الاتصال البيانات من Microsoft Defender XDR إلى Microsoft Sentinel

  • مقالة

يتيح لك موصل Microsoft Sentinel Microsoft Defender XDR مع تكامل الحادث دفق جميع حوادث وتنبيهات Microsoft Defender XDR إلى Microsoft Sentinel، ويحافظ على مزامنة الحوادث بين كلا المدخلين. تتضمن أحداث Microsoft Defender XDR جميع التنبيهات والكيانات والمعلومات الأخرى ذات الصلة. كما تتضمن تنبيهات من خدمات مكونات Microsoft Defender XDR Microsoft Defender لنقطة النهاية وMicrosoft Defender for Identity Microsoft Defender لـ Office 365 وMicrosoft Defender for Cloud Apps، بالإضافة إلى تنبيهات من خدمات أخرى مثل حماية معرف تفادي فقدان البيانات في Microsoft Purview وMicrosoft Entra. يقدم موصل Microsoft Defender XDR أيضا حوادث من Microsoft Defender for Cloud، على الرغم من أنه من أجل مزامنة التنبيهات والكيانات من هذه الحوادث، يجب تمكين موصل Microsoft Defender for Cloud، وإلا فستظهر أحداث Microsoft Defender for Cloud فارغة. تعرف على المزيد حول الموصلات المتوفرة ل Microsoft Defender for Cloud.

يتيح لك الموصل أيضا دفق أحداث التتبع المتقدمة من جميع مكونات Defender أعلاه إلى Microsoft Sentinel، ما يسمح لك بنسخ استعلامات التتبع المتقدمة لمكونات Defender هذه إلى Microsoft Sentinel، وإثراء تنبيهات Sentinel ببيانات الحدث الأولية لمكونات Defender لتوفير رؤى إضافية، وتخزين السجلات مع زيادة الاحتفاظ في Log Analytics.

لمزيد من المعلومات حول تكامل الحدث ومجموعة أحداث التتبع المتقدمة، راجع تكامل Microsoft Defender XDR مع Microsoft Sentinel.

يتوفر الآن موصل Microsoft Defender XDR بشكل عام.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

المتطلبات الأساسية

  • يجب أن يكون لديك ترخيص صالح ل Microsoft Defender XDR، كما هو موضح في متطلبات Microsoft Defender XDR الأساسية.

  • يجب تعيين أدوار مسؤول عمومي أو أدوار مسؤول أمان المستخدم الخاص بك على المستأجر الذي تريد دفق السجلات منه.

  • يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

  • لإجراء أي تغييرات على إعدادات الموصل، يجب أن يكون المستخدم عضوا في نفس مستأجر Microsoft Entra الذي ترتبط به مساحة عمل Microsoft Sentinel.

  • تثبيت الحل ل Microsoft Defender XDR من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

المتطلبات الأساسية لمزامنة Active Directory عبر MDI

  • يجب إلحاق المستأجر الخاص بك Microsoft Defender for Identity.

  • يجب أن يكون لديك مستشعر MDI مثبتًا.

الاتصال إلى Microsoft Defender XDR

في Microsoft Sentinel، حدد Data connectors، وحدد Microsoft Defender XDR من المعرض وحدد Open connector page.

يحتوي قسم التكوين على ثلاثة أجزاء:

  1. الاتصال الحوادث والتنبيهات تمكين التكامل الأساسي بين Microsoft Defender XDR وMicrosoft Sentinel، ومزامنة الحوادث وتنبيهاتها بين النظامين الأساسيين.

  2. تتيح كيانات الاتصالدمج هويات مستخدمي Active Directory الداخلي في Microsoft Sentinel من خلال Microsoft Defender for Identity.

  3. تمكن أحداث الاتصال تجميع أحداث الصيد المتقدمة الأولية من مكونات Defender.

يتم شرح هذه بمزيد من التفصيل أدناه. راجع تكامل Microsoft Defender XDR مع Microsoft Sentinel لمزيد من المعلومات.

توصيل الحوادث والتنبيهات

لاستيعاب أحداث Microsoft Defender XDR ومزامنتها، مع جميع تنبيهاتها، إلى قائمة انتظار أحداث Microsoft Sentinel:

  1. ضع علامة على خانة الاختيار المسماة إيقاف تشغيل جميع قواعد إنشاء أحداث Microsoft لهذه المنتجات. موصى به، لتجنب تكرار الحوادث.
    (لن تظهر خانة الاختيار هذه بمجرد توصيل موصل Microsoft Defender XDR.)

  2. حدد زر الاتصال الحوادث والتنبيهات.

