Integração do Microsoft Defender XDR com o Microsoft Sentinel

Integre o Microsoft Defender XDR com o Microsoft Sentinel para transmitir todos os incidentes do Defender XDR e eventos de caça avançada para o Microsoft Sentinel e mantenha os incidentes e eventos sincronizados entre os portais Azure e Microsoft Defender. Os incidentes do Defender XDR incluem todos os alertas, entidades e informações relevantes associados, fornecendo contexto suficiente para realizar triagem e investigação preliminar no Microsoft Sentinel. Uma vez no Microsoft Sentinel, os incidentes permanecem sincronizados bidirecionalmente com o Defender XDR, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes.

Como alternativa, integre o Microsoft Sentinel com o Defender XDR à plataforma unificada de operações de segurança no portal Defender. A plataforma unificada de operações de segurança reúne todos os recursos do Microsoft Sentinel, Defender XDR e IA generativa criada especificamente para cibersegurança. Para obter mais informações, consulte os seguintes recursos:

Microsoft Sentinel e Defender XDR

Use um dos seguintes métodos para integrar o Microsoft Sentinel com os serviços do Microsoft Defender XDR:

  • Ingerir dados do serviço Microsoft Defender XDR no Microsoft Sentinel e exibir dados do Microsoft Sentinel no portal do Azure. Habilite o conector XDR do Defender no Microsoft Sentinel.

  • Integre o Microsoft Sentinel e o Defender XDR em uma única plataforma unificada de operações de segurança no portal do Microsoft Defender. Nesse caso, exiba os dados do Microsoft Sentinel diretamente no portal do Microsoft Defender com o restante dos incidentes, alertas, vulnerabilidades e outros dados de segurança do Defender. Habilite o conector XDR do Defender no Microsoft Sentinel e integre o Microsoft Sentinel à plataforma de operações unificada no portal do Defender.

Selecione a guia apropriada para ver como é a integração do Microsoft Sentinel com o Defender XDR, dependendo do método de integração usado.

A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.

Diagrama da integração do Microsoft Sentinel e Microsoft XDR.

Neste diagrama:

  • Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
  • O Microsoft Defender XDR e o Microsoft Defender for Cloud enviam dados de log SIEM por meio de conectores do Microsoft Sentinel.
  • As equipes do SecOps podem analisar e responder às ameaças identificadas no Microsoft Sentinel e no Microsoft Defender XDR.
  • O Microsoft Sentinel fornece suporte para ambientes multicloud e integra-se com aplicativos e parceiros de terceiros.

Correlação de incidentes e alertas

Com a integração do Defender XDR com o Microsoft Sentinel, os incidentes do Defender XDR são visíveis e gerenciáveis a partir do Microsoft Sentinel. Isso oferece uma fila de incidentes principal em toda a organização. Veja e correlacione incidentes do Defender XDR juntamente com incidentes de todos os seus outros sistemas locais e na nuvem. Ao mesmo tempo, essa integração permite que você aproveite os pontos fortes e os recursos exclusivos do Defender XDR para investigações aprofundadas e uma experiência específica do Defender em todo o ecossistema do Microsoft 365.

O Defender XDR enriquece e agrupa alertas de vários produtos Microsoft Defender, reduzindo o tamanho da fila de incidentes do SOC e encurtando o tempo de resolução. Os alertas dos seguintes produtos e serviços do Microsoft Defender também estão incluídos na integração do Defender XDR com o Microsoft Sentinel:

  • Microsoft Defender para Ponto Final
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Gestão de vulnerabilidades do Microsoft Defender

Outros serviços cujos alertas são coletados pelo Defender XDR incluem:

  • Microsoft Purview Data Loss Prevention (Saiba mais)
  • Proteção de ID do Microsoft Entra (Saiba mais)

O conector Defender XDR também traz incidentes do Microsoft Defender for Cloud. Para sincronizar alertas e entidades desses incidentes também, você deve habilitar o conector do Defender for Cloud no Microsoft Sentinel. Caso contrário, os incidentes do Defender for Cloud aparecerão vazios. Para obter mais informações, consulte Ingerir incidentes do Microsoft Defender for Cloud com a integração do Microsoft Defender XDR.

