Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel

Статья
06/26/2024
Применяется к:

Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Соединитель XDR в Microsoft Defender для Microsoft Sentinel позволяет передавать все инциденты XDR в Microsoft Defender XDR, оповещения и расширенные события охоты в Microsoft Sentinel. Этот соединитель сохраняет синхронизацию инцидентов между обоими порталами. Инциденты XDR в Microsoft Defender включают оповещения, сущности и другие важные сведения из всех продуктов и служб Microsoft Defender. Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.

Соединитель XDR Defender, особенно компонент интеграции инцидентов, является основой единой платформы операций безопасности. При подключении Microsoft Sentinel к порталу Microsoft Defender необходимо сначала включить этот соединитель с интеграцией инцидентов.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Перед началом работы необходимо иметь соответствующее лицензирование, доступ и настроенные ресурсы, описанные в этом разделе.

У вас должна быть допустимая лицензия на XDR в Microsoft Defender, как описано в предварительных требованиях для XDR в Microsoft Defender.
У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
Чтобы внести изменения в параметры соединителя, ваша учетная запись должна быть членом одного клиента Microsoft Entra, с которым связана рабочая область Microsoft Sentinel.
Установите решение для XDR в Microsoft Defender из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Предоставление доступа к Microsoft Sentinel в соответствии с вашей организацией. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.

Для синхронизации локальная служба Active Directory с помощью Microsoft Defender для удостоверений:

Клиент должен быть подключен к Microsoft Defender для удостоверений.
Необходимо установить датчик Microsoft Defender для удостоверений.

Подключение к XDR в Microsoft Defender

В Microsoft Sentinel выберите соединители данных. Выберите XDR в Microsoft Defender в коллекции и на странице "Открыть соединитель".

Раздел Конфигурация состоит из трех частей:

Подключение инцидентов и оповещений обеспечивает базовую интеграцию между XDR Microsoft Defender и Microsoft Sentinel, синхронизацией инцидентов и их оповещениями между двумя платформами.
Подключение сущностей: обеспечивает интеграцию локальных удостоверений пользователей Active Directory и Microsoft Sentinel с помощью Microsoft Defender для удостоверений.
События подключения: позволяет собирать необработанные расширенные события охоты от компонентов Defender.

Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.

Подключение инцидентов и оповещений

Чтобы принять и синхронизировать инциденты XDR в Microsoft Defender со всеми оповещениями в очереди инцидентов Microsoft Sentinel, выполните следующие действия.

Пометьте флажок "Отключить все правила создания инцидентов Майкрософт" для этих продуктов. Рекомендуется избежать дублирования инцидентов. Этот флажок не отображается после подключения соединителя XDR в Microsoft Defender.
Нажмите кнопку "Подключить инциденты и оповещения".
Убедитесь, что Microsoft Sentinel собирает данные об инцидентах XDR в Microsoft Defender. В журналах Microsoft Sentinel в портал Azure выполните следующую инструкцию в окне запроса:
```
   SecurityIncident
   |    where ProviderName == "Microsoft 365 Defender"
```

При включении соединителя XDR в Microsoft Defender все соединители компонентов Microsoft Defender, которые ранее были подключены, автоматически отключены в фоновом режиме. Хотя они продолжают отображаться, данные не передаются через них.

Подключение сущностей

Используйте Microsoft Defender для удостоверений, чтобы синхронизировать удостоверения пользователей из локальной службы Active Directory с Microsoft Sentinel.

Перейдите по ссылке на страницу конфигурации UEBA.
На странице конфигурации поведения сущностей, если вы не включите UEBA, в верхней части страницы переместите переключатель в "Вкл".
Установите флажок Active Directory (предварительная версия) и нажмите кнопку Применить.

Подключение событий

Если вы хотите собирать события расширенной охоты с помощью Microsoft Defender для конечной точки или Microsoft Defender для Office 365, можно собирать следующие типы событий из соответствующих таблиц расширенной охоты.

Установите флажки для таблиц с типами событий, которые вы хотите собирать:

Имя таблицы	Тип событий
DeviceInfo	Сведения о компьютере, включая сведения об ОС
DeviceNetworkInfo	Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены
DeviceProcessEvents	Создание процесса и связанные события
DeviceNetworkEvents	Сетевое подключение и связанные события
DeviceFileEvents	Создание, изменение файла и другие события файловой системы
DeviceRegistryEvents	Создание и изменение записей реестра
DeviceLogonEvents	Входы и другие события проверки подлинности на устройствах
DeviceImageLoadEvents	Загружаются события DDL
DeviceEvents	Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов
DeviceFileCertificateInfo	Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках

Имя таблицы	Тип событий
EmailAttachmentInfo	Сведения о вложенных файлах в электронных письмах
EmailEvents	События электронной почты Microsoft 365, включая доставку писем и события блокировки
EmailPostDeliveryEvents	События безопасности, возникающие после доставки, после доставки microsoft 365 сообщений электронной почты в почтовый ящик получателя
EmailUrlInfo	Сведения об URL-адресах электронной почты
UrlClickEvents	События, связанные с URL-адресами, выбранными или запрошенными на Microsoft Defender для Office 365

Имя таблицы	Тип событий
IdentityDirectoryEvents	Различные события, связанные с удостоверениями, такие как изменение или истечение срока действия пароля и изменение имени участника-пользователя (UPN), зафиксированные с помощью контроллера домена локального каталога Active Directory Также включает системные события на контроллере домена.
IdentityLogonEvents	Действия проверки подлинности, выполненные через локальная служба Active Directory, как записано Microsoft Defender для удостоверений Действия проверки подлинности, связанные с веб-службами Microsoft и зафиксированные в приложениях Microsoft Defender для облака
IdentityQueryEvents	Сведения о запросах к объектам Active Directory, таким как пользователи, группы, устройства и домены

Имя таблицы	Тип событий
CloudAppEvents	Сведения о действиях в различных облачных приложениях и службах, охваченных приложениями Microsoft Defender для облака

Имя таблицы	Тип событий
AlertInfo	Оповещения из Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender для удостоверений, включая сведения о серьезности и классификацию угроз
AlertEvidence	Сведения о различных сущностях— файлах, IP-адресах, URL-адресах, пользователях, устройствах, связанных с оповещениями из компонентов XDR в Microsoft Defender

Выберите Применить изменения.

Чтобы запустить запрос в таблицах расширенной охоты в Log Analytics, введите имя таблицы в окне запроса.

Подтверждение приема данных

Граф данных на странице соединителя указывает, что вы используете данные. Обратите внимание, что в ней показана одна строка для инцидентов, оповещений и событий, а строка событий — это агрегирование тома событий во всех включенных таблицах. После включения соединителя используйте следующие запросы KQL для создания более конкретных графов.

Используйте следующий запрос KQL для графа входящих инцидентов XDR в Microsoft Defender:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Используйте следующий запрос KQL для создания графа количества событий для одной таблицы (измените таблицу DeviceEvents на нужную таблицу по своему усмотрению):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Следующие шаги

В этом документе вы узнали, как интегрировать инциденты XDR в Microsoft Defender XDR, оповещения и дополнительные данные о событиях охоты из служб Microsoft Defender в Microsoft Sentinel с помощью соединителя XDR в Microsoft Defender.

Сведения об использовании Microsoft Sentinel, интегрированной с XDR Defender в единой платформе операций безопасности, см. в статье "Подключение Microsoft Sentinel к XDR в Microsoft Defender".

Поделиться через