إشعار

عند تمكين موصل Microsoft Defender XDR، يتم توصيل كافة موصلات مكونات Microsoft Defender XDR (تلك المذكورة في بداية هذه المقالة) تلقائيا في الخلفية. لقطع اتصال أحد موصلات المكونات، يجب أولا قطع اتصال موصل Microsoft Defender XDR.

للاستعلام عن بيانات حادث Microsoft Defender XDR، استخدم العبارة التالية في نافذة الاستعلام:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

توصيل الكيانات

استخدم Microsoft Defender for Identity لمزامنة كيانات المستخدمين من Active Directory محلي إلى Microsoft Sentinel.

تحقق من استيفاء المتطلبات الأساسية لمزامنة مستخدمي Active Directory محلي من خلال Microsoft Defender for Identity (MDI).

  1. حدد الرابطGo the UEBA configuration page.

  2. في صفحة تكوين سلوك الكيان، إذا لم تقم بعد بتمكين UEBA، ثم في أعلى الصفحة، انقل التبديل إلى تشغيل.

  3. ضع علامة على خانة الاختيار Active Directory (Preview) وحدد تطبيق.

    Screenshot of UEBA configuration page for connecting user entities to Sentinel.

أحداث الاتصال

إذا كنت ترغب في جمع أحداث التتبع المتقدمة من Microsoft Defender لنقطة النهاية أو Microsoft Defender لـ Office 365، يمكن جمع الأنواع التالية من الأحداث من جداول التتبع المتقدمة المقابلة.

  1. ضع علامة على خانات الاختيار للجداول باستخدام أنواع الأحداث التي ترغب في جمعها:

    اسم الجدول نوع الأحداث
    معلومات الجهاز معلومات عن الجهاز، بما في ذلك معلومات نظام التشغيل
    معلومات شبكة الجهاز خصائص الشبكة للأجهزة، بما في ذلك المهايئات الفعلية، وعناوين IP وMAC، بالإضافة إلى الشبكات المتصلة والمجالات
    أحداث معالجة الجهاز إنشاء العملية والأحداث ذات الصلة
    أحداث شبكة الجهاز اتصال الشبكة والأحداث ذات الصلة
    أحداث ملفات الأجهزة إنشاء الملف وتعديله وأحداث نظام الملفات الأخرى
    أحداث تسجيل الجهاز إنشاء إدخالات التسجيل وتعديلها
    أحداث سجل الجهاز تسجيل الدخول وأحداث المصادقة الأخرى على الأجهزة
    DeviceImageLoadEvents أحداث تحميل مكتبة ارتباطات ديناميكية
    أحداث الجهاز أنواع أحداث متعددة، بما في ذلك الأحداث التي يتم إطلاقها بواسطة عناصر التحكم في الأمان، مثل برنامج الحماية من الفيروسات من Windows Defender والحماية من الهجمات
    DeviceFileCertificateInfo معلومات الشهادة للملفات الموقعة التي تم الحصول عليها من أحداث التحقق من الشهادة في نقاط النهاية

  2. انقر على Apply Changes.

  3. للاستعلام عن جداول التتبع المتقدمة في Log Analytics، أدخل اسم الجدول من القائمة أعلاه في نافذة الاستعلام.

التحقق من استيعاب البيانات

يشير الرسم البياني للبيانات في صفحة الموصل إلى أنك تقوم باستيعاب البيانات. ستلاحظ أنه يعرض سطرًا واحدًا لكل من الحوادث والتنبيهات والأحداث، وخط الأحداث هو تجميع لحجم الحدث عبر جميع الجداول الممكنة. بمجرد تمكين الموصل، يمكنك استخدام استعلامات KQL التالية لإنشاء رسوم بيانية أكثر تحديدًا.

استخدم استعلام KQL التالي للحصول على رسم بياني لحوادث Microsoft Defender XDR الواردة:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

استخدم استعلام KQL التالي لإنشاء رسم بياني لحجم الحدث لجدول واحد (قم بتغيير جدول DeviceEvents إلى الجدول المطلوب الذي تختاره):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

في علامة التبويب Next steps، ستجد بعض المصنفات المفيدة واستعلامات العينة وقوالب قواعد التحليلات التي تم تضمينها. يمكنك تشغيلها على الفور أو تعديلها وحفظها.

الخطوات التالية

في هذا المستند، تعلمت كيفية دمج أحداث Microsoft Defender XDR، وبيانات أحداث التتبع المتقدمة من خدمات مكونات Microsoft Defender، في Microsoft Sentinel، باستخدام موصل Microsoft Defender XDR. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: