Ansluta data från Microsoft Defender XDR till Microsoft Sentinel

Med Microsoft Defender XDR-anslutningsappen för Microsoft Sentinel kan du strömma alla Microsoft Defender XDR-incidenter, aviseringar och avancerade jakthändelser till Microsoft Sentinel. Den här anslutningsappen håller incidenterna synkroniserade mellan båda portalerna. Microsoft Defender XDR-incidenter omfattar aviseringar, entiteter och annan relevant information från alla Microsoft Defender-produkter och -tjänster. Mer information finns i Microsoft Defender XDR-integrering med Microsoft Sentinel.

Defender XDR-anslutningsappen, särskilt dess incidentintegreringsfunktion, är grunden för den enhetliga säkerhetsåtgärdsplattformen. Om du registrerar Microsoft Sentinel på Microsoft Defender-portalen måste du först aktivera den här anslutningsappen med incidentintegrering.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Innan du börjar måste du ha rätt licensiering, åtkomst och konfigurerade resurser som beskrivs i det här avsnittet.

För lokalni Active Directory synkronisering via Microsoft Defender za identitet:

  • Klientorganisationen måste vara registrerad för att Microsoft Defender za identitet.
  • Du måste ha Microsoft Defender za identitet sensor installerad.

Ansluta till Microsoft Defender XDR

I Microsoft Sentinel väljer du Dataanslutningsprogram. Välj Microsoft Defender XDR från galleriet och sidan Öppna anslutningsapp.

Avsnittet Konfiguration innehåller tre delar:

  1. Anslut incidenter och aviseringar möjliggör grundläggande integrering mellan Microsoft Defender XDR och Microsoft Sentinel, synkronisering av incidenter och deras aviseringar mellan de två plattformarna.

  2. Anslut entiteter möjliggör integrering av lokalni Active Directory användaridentiteter i Microsoft Sentinel via Microsoft Defender za identitet.

  3. Connect-händelser möjliggör insamling av råa avancerade jakthändelser från Defender-komponenter.

Mer information finns i Microsoft Defender XDR-integrering med Microsoft Sentinel.

Ansluta incidenter och aviseringar

Utför följande steg för att mata in och synkronisera Microsoft Defender XDR-incidenter med alla aviseringar till din Microsoft Sentinel-incidentkö.

  1. Markera kryssrutan med etiketten Inaktivera alla regler för att skapa Microsoft-incidenter för dessa produkter. Rekommenderas för att undvika duplicering av incidenter. Den här kryssrutan visas inte när Microsoft Defender XDR-anslutningsappen är ansluten.

  2. Välj knappen Anslut incidenter och aviseringar.

  3. Kontrollera att Microsoft Sentinel samlar in Microsoft Defender XDR-incidentdata. Kör följande instruktion i frågefönstret i Microsoft Sentinel-loggar i Azure-portalen:

       SecurityIncident
       |    where ProviderName == "Microsoft 365 Defender"
    

När du aktiverar Microsoft Defender XDR-anslutningsappen kopplas alla Microsoft Defender-komponenters anslutningsappar som tidigare var anslutna automatiskt från i bakgrunden. Även om de fortsätter att verka anslutna flödar inga data genom dem.

Ansluta entiteter

Använd Microsoft Defender za identitet för att synkronisera användarentiteter från din lokalni Active Directory till Microsoft Sentinel.

  1. Välj länken Gå till UEBA-konfigurationssidan.

  2. Om du inte har aktiverat UEBA på sidan Konfiguration av entitetsbeteende flyttar du växlingsknappen till överst på sidan.

  3. Markera kryssrutan Active Directory (förhandsversion) och välj Tillämpa.

    Skärmbild av UEBA-konfigurationssidan för att ansluta användarentiteter till Sentinel.

Ansluta händelser

Om du vill samla in avancerade jakthändelser från Microsoft Defender za krajnju tačku eller Microsoft Defender za Office 365 kan följande typer av händelser samlas in från motsvarande avancerade jakttabeller.

  1. Markera kryssrutorna i tabellerna med de händelsetyper som du vill samla in:

    Tabellnamn Händelsetyp
    DeviceInfo Datorinformation, inklusive OS-information
    DeviceNetworkInfo Nätverksegenskaper för enheter, inklusive fysiska kort, IP- och MAC-adresser samt anslutna nätverk och domäner
    DeviceProcessEvents Skapa processer och relaterade händelser
    DeviceNetworkEvents Nätverksanslutning och relaterade händelser
    DeviceFileEvents Skapa, ändra och andra filsystemhändelser
    DeviceRegistryEvents Skapa och ändra registerposter
    DeviceLogonEvents Inloggningar och andra autentiseringshändelser på enheter
    DeviceImageLoadEvents DLL-inläsningshändelser
    DeviceEvents Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller som Windows Defender Antivirus och exploateringsskydd
    DeviceFileCertificateInfo Certifikatinformation för signerade filer som hämtats från certifikatverifieringshändelser på slutpunkter
  2. Välj Verkställ ändringar.

Om du vill köra en fråga i de avancerade jakttabellerna i Log Analytics anger du tabellnamnet i frågefönstret.

Verifiera datainmatning

Datadiagrammet på anslutningssidan anger att du matar in data. Observera att den visar en rad var för incidenter, aviseringar och händelser, och händelseraden är en aggregering av händelsevolymen i alla aktiverade tabeller. När du har aktiverat anslutningsappen använder du följande KQL-frågor för att generera mer specifika grafer.

Använd följande KQL-fråga för en graf över inkommande Microsoft Defender XDR-incidenter:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Använd följande KQL-fråga för att generera ett diagram över händelsevolymen för en enskild tabell (ändra tabellen DeviceEvents till den tabell som du väljer):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Nästa steg

I det här dokumentet har du lärt dig hur du integrerar Microsoft Defender XDR-incidenter, aviseringar och avancerade jakthändelsedata från Microsoft Defender-tjänster i Microsoft Sentinel med hjälp av Microsoft Defender XDR-anslutningsappen.

Information om hur du använder Microsoft Sentinel integrerat med Defender XDR i den enhetliga säkerhetsåtgärdsplattformen finns i Ansluta Microsoft Sentinel till Microsoft Defender XDR.