Bulut için Microsoft Defender uyarılarını Microsoft Sentinel'e alma

Bulut için Microsoft Defender tümleşik bulut iş yükü korumaları, hibrit ve çoklu bulut iş yüklerindeki tehditleri algılamanıza ve hızlı bir şekilde yanıtlamanıza olanak sağlar. Bulut için Microsoft Defender bağlayıcısı, güvenlik uyarılarını Bulut için Defender Microsoft Sentinel'e almanıza olanak tanır; böylece Defender uyarılarını ve oluşturdukları olayları daha geniş bir kurumsal tehdit bağlamında görüntüleyebilir, analiz edebilir ve yanıtlayabilirsiniz.

Bulut için Microsoft Defender Defender planları abonelik başına etkinleştirilir. Microsoft Sentinel'in Bulut için Defender Uygulamaları için eski bağlayıcısı da abonelik başına yapılandırılırken, Kiracı tabanlı Bulut için Microsoft Defender bağlayıcısı önizlemede kiracınızın tamamında her birinin etkinleştirilmesine gerek kalmadan Bulut için Defender uyarıları toplamanıza olanak tanır aboneliğini ayrı ayrı seçin. Kiracı tabanlı bağlayıcı, tüm Bulut için Defender uyarılarınızın Microsoft Defender XDR olay tümleştirmesi aracılığıyla aldığınız olaylara tam olarak dahil edilmesini sağlamak için Bulut için Defender'nin Microsoft Defender XDR tümleştirmesiyle de çalışır.

• Uyarı eşitlemesi:

  • Bulut için Microsoft Defender Microsoft Sentinel'e bağladığınızda, Microsoft Sentinel'e alınan güvenlik uyarılarının durumu iki hizmet arasında eşitlenir. Örneğin, bir uyarı Bulut için Defender kapatıldığında, bu uyarı Microsoft Sentinel'de de kapalı olarak görüntülenir.

  • Bulut için Defender bir uyarının durumunun değiştirilmesi, Microsoft Sentinel uyarısını içeren microsoft Sentinel olaylarının durumunu etkilemez; yalnızca uyarının kendisini etkiler.

• çift yönlü uyarı eşitlemesi: çift yönlü eşitlemenin etkinleştirilmesi, özgün güvenlik uyarılarının durumunu bu uyarıları içeren Microsoft Sentinel olaylarıyla otomatik olarak eşitler. Bu nedenle, örneğin, güvenlik uyarıları içeren bir Microsoft Sentinel olayı kapatıldığında, ilgili özgün uyarı Bulut için Microsoft Defender otomatik olarak kapatılır.

Önkoşullar

• Azure portalında Microsoft Sentinel kullanıyor olmanız gerekir. Microsoft Sentinel'i Defender portalına eklediğinizde, Bulut için Defender uyarılar Microsoft Defender XDR'ye zaten alınır ve Kiracı tabanlı Bulut için Microsoft Defender (Önizleme) veri bağlayıcısı Defender portalındaki Veri bağlayıcıları sayfasında listelenmez. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

  Microsoft Sentinel'i Defender portalına eklemeye devam ettiyseniz, Microsoft Sentinel ile yerleşik güvenlik içeriğini kullanmak için Bulut için Microsoft Defender çözümünü yüklemeye devam etmek istersiniz.

  Microsoft Sentinel'i Defender portalında Microsoft Defender XDR olmadan kullanıyorsanız, bu yordam sizin için hala geçerlidir.

• Aşağıdaki rollere ve izinlere sahip olmanız gerekir:

  • Microsoft Sentinel çalışma alanınızda okuma ve yazma izinleriniz olmalıdır.

  • Microsoft Sentinel'e bağlanmak istediğiniz abonelikte Katkıda Bulunan veya Sahip rolüne sahip olmanız gerekir.

  • çift yönlü eşitlemeyi etkinleştirmek için ilgili abonelikte Katkıda Bulunan veya Güvenlik Yöneticisi rolüne sahip olmanız gerekir.

• Bağlayıcıyı etkinleştirmek istediğiniz her abonelik için Bulut için Microsoft Defender içinde en az bir planı etkinleştirmeniz gerekir. Bir abonelikte Microsoft Defender planlarını etkinleştirmek için bu abonelik için Güvenlik Yöneticisi rolüne sahip olmanız gerekir.

• Bağlayıcıyı SecurityInsights etkinleştirmek istediğiniz her abonelik için kaynak sağlayıcısının kaydedilmesi gerekir. Kaynak sağlayıcısı kayıt durumu ve kaydetme yolları hakkındaki yönergeleri gözden geçirin.

