Avvisi e incidenti in Microsoft Defender XDR
Microsoft Defender per il cloud è ora integrato con Microsoft Defender XDR. Questa integrazione consente ai team di sicurezza di accedere agli avvisi e agli eventi imprevisti di Microsoft Defender per il cloud all'interno del portale di Microsoft Defender. Questa integrazione offre un contesto più completo per le indagini che riguardano risorse, dispositivi e identità cloud.
La partnership con Microsoft Defender XDR consente ai team di sicurezza di ottenere il quadro completo di un attacco, inclusi eventi sospetti e dannosi che si verificano nel proprio ambiente cloud. I team di sicurezza possono raggiungere questo obiettivo tramite correlazioni immediate di avvisi e eventi imprevisti.
Microsoft Defender XDR offre una soluzione completa che combina funzionalità di protezione, rilevamento, indagine e risposta. La soluzione protegge da attacchi su dispositivi, posta elettronica, collaborazione, identità e app cloud. Le funzionalità di rilevamento e analisi sono ora estese alle entità cloud, offrendo ai team delle operazioni di sicurezza un unico riquadro di vetro per migliorare significativamente l'efficienza operativa.
Gli eventi imprevisti e gli avvisi fanno ora parte dell'API pubblica di Microsoft Defender XDR. Questa integrazione consente l'esportazione dei dati degli avvisi di sicurezza in qualsiasi sistema usando una singola API. Come Microsoft Defender per il cloud, ci impegniamo a fornire agli utenti le migliori soluzioni di sicurezza possibili e questa integrazione è un passo significativo verso il raggiungimento di tale obiettivo.
Esperienza di indagine in Microsoft Defender XDR
La tabella seguente descrive l'esperienza di rilevamento e indagine in Microsoft Defender XDR con avvisi Defender per il cloud.
| Area | Descrizione |
|---|---|
| Eventi imprevisti | Tutti gli eventi imprevisti Defender per il cloud sono integrati in Microsoft Defender XDR. - La ricerca di asset di risorse cloud nella coda degli eventi imprevisti è supportata. - Il grafico della storia di attacco mostra la risorsa cloud. - La scheda asset in una pagina degli eventi imprevisti mostra la risorsa cloud. - Ogni macchina virtuale ha una propria pagina di entità contenente tutti gli avvisi e le attività correlati. Non esistono duplicazioni di eventi imprevisti da altri carichi di lavoro di Defender. |
| Avvisi | Tutti gli avvisi Defender per il cloud, inclusi gli avvisi multicloud, i provider interni ed esterni, sono integrati in Microsoft Defender XDR. Gli avvisi di Defender per cloud sono visualizzati nella coda di avvisi di Microsoft Defender XDR. Microsoft Defender XDR L'asset cloud resource viene visualizzato nella scheda Asset di un avviso. Le risorse sono chiaramente identificate come una risorsa Azure, Amazon o Google Cloud. Gli avvisi di Defender for Cloud vengono associati automaticamente a un tenant. Non sono presenti duplicazioni di avvisi di altri carichi di lavoro di Defender. |
| Correlazione di avvisi e eventi imprevisti | Gli avvisi e gli eventi imprevisti vengono correlati automaticamente, fornendo un contesto affidabile ai team delle operazioni di sicurezza per comprendere la storia completa degli attacchi nell'ambiente cloud. |
| Rilevamento delle minacce | Corrispondenza accurata delle entità virtuali alle entità del dispositivo per garantire la precisione e l'efficacia del rilevamento delle minacce. |
| API unificata | Defender per il cloud avvisi e eventi imprevisti sono ora inclusi in L'API pubblica di Microsoft Defender XDR, che consente ai clienti di esportare i dati degli avvisi di sicurezza in altri sistemi usando un'API. |
Altre informazioni sulla gestione degli avvisi in Microsoft Defender XDR.
