Microsoft Defender XDR 中的警报和事件
Microsoft Defender for Cloud 现已与 Microsoft Defender XDR 集成。 此集成使安全团队可以访问 Microsoft Defender 门户中的 Defender for Cloud 警报和事件。 该集成为跨云资源、设备和标识的调查提供了更丰富的上下文。
与 Microsoft Defender XDR 的合作伙伴关系使安全团队能够全面了解攻击,包括在云环境中发生的可疑和恶意事件。 安全团队可以通过直接关联警报和事件来实现此目标。
Microsoft Defender XDR 提供了一个全面的解决方案,将保护、检测、调查和响应功能结合使用。 该解决方案可防范对设备、电子邮件、协作、标识和云应用的攻击。 我们的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,可以显著提高其运营效率。
事件和警报现在是 Microsoft Defender XDR 的公共 API 的一部分。 这种集成允许使用单个 API 将安全警报数据导出到任何系统。 作为 Microsoft Defender for Cloud 的开发者,我们致力于为用户提供最佳的安全解决方案,这种集成是实现该目标的重要一步。
Microsoft Defender XDR 中的调查体验
下表介绍了在 Microsoft Defender XDR 中使用 Defender for Cloud 警报进行检测和调查的体验。
范围 | 说明 |
---|---|
事故 | 所有 Defender for Cloud 事件都已集成到 Microsoft Defender XDR。 - 支持在事件队列中搜索云资源资产。 - 攻击情景图表显示云资源。 - 事件页中的“资产”选项卡显示云资源。 - 每个虚拟机都有自己的实体页面,其中包含所有相关的警报和活动。 其他 Defender 工作负荷中不存在重复事件。 |
警报 | 所有 Defender for Cloud 警报(包括内部和外部提供商的警报)都已集成到 Microsoft Defender XDR 中。 Defender for Cloud 警报在 Microsoft Defender XDR 警报队列上显示。 Microsoft Defender XDR cloud resource 资产显示在警报的“资产”选项卡中。 资源被明确标识为 Azure 资源。 Defender for Cloud 警报会自动与租户关联。 其他 Defender 工作负荷中不存在重复警报。 |
警报和事件关联 | 警报和事件自动关联,为安全运营团队提供强大的上下文,让其了解其云环境中的完整攻击情景。 |
威胁检测 | 虚拟实体与设备实体精准匹配,确保威胁检测精准有效。 |
Unified API | Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API 中,客户可使用一个 API 将其安全警报数据导出到其他系统。 |
了解有关在 Microsoft Defender XDR 中处理警报的详细信息。
XDR 中的高级搜寻
Microsoft Defender XDR 的高级搜寻功能已扩展为包括 Defender for Cloud 警报和事件。 此集成允许安全团队在单个查询中搜寻其所有云资源、设备和标识。
Microsoft Defender XDR 中的高级搜寻体验旨在为安全团队提供创建自定义查询的灵活性,以在其环境中搜寻威胁。 与 Defender for Cloud 警报和事件的集成允许安全团队在其云资源、设备和标识中搜寻威胁。
在高级搜寻中使用 CloudAuditEvents 表,可以调查搜寻控制面板事件,并创建自定义检测来显示可疑的 Azure 资源管理器和 Kubernetes (KubeAudit) 控制平面活动。
在高级搜寻中使用 CloudProcessEvents 表,可以对云基础结构中调用的可疑活动进行会审和调查,并创建自定义检测,其中包含有关流程详细信息的信息。