Bulut için Microsoft Defender bağlanma

1. Microsoft Sentinel'de, İçerik Hub'ından Bulut için Microsoft Defender çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

2. Yapılandırma > Verileri bağlayıcıları'nı seçin.

3. Veri bağlayıcıları sayfasında Abonelik tabanlı Bulut için Microsoft Defender (Eski) veya Kiracı tabanlı Bulut için Microsoft Defender (Önizleme) bağlayıcısını ve ardından Bağlayıcıyı aç sayfasını seçin.

4. Yapılandırma altında, kiracınızdaki aboneliklerin listesini ve Bulut için Microsoft Defender bağlantılarının durumunu görürsünüz. Uyarılarını Microsoft Sentinel'e aktarmak istediğiniz her aboneliğin yanındaki Durum düğmesini seçin. Aynı anda birkaç abonelik bağlamak istiyorsanız, ilgili aboneliklerin yanındaki onay kutularını işaretleyip listenin üstündeki çubukta Bağlan düğmesini seçerek bunu yapabilirsiniz.

   • Onay kutuları ve Bağlan iki durumlu düğmeleri yalnızca gerekli izinlere sahip olduğunuz aboneliklerde etkindir.
   • Bağlan düğmesi yalnızca en az bir aboneliğin onay kutusu işaretlenmişse etkindir.

5. Abonelikte çift yönlü eşitlemeyi etkinleştirmek için listede aboneliği bulun ve çift yönlü eşitleme sütunundaki açılan listeden Etkin'i seçin. Aynı anda birkaç abonelikte çift yönlü eşitlemeyi etkinleştirmek için, onay kutularını işaretleyin ve listenin üstündeki çubukta çift yönlü eşitlemeyi etkinleştir düğmesini seçin.

   • Onay kutuları ve açılan listeler yalnızca gerekli izinlere sahip olduğunuz aboneliklerde etkindir.
   • İki yönlü eşitlemeyi etkinleştir düğmesi yalnızca en az bir aboneliğin onay kutusu işaretlenmişse etkindir.

6. Listenin Microsoft Defender planları sütununda, bağlayıcıyı etkinleştirme önkoşulu olan aboneliğinizde Microsoft Defender planlarının etkinleştirilip etkinleştirilmediğini görebilirsiniz.

   Bu sütundaki her aboneliğin değeri boş, yani Hiçbir Defender planı etkinleştirilmedi, Tümü etkinleştirildi veya Bazıları etkin değil. Bazıları etkin ifadesinin seçebileceğiniz Tümünü etkinleştir bağlantısı da vardır. Bu bağlantı sizi bu aboneliğin Bulut için Microsoft Defender yapılandırma panonuza götürür ve burada etkinleştirmek üzere Defender planlarını seçebilirsiniz.

   Listenin üstündeki çubukta yer alan Tüm abonelikler için Microsoft Defender'ı etkinleştir bağlantı düğmesi sizi Bulut için Microsoft Defender Başlarken sayfanıza götürür ve burada Bulut için Microsoft Defender tamamen etkinleştirmek istediğiniz abonelikleri seçebilirsiniz. Örneğin:

   

7. Bulut için Microsoft Defender uyarılarının Microsoft Sentinel'de otomatik olarak olay oluşturmasını isteyip istemediğinizi seçebilirsiniz. Olay oluştur'un altında Etkin'i seçerek uyarılardan otomatik olarak olaylar oluşturan varsayılan analiz kuralını açın. Ardından bu kuralı Analytics'in altında, Etkin kurallar sekmesinde düzenleyebilirsiniz.

   İpucu

   Bulut için Microsoft Defender uyarıları için özel analiz kuralları yapılandırırken, bilgilendiren uyarılar için olayların açılmasını önlemek için uyarı önem derecesini göz önünde bulundurun.

   Bulut için Microsoft Defender'daki bilgilendirme uyarıları kendi başına bir güvenlik riskini temsil etmemektedir ve yalnızca mevcut, açık bir olay bağlamında geçerlidir. Daha fazla bilgi için bkz. Bulut için Microsoft Defender güvenlik uyarıları ve olayları.

Verilerinizi bulma ve analiz etme

Güvenlik uyarıları Log Analytics çalışma alanınızdaki SecurityAlert tablosunda depolanır. Log Analytics'te güvenlik uyarılarını sorgulamak için aşağıdakileri başlangıç noktası olarak sorgu pencerenize kopyalayın:

SecurityAlert 
| where ProductName == "Azure Security Center"

Her iki yönde uyarı eşitlemesi birkaç dakika sürebilir. Uyarıların durumundaki değişiklikler hemen görüntülenmeyebilir.

Daha yararlı örnek sorgular, analiz kuralı şablonları ve önerilen çalışma kitapları için bağlayıcı sayfasındaki Sonraki adımlar sekmesine bakın.

İlgili içerik

Bu belgede, Bulut için Microsoft Defender Microsoft Sentinel'e bağlanmayı ve uyarılar arasında eşitlemeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Tehditleri algılamak için kendi kurallarınızı yazın.