Além de coletar alertas desses componentes e outros serviços, o Defender XDR gera alertas próprios. Ele cria incidentes a partir de todos esses alertas e os envia para o Microsoft Sentinel.

Casos e cenários de utilização comuns

Considere integrar o Defender XDR com o Microsoft Sentinel para os seguintes casos de uso e cenários:

  • Integre o Microsoft Sentinel à plataforma unificada de operações de segurança no portal Microsoft Defender. Ativar o conector XDR do Defender é um pré-requisito.

  • Habilite a conexão com um clique de incidentes do Defender XDR, incluindo todos os alertas e entidades dos componentes do Defender XDR, no Microsoft Sentinel.

  • Permita a sincronização bidirecional entre incidentes do Microsoft Sentinel e do Defender XDR sobre status, proprietário e motivo de fechamento.

  • Aplique os recursos de agrupamento e enriquecimento de alertas do Defender XDR no Microsoft Sentinel, reduzindo assim o tempo de resolução.

  • Facilite investigações em ambos os portais com links profundos no contexto entre um incidente do Microsoft Sentinel e seu incidente paralelo do Defender XDR.

Para obter mais informações sobre os recursos da integração do Microsoft Sentinel com o Defender XDR na plataforma unificada de operações de segurança, consulte Microsoft Sentinel no portal do Microsoft Defender.

Conectando-se ao Microsoft Defender XDR

Habilite o conector Microsoft Defender XDR no Microsoft Sentinel para enviar todas as informações de alertas e incidentes do Defender XDR para o Microsoft Sentinel e manter os incidentes sincronizados.

  • Primeiro, instale a solução Microsoft Defender XDR para Microsoft Sentinel a partir do hub de conteúdo. Em seguida, habilite o conector de dados XDR do Microsoft Defender para coletar incidentes e alertas. Para obter mais informações, consulte Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.

  • Depois de habilitar a coleta de alertas e incidentes no conector de dados do Defender XDR, os incidentes do Defender XDR aparecem na fila de incidentes do Microsoft Sentinel logo após serem gerados no Defender XDR. Pode levar até 10 minutos desde o momento em que um incidente é gerado no Defender XDR até o momento em que ele aparece no Microsoft Sentinel. Nesses incidentes, o campo Nome do produto Alerta contém o Microsoft Defender XDR ou um dos nomes dos serviços Defender do componente.

  • Para integrar seu espaço de trabalho do Microsoft Sentinel à plataforma unificada de operações de segurança no portal do Defender, consulte Conectar o Microsoft Sentinel ao Microsoft Defender XDR.

Custos de ingestão

Os alertas e incidentes do Defender XDR, incluindo itens que preenchem as tabelas SecurityAlert e SecurityIncident, são ingeridos e sincronizados com o Microsoft Sentinel gratuitamente. Para todos os outros tipos de dados de componentes individuais do Defender, como as tabelas de caça avançadas DeviceInfo, DeviceFileEvents, EmailEvents e assim por diante, a ingestão é cobrada. Para obter mais informações, consulte Planejar custos e entender preços e cobrança do Microsoft Sentinel.

Comportamento de ingestão de dados

Quando o conector Defender XDR está ativado, os alertas criados pelos produtos integrados ao Defender XDR são enviados para o Defender XDR e agrupados em incidentes. Os alertas e os incidentes fluem para o Microsoft Sentinel através do conector XDR do Defender. A exceção a este processo é o Defender for Cloud. Você tem a opção de habilitar alertas do Defender for Cloud baseados em locatários para receber todos os alertas e incidentes por meio do Defender XDR ou manter alertas baseados em assinatura e promovê-los a incidentes no Microsoft Sentinel no portal do Azure. Para obter as opções disponíveis e mais informações, consulte os seguintes artigos:

