Ansichten:
Sie können die Microsoft Defender für Endpunkt-Protokollsammlung sowohl bei neuen als auch bei bestehenden Azure-Abonnements in Cloud Accounts aktivieren. Die Bereitstellung dieser Funktion bietet Ihnen umsetzbare Einblicke in gefährliche oder bösartige Endpunktaktivitäten. Erkennungsmodelle identifizieren Verhaltensweisen wie Malware-Ausführung, verdächtige Dateimodifikationen, seitliche Bewegungsversuche und unbefugten Zugriff auf sensible Daten.
Microsoft Defender für Endpunkt-Protokollsammlung bietet sowohl Cyber-Risiko-Expositionsmanagement als auch XDR-Funktionen:
  • Das Management der Cyber-Risikoexposition wird automatisch aktiviert, wenn Sie Microsoft Defender für Endpunkt-Protokollsammlung in einem Azure-Abonnement bereitstellen. Trend Vision One sammelt DeviceInfo und DeviceNetworkInfo-Ereignisse und sendet sie an das Management der Cyber-Risikoexposition, wo Sie Sicherheitskonfigurationsrisikoereignisse einsehen können.
    Hinweis
    Hinweis
    Das Management der Cyber-Risikoexposition erfordert Credits für jeden Desktop oder Server, der durch die Aktivierung der Microsoft Defender für Endpunkt-Protokollsammlung bewertet wird. Weitere Informationen finden Sie unter Kreditanforderungen für Trend Vision One Lösungen, Fähigkeiten und Funktionen.
  • Optional können Sie die XDR-Datenerfassung für das Azure-Abonnement aktivieren, die Erkennungen und Protokolldaten an die folgenden Sicherheitsbetriebsfunktionen sendet:
    • Identity Security
    • Datensicherheit
    • Endpunktsicherheit
    • Cloud Security
    • Netzwerksicherheit
    • Email and Collaboration Security
    Die XDR-Datenerfassung erfordert während der Vorabveröffentlichungsphase für die Microsoft Defender for Endpoint-Protokollerfassung keine Credits.
Hinweis
Hinweis
Bevor Sie die Protokollsammlung von Microsoft Defender für Endpunkt aktivieren, beachten Sie Folgendes:
  • Sie müssen die Rolle "Key Vault Secrets" in Azure zugewiesen bekommen. Diese Rolle ist erforderlich, um während der Bereitstellung Geheimnisse im Azure Key Vault zu erstellen und zu verwalten.
  • Wenn Sie die Protokollsammlung von Microsoft Defender für Endpunkt aktivieren, müssen Sie Microsoft Defender so konfigurieren, dass Ereignisse nach Trend Vision One exportiert werden. Die Anweisungen zur Konfiguration von Microsoft Defender sind in den folgenden Schritten enthalten.

Prozedur

  1. Aktivieren Sie die Microsoft Defender for Endpoint-Protokollsammlung für ein neues oder bestehendes Azure-Abonnement:
    1. Navigieren Sie zu Cloud SecurityCloud Accounts.
    2. Klicken Sie auf die Registerkarte Azure.
    3. Klicken Sie auf Add Subscription oder wählen Sie ein Azure-Abonnement aus der Liste aus.
    4. Auf der Seite Features and Permissions (wenn Sie ein neues Abonnement hinzufügen) oder im Tab Resource Update (wenn Sie ein bestehendes Abonnement konfigurieren), aktivieren Sie Microsoft Defender for Endpoint Log Collection.
  2. Um die XDR-Datenerfassung zu aktivieren, klicken Sie auf Subscription settings.
    1. Um die Verwendung der gesammelten Daten für XDR zu aktivieren, wählen Sie XDR data collection.
    2. Wählen Sie ein Protokoll-Repository in Trend Vision One aus der Liste aus. Wenn keine Protokoll-Repositories zu Trend Vision One hinzugefügt wurden, klicken Sie auf den Link, um ein Protokoll-Repository in Third-Party Log Collection hinzuzufügen. Nachdem Sie ein Protokoll-Repository hinzugefügt haben, klicken Sie auf das Aktualisierungssymbol, um das Repository in der Liste anzuzeigen und auszuwählen.
    3. Klicken Sie auf Änderungen speichern.
  3. Wenn Sie ein neues Azure-Abonnement hinzufügen, führen Sie die Schritte zum Hinzufügen des Abonnements aus. Für weitere Informationen siehe Hinzufügen eines Azure-Abonnements. Wenn Sie ein bestehendes Azure-Abonnement aktualisieren, gehen Sie zum nächsten Schritt.
  4. Konfigurieren Sie Microsoft Defender zum Exportieren von Ereignissen:
    1. Gehen Sie in Microsoft Defender zu AllgemeinStreaming API.
    2. Klicken Sie auf Hinzufügen, um eine neue Streaming-API-Einstellung zu erstellen.
    3. Geben Sie einen Namen für die Einstellung an.
    4. Wählen Sie Forward events to Event Hub.
    5. Geben Sie im Feld Event-Hub Resource ID /subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{first 8 chars of subscriptionID} ein.
      wo {subscriptionID} Ihre Azure-Abonnement-ID ist.
    6. Geben Sie im Feld Event-Hub name insights-logs-advancedhunting ein.
    7. Im Event Types-Bereich wählen Sie alle Alerts & Behaviors und Geräte aus.
    8. Klicken Sie auf Absenden.

Nächste Schritte

Um sicherzustellen, dass Trend Vision One die Microsoft Defender-Daten für einen angemessenen Zeitraum aufbewahrt, können Sie den Aufbewahrungszeitraum für das Protokoll-Repository konfigurieren. Der standardmäßige Aufbewahrungszeitraum beträgt 30 Tage. Weitere Informationen finden Sie unter Protokollspeicher.