Ricerca avanzata in XDR
Le funzionalità di ricerca avanzata di Microsoft Defender XDR sono estese per includere Defender per il cloud avvisi ed eventi imprevisti. Questa integrazione consente ai team di sicurezza di cercare tutte le risorse, i dispositivi e le identità cloud in una singola query.
L'esperienza di ricerca avanzata in Microsoft Defender XDR è progettata per offrire ai team di sicurezza la flessibilità necessaria per creare query personalizzate per la ricerca di minacce nel proprio ambiente. L'integrazione con gli avvisi e gli eventi imprevisti Defender per il cloud consente ai team di sicurezza di cercare minacce tra le risorse cloud, i dispositivi e le identità.
La tabella CloudAuditEvents nella ricerca avanzata consente di analizzare e cercare gli eventi del piano di controllo e di creare rilevamenti personalizzati per rilevare attività sospette del piano di controllo di Azure Resource Manager e Kubernetes (KubeAudit).
La tabella CloudProcessEvents nella ricerca avanzata consente di valutare, analizzare e creare rilevamenti personalizzati per attività sospette richiamate nell'infrastruttura cloud con informazioni che includono dettagli sul processo.
Clienti di Microsoft Sentinel
Se si è un cliente di Microsoft Sentinel che ha eseguito l'onboarding nella piattaforma SecOps (Unified Security Operations) di Microsoft, gli avvisi Defender per il cloud vengono già inseriti direttamente in Defender XDR. Per trarre vantaggio dal contenuto di sicurezza predefinito, assicurarsi di installare la soluzione Microsoft Defender per il cloud dall'hub del contenuto di Microsoft Sentinel.
I clienti di Microsoft Sentinel che non usano la piattaforma SecOps unificata di Microsoft possono anche trarre vantaggio dall'integrazione Defender per il cloud con Microsoft 365 Defender nelle aree di lavoro usando il connettore di avvisi e gli eventi imprevisti di Microsoft 365 Defender.
Prima di tutto è necessario abilitare l'integrazione degli eventi imprevisti nel connettore Microsoft 365 Defender.
Abilitare quindi il connettore dati Microsoft Defender per il cloud basato su tenant (anteprima) per sincronizzare le sottoscrizioni con gli eventi imprevisti Defender per il cloud basati sul tenant per lo streaming tramite il connettore eventi imprevisti di Microsoft 365 Defender.
Il connettore dati Microsoft Defender per il cloud basato su tenant (anteprima) è disponibile tramite la soluzione Microsoft Defender per il cloud, versione 3.0.0, dall'hub del contenuto di Microsoft Sentinel. Se si ha una versione precedente di questa soluzione, è consigliabile aggiornare la versione della soluzione. Se il connettore dati Microsoft Defender per il cloud (legacy) basato su sottoscrizione è ancora abilitato, è consigliabile disconnettere il connettore per impedire la duplicazione degli avvisi nei log.
È anche consigliabile disabilitare direttamente le regole di analisi che creano eventi imprevisti dagli avvisi Microsoft Defender per il cloud. Usare le regole di automazione di Microsoft Sentinel per chiudere immediatamente gli eventi imprevisti e impedire a specifici tipi di avvisi di Defender per il cloud di diventare eventi imprevisti o usare le funzionalità di ottimizzazione predefinite nel portale di Microsoft Defender per impedire che gli avvisi diventino eventi imprevisti.
Se hai integrato gli eventi imprevisti di Microsoft 365 Defender in Microsoft Sentinel e vuoi mantenere le impostazioni basate sulla sottoscrizione ed evitare la sincronizzazione basata su tenant, puoi rifiutare esplicitamente di sincronizzare gli eventi imprevisti e gli avvisi usando il connettore Microsoft 365 Defender.
Per altre informazioni, vedi:
- Scoprire e gestire contenuti predefiniti di Microsoft Sentinel
- Inserire eventi imprevisti di Microsoft Defender per il cloud con l'integrazione di Microsoft Defender XDR
- Microsoft Defender per il cloud sicurezza dei dati.