Sdílet prostřednictvím

Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Integrujte XDR v programu Microsoft Defender se službou Microsoft Sentinel, abyste mohli streamovat všechny incidenty XDR v programu Defender a pokročilé události proaktivního vyhledávání do Microsoft Sentinelu a udržovat incidenty a události synchronizované mezi oběma portály. Incidenty z XDR v programu Defender zahrnují všechna přidružená upozornění, entity a relevantní informace, které vám poskytnou dostatečný kontext k provedení třídění a předběžného šetření v Microsoft Sentinelu. Jakmile v Microsoft Sentinelu zůstanou incidenty obousměrně synchronizované s XDR v programu Defender, což vám umožní využít výhod obou portálů při vyšetřování incidentu.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Korelace incidentů a výstrahy

Integrace poskytuje incidentům zabezpečení XDR v programu Defender, které se mají spravovat z Microsoft Sentinelu jako součást primární fronty incidentů v celé organizaci. Zobrazte a korelujte incidenty XDR defenderu společně s incidenty ze všech vašich ostatních cloudových a místních systémů. Zároveň vám tato integrace umožňuje využívat jedinečné silné stránky a možnosti XDR defenderu pro hloubkové šetření a prostředí specifické pro Defender v ekosystému Microsoft 365. XDR v programu Defender rozšiřuje a seskupuje výstrahy z několika produktů Microsoft Defenderu, čímž se zmenšuje velikost fronty incidentů SOC a zkracuje dobu řešení. Výstrahy z následujících produktů a služeb Microsoft Defenderu jsou také součástí integrace XDR defenderu do Microsoft Sentinelu:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender Správa zranitelností

Mezi další služby, jejichž výstrahy shromažďuje XDR v programu Defender, patří:

  • Ochrana před únikem informací Microsoft Purview (další informace)
  • Microsoft Entra ID Protection (další informace)

Konektor XDR v programu Defender také přináší incidenty z Microsoft Defenderu pro cloud. Pokud chcete synchronizovat také výstrahy a entity z těchto incidentů, musíte povolit konektor Microsoft Defenderu pro cloud. Jinak se vaše incidenty Microsoft Defenderu pro cloud zobrazí jako prázdné. Další informace najdete v tématu Ingestování incidentů Microsoft Defenderu pro cloud s integrací XDR v programu Microsoft Defender.

