Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel

O conector do Microsoft Defender XDR para o Microsoft Sentinel permite que você transmita todos os incidentes, alertas e eventos de busca avançados do Microsoft Defender XDR para o Microsoft Sentinel. Esse conector mantém os incidentes sincronizados entre os dois portais. Os incidentes do Microsoft Defender XDR incluem alertas, entidades e outras informações relevantes de todos os produtos e serviços do Microsoft Defender. Para obter mais informações, confira Integração do Microsoft Defender XDR com o Microsoft Sentinel.

O conector do Defender XDR, especialmente seu recurso de integração de incidentes, é a base da plataforma unificada de operações de segurança. Se você estiver integrando o Microsoft Sentinel ao portal do Microsoft Defender, deverá primeiro habilitar esse conector com integração de incidentes.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Antes de começar, você deve ter o licenciamento, o acesso e os recursos configurados adequados descritos nesta seção.

  • Você deve ter uma licença válida para o Microsoft Defender XDR, conforme descrito em Pré-requisitos do Microsoft Defender XDR.
  • Seu usuário deve ter a função Administrador de segurança no locatário do qual você deseja transmitir os logs ou as permissões equivalentes.
  • Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
  • Para fazer qualquer alteração nas configurações do conector, sua conta deve ser membro do mesmo locatário do Microsoft Entra ao qual está associado o espaço de trabalho do Microsoft Sentinel.
  • Instale a solução para o Microsoft Defender XDR a partir do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
  • Conceda acesso ao Microsoft Sentinel conforme apropriado para sua organização. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.

Para sincronização do Active Directory local via Microsoft Defender para Identidade:

  • Seu locatário deve ser integrado ao Microsoft Defender para Identidade.
  • Você deve ter o sensor do Microsoft Defender para Identidade instalado.

Conectar-se ao Microsoft Defender XDR

No Microsoft Sentinel, selecione Conectores de dados. Selecione Microsoft Defender XDR na galeria e Abrir página do conector.

A seção Configuração tem três partes:

  1. Conectar incidentes e alertas permite a integração básica entre o Microsoft Defender XDR e o Microsoft Sentinel, sincronizando incidentes e seus alertas entre as duas plataformas.

  2. A conexão de entidades permite a integração de identidades de usuário Active Directory local ao Microsoft Sentinel por meio de Microsoft Defender para Identidade.

  3. Os eventos de conexão permitem a coleção de eventos de busca avançados brutos de componentes do Defender.

Para obter mais informações, confira Integração do Microsoft Defender XDR com o Microsoft Sentinel.

Conectar incidentes e alertas

Para ingerir e sincronizar incidentes do Microsoft Defender XDR com todos os seus alertas na fila de incidentes do Microsoft Sentinel, conclua as etapas a seguir.

  1. Para evitar duplicação de incidentes, marque a caixa de seleção rotulada como Desativar todas as regras de criação de incidentes da Microsoft para esses produtos. Recomendável. Essa caixa de seleção não aparecerá quando o conector do Microsoft Defender XDR estiver conectado.

  2. Selecione o botão Conectar incidentes e alertas.

  3. Verifique se o Microsoft Sentinel está coletando dados de incidentes do Microsoft Defender XDR. Em Logs do Microsoft Sentinel no portal do Azure, execute a seguinte instrução na janela de consulta:

       SecurityIncident
       |    where ProviderName == "Microsoft 365 Defender"
    

Quando você habilita o conector XDR do Microsoft Defender, todos os conectores dos componentes do Microsoft Defender que estavam conectados anteriormente são automaticamente desconectados em segundo plano. Embora eles continuem aparecendo conectados, nenhum dado flui por eles.

Conectar entidades

Use o Microsoft Defender para Identidade para sincronizar entidades de usuário do seu Active Directory local com o Microsoft Sentinel.

  1. Selecione o link da página de configuração do UEBA.

  2. Na página de Configuração do comportamento da entidade, se você não habilitou a UEBA, então, no topo da página, mova o botão para Ligado.

  3. Marque a caixa Active Directory (versão prévia) e selecione Aplicar.

    Captura de tela da página de configuração do UEBA para conectar entidades de usuário ao Sentinel.

Eventos de conexão

Se você quiser coletar eventos de busca avançada do Microsoft Defender para Ponto de Extremidade ou Microsoft Defender para Office 365, os tipos de eventos a seguir poderão ser coletados de suas tabelas de busca avançada correspondentes.

  1. Marque as caixas de seleção das tabelas com os tipos de evento que você deseja coletar:

    Nome da tabela Tipo de eventos
    DeviceInfo Informações do computador, incluindo informações do SO
    DeviceNetworkInfo Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e Mac, bem como redes e domínios conectados
    DeviceProcessEvents Criação de processos e eventos relacionados
    DeviceNetworkEvents Conexão de rede e eventos relacionados
    DeviceFileEvents Criação de arquivo, modificação e outros eventos do sistema de arquivos
    DeviceRegistryEvents Criação e modificação de entradas do Registro
    DeviceLogonEvents Entradas e outros eventos de autenticação em dispositivos
    DeviceImageLoadEvents Eventos de carregamento da DLL
    DeviceEvents Vários tipos de evento, incluindo aqueles disparados por controles de segurança, como o Windows Defender Antivírus e o Exploit Protection
    DeviceFileCertificateInfo Informações de certificado de arquivos assinados obtidas de eventos de verificação de certificado em pontos de extremidade
  2. Selecione Aplicar alterações.

Para executar uma consulta nas tabelas de busca avançada do Log Analytics, insira o nome da tabela na janela de consulta.

Verificar ingestão de dados

O gráfico de dados na página do conector indica que você está ingerindo dados. Observe que ele mostra uma linha para cada incidente, alerta e evento, e a linha de eventos é uma agregação do volume de eventos em todas as tabelas habilitadas. Depois de habilitar o conector, use as seguintes consultas KQL para gerar gráficos mais específicos.

Use a seguinte consulta KQL para obter um gráfico dos incidentes de entrada do Microsoft Defender XDR:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Use a seguinte consulta KQL para gerar um grafo de volume de evento para uma única tabela (altere a tabela DeviceEvents para a tabela necessária de sua escolha):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Próximas etapas

Neste documento, você aprendeu como integrar incidentes, alertas e dados de eventos de busca avançada do Microsoft Defender XDR dos serviços do Microsoft Defender ao Microsoft Sentinel, usando o conector do Microsoft Defender XDR.

Para usar o Microsoft Sentinel integrado ao Defender XDR na plataforma de operações de segurança unificada, consulte Conectar o Microsoft Sentinel ao Microsoft Defender XDR.