Regras de criação de incidentes da Microsoft

Para evitar a criação de incidentes duplicados para os mesmos alertas, a configuração de regras de criação de incidentes da Microsoft é desativada para produtos integrados ao Defender XDR ao conectar o Defender XDR. Os produtos integrados ao Defender XDR incluem o Microsoft Defender for Identity, o Microsoft Defender for Office 365 e muito mais. Além disso, as regras de criação de incidentes da Microsoft não são suportadas na plataforma unificada de operações de segurança. O Defender XDR tem suas próprias regras de criação de incidentes. Esta alteração tem os seguintes impactos potenciais:

  • As regras de criação de incidentes do Microsoft Sentinel permitiam filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, preserve o recurso de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir ou fechar incidentes que você não deseja.

  • Depois de ativar o conector XDR do Defender, você não pode mais predeterminar os títulos dos incidentes. O mecanismo de correlação Defender XDR preside a criação de incidentes e nomeia automaticamente os incidentes criados. Essa alteração pode afetar quaisquer regras de automação criadas que usem o nome do incidente como condição. Para evitar essa armadilha, use critérios diferentes do nome do incidente como condições para acionar regras de automação. Recomendamos o uso de tags.

  • Se você usa as regras de criação de incidentes do Microsoft Sentinel para outras soluções ou produtos de segurança da Microsoft não integrados ao Defender XDR, como o Microsoft Purview Insider Risk Management, e planeja integrar a plataforma unificada de operações de segurança no portal do Defender, substitua suas regras de criação de incidentes por regras de análise agendada.

Trabalhando com incidentes do Microsoft Defender XDR no Microsoft Sentinel e sincronização bidirecional

Os incidentes do Defender XDR aparecem na fila de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR e com detalhes e funcionalidades semelhantes a quaisquer outros incidentes do Microsoft Sentinel. Cada incidente contém um link para o incidente paralelo no portal do Microsoft Defender.

À medida que o incidente evolui no Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel é atualizado de acordo.

As alterações feitas no status, motivo de fechamento ou atribuição de um incidente do Defender XDR, no Defender XDR ou no Microsoft Sentinel, também são atualizadas de acordo com a fila de incidentes do outro. A sincronização ocorre em ambos os portais imediatamente após a alteração do incidente ser aplicada, sem atraso. Pode ser necessária uma atualização para ver as alterações mais recentes.

No Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem dos incidentes. Quando essa mesclagem acontece, os incidentes do Microsoft Sentinel refletem as alterações. Um incidente contém todos os alertas de ambos os incidentes originais, e o outro incidente é fechado automaticamente, com uma tag de "redirecionado" adicionada.

Nota

Os incidentes no Microsoft Sentinel podem conter um máximo de 150 alertas. Os incidentes do Defender XDR podem ter mais do que isso. Se um incidente do Defender XDR com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Microsoft Sentinel mostrará como tendo alertas "150+" e fornecerá um link para o incidente paralelo no Defender XDR, onde você verá o conjunto completo de alertas.

Coleção avançada de eventos de caça

O conector Defender XDR também permite transmitir eventos de caça avançados — um tipo de dados brutos de eventos — do Defender XDR e seus serviços componentes para o Microsoft Sentinel. Colete eventos de caça avançados de todos os componentes do Defender XDR e transmita-os diretamente para tabelas criadas especificamente em seu espaço de trabalho do Microsoft Sentinel. Essas tabelas são construídas no mesmo esquema usado no portal do Defender, oferecendo acesso completo ao conjunto completo de eventos de caça avançada e permitindo as seguintes tarefas:

  • Copie facilmente suas consultas de busca avançadas existentes do Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps para o Microsoft Sentinel.

  • Use os logs de eventos brutos para fornecer mais informações sobre seus alertas, caça e investigação e correlacione esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.

  • Armazene os logs com maior retenção, além da retenção padrão do Defender XDR ou de seus componentes de 30 dias. Você pode fazer isso configurando a retenção do seu espaço de trabalho ou configurando a retenção por tabela no Log Analytics.

Neste documento, você aprendeu os benefícios de habilitar o conector XDR do Defender no Microsoft Sentinel.