Cloud, termasuk pemberitahuan multicloud, penyedia internal dan eksternal, terintegrasi ke Microsoft Defender XDR. Pemberitahuan Defenders for Cloud ditampilkan pada antrean pemberitahuan Microsoft Defender XDR. Microsoft Defender XDR Aset cloud resource muncul di tab Aset pemberitahuan. Sumber daya diidentifikasi dengan jelas sebagai sumber daya Azure, Amazon, atau Google Cloud. Pemberitahuan Defenders for Cloud secara otomatis dikaitkan dengan penyewa. Tidak ada duplikasi pemberitahuan dari beban kerja Defender lainnya. |
| Korelasi pemberitahuan dan insiden | Pemberitahuan dan insiden secara otomatis berkorelasi, memberikan konteks yang kuat kepada tim operasi keamanan untuk memahami kisah serangan lengkap di lingkungan cloud mereka. |
| Deteksi ancaman | Pencocokan entitas virtual yang akurat dengan entitas perangkat untuk memastikan deteksi ancaman yang presisi dan efektif. |
| API Terpadu | Defender untuk Cloud pemberitahuan dan insiden sekarang disertakan dalam API publik Microsoft Defender XDR, memungkinkan pelanggan untuk mengekspor data pemberitahuan keamanan mereka ke sistem lain menggunakan satu API. |
Pelajari selengkapnya tentang menangani pemberitahuan di Microsoft Defender XDR.
Perburuan tingkat lanjut di XDR
Kemampuan berburu tingkat lanjut Microsoft Defender XDR diperluas untuk menyertakan pemberitahuan dan insiden Defender untuk Cloud. Integrasi ini memungkinkan tim keamanan untuk berburu di semua sumber daya cloud, perangkat, dan identitas mereka dalam satu kueri.
Pengalaman berburu tingkat lanjut di Microsoft Defender XDR dirancang untuk memberi tim keamanan fleksibilitas untuk membuat kueri kustom untuk berburu ancaman di seluruh lingkungan mereka. Integrasi dengan pemberitahuan dan insiden Defender untuk Cloud memungkinkan tim keamanan untuk berburu ancaman di seluruh sumber daya, perangkat, dan identitas cloud mereka.
Tabel CloudAuditEvents dalam perburuan tingkat lanjut memungkinkan Anda untuk menyelidiki dan berburu melalui peristiwa sarana kontrol dan untuk membuat deteksi kustom untuk menampilkan aktivitas sarana kontrol Azure Resource Manager dan KubeAudit (KubeAudit) yang mencurigakan.
Tabel CloudProcessEvents dalam perburuan tingkat lanjut memungkinkan Anda melakukan triase, menyelidiki, dan membuat deteksi kustom untuk aktivitas mencurigakan yang dipanggil dalam infrastruktur cloud Anda dengan informasi yang menyertakan detail tentang detail proses.
Pelanggan Microsoft Sentinel
Jika Anda adalah pelanggan Microsoft Azure Sentinel yang telah melakukan onboarding ke platform operasi keamanan terpadu (SecOps) Microsoft, pemberitahuan Defender untuk Cloud sudah diserap langsung ke Defender XDR. Untuk mendapatkan manfaat dari konten keamanan bawaan, pastikan untuk menginstal solusi Microsoft Defender untuk Cloud dari hub Konten Microsoft Azure Sentinel.
Pelanggan Microsoft Azure Sentinel yang tidak menggunakan platform SecOps terpadu Microsoft juga dapat memperoleh manfaat dari integrasi Defender untuk Cloud dengan Pertahanan Microsoft 365 di ruang kerja mereka menggunakan konektor insiden dan pemberitahuan Pertahanan Microsoft 365.
Pertama, Anda perlu mengaktifkan integrasi insiden di konektor Pertahanan Microsoft 365 Anda.
Kemudian, aktifkan konektor data Microsoft Defender untuk Cloud berbasis penyewa (Pratinjau) untuk menyinkronkan langganan Anda dengan insiden Defender untuk Cloud berbasis penyewa Anda untuk mengalirkan melalui konektor insiden Pertahanan Microsoft 365.
Konektor data Microsoft Defender untuk Cloud berbasis penyewa (Pratinjau) tersedia melalui solusi Microsoft Defender untuk Cloud, versi 3.0.0, dari hub Konten Microsoft Azure Sentinel. Jika Anda memiliki versi yang lebih lama dari solusi ini, kami sarankan Anda memperbarui versi solusi Anda. Jika Anda masih mengaktifkan konektor data Microsoft Defender untuk Cloud (Warisan) berbasis Langganan, kami sarankan Anda memutuskan sambungan konektor untuk mencegah pemberitahuan duplikat di log Anda.
Kami juga menyarankan agar Anda menonaktifkan aturan analitik apa pun yang membuat insiden dari pemberitahuan Microsoft Defender untuk Cloud Anda secara langsung. Gunakan aturan otomatisasi Microsoft Azure Sentinel untuk segera menutup insiden dan mencegah jenis pemberitahuan Defender untuk Cloud tertentu menjadi insiden, atau gunakan kemampuan penyetelan bawaan di portal Pertahanan Microsoft untuk mencegah pemberitahuan menjadi insiden.
Jika Anda telah mengintegrasikan insiden Pertahanan Microsoft 365 ke Microsoft Azure Sentinel dan ingin mempertahankan pengaturan berbasis langganan mereka dan menghindari sinkronisasi berbasis penyewa dapat menolak menyinkronkan insiden dan pemberitahuan menggunakan konektor Pertahanan Microsoft 365.
Untuk informasi selengkapnya, lihat:
- Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel
- Menyerap insiden Microsoft Defender untuk Cloud dengan integrasi Microsoft Defender XDR
- Microsoft Defender untuk Cloud keamanan data.