Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
重要
注意:所有Microsoft Defender for Cloud功能将在
适用于:
Microsoft Defender for Cloud与Microsoft Defender扩展检测和响应(XDR)集成。 此集成允许安全团队访问 Microsoft Defender 门户中的 Defender for Cloud 警报和事件。 该整合为跨云资源、设备和身份的调查提供了更丰富的上下文。
与 Microsoft Defender XDR 的合作关系使安全团队能够全面了解攻击,包括云环境中发生的可疑和恶意事件。 安全团队可以通过直接关联警报和事件来实现此目标。
Microsoft Defender XDR提供了一个全面的解决方案,它结合了保护、检测、调查和响应功能。 该解决方案可防范对设备、电子邮件、协作、标识和云应用的攻击。 我们的检测和调查功能现已扩展到云实体,为安全运营团队提供单一管理平台,可以显著提高其运营效率。
事件和警报现在属于 Microsoft Defender XDR 的公共 API。 这种集成允许使用单个 API 将安全警报数据导出到任何系统。 Microsoft Defender for Cloud,我们致力于为用户提供最佳安全解决方案,此集成是实现这一目标的重要一步。
先决条件
在Azure订阅上启用云防御者。
访问 Microsoft Defender 门户中的 Defender for Cloud 警报取决于已启用哪些 Defender for Cloud 计划。 详细了解不同的 Defender for Cloud 计划保护。
注释
查看 Defender for Cloud 警报和关联的权限对于整个租户都是自动的。 不支持查看特定订阅。 使用 警报订阅 ID 筛选器查看警报和事件队列中与特定 Defender for Cloud 订阅关联的 Defender for Cloud 警报。 详细了解 筛选器。
若已应用适用于 Defender for Cloud 的 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) 角色,集成才可用。 若要查看没有 Defender XDR Unified RBAC 的 Defender for Cloud 警报和关联,你必须是Microsoft Entra ID中的全局管理员或安全管理员。
Microsoft Defender XDR 的调查体验
下表介绍了结合使用 Microsoft Defender XDR 和 Defender for Cloud 警报的检测和调查体验。
| 范围 | 说明 |
|---|---|
| 事故 | 所有 Defender for Cloud 事件都集成到Microsoft Defender XDR。 - 支持在事件队列中搜索云资源资产。 - 攻击情景图表显示云资源。 - 事件页中的“资产”选项卡显示云资源。 - 每个虚拟机都有自己的实体页面,其中包含所有相关的警报和活动。 其他 Defender 工作负载中不存在重复事件。 |
| 警报 | 所有 Defender for Cloud 警报(包括内部和外部提供商的警报)都集成到Microsoft Defender XDR。 适用于云的 Microsoft Defender 警报显示在 Microsoft Defender XDR alert 队列。 Microsoft Defender XDR cloud resource 资产显示在警报的“资产”选项卡中。 资源明确标识为Azure资源。 Defender for Cloud 警报会自动与租户关联。 其他 Defender 工作负载中不存在重复警报。 |
| 警报和事件关联 | 警报和事件自动关联,为安全运营团队提供强大的上下文,让其了解其云环境中的完整攻击情景。 |
| 威胁检测 | 虚拟实体与设备实体精准匹配,确保威胁检测精准有效。 |
| Unified API | Defender for Cloud 警报和事件现在包含在 Microsoft Defender XDR 的公共 API中,允许客户使用一个 API 将其安全警报数据导出到其他系统中。 |
注释
Defender for Cloud 中的信息警报未集成到 Microsoft Defender 门户中,以允许关注相关和高严重性警报。 此策略可简化事件的管理并减少警报疲劳。
警报状态同步
启用 Defender for Cloud 与Microsoft Defender XDR之间的集成后,警报状态更改将在两个服务之间同步,并具有以下行为:
| Scenario | 状态同步 |
|---|---|
| Defender for Cloud 警报状态在 Defender for Cloud 中已更改 | Microsoft Defender XDR中反映的状态:Yes |
| Defender for Cloud 的警报状态在 Microsoft Defender XDR 中更改了 | Defender for Cloud 中反映的状态: 是 |
| Microsoft Defender for Endpoint 针对云资源的警报 - 状态已在 Defender for Cloud 中更改 | Defender for Cloud 中反映的状态: 是 Microsoft Defender XDR中反映的状态:No |
| Microsoft Defender for Endpoint的云资源警报 - 在Microsoft Defender XDR中,状态已更改 | Microsoft Defender XDR中反映的状态:Yes Defender for Cloud 中反映的状态: 否 |
重要
- 在 Defender for Cloud 中,只有 Defender for Cloud 警报是有效的实体。 对 Microsoft Defender XDR 警报在 Defender for Cloud 中的引用仅适用于有关云资源的 Microsoft Defender for Endpoint 警报。
XDR 中的高级搜寻
Microsoft Defender XDR 的高级搜寻功能已扩展,现在包含 Defender for Cloud 的警报和事件。 此集成允许安全团队在单个查询中搜寻其所有云资源、设备和标识。
Microsoft Defender XDR中的高级搜寻体验旨在为安全团队提供灵活性,以创建自定义查询,以在其环境中搜寻威胁。 与 Defender for Cloud 警报和事件的集成允许安全团队在其云资源、设备和标识中搜寻威胁。
使用高级狩猎中的 CloudAuditEvents 表可以调查和追踪控制平面事件,并创建自定义检测以揭示可疑的 Azure Resource Manager 和 Kubernetes(KubeAudit)控制平面活动。
在高级搜寻中使用 CloudProcessEvents 表,可以对云基础结构中调用的可疑活动进行会审和调查,并创建自定义检测,其中包含有关流程详细信息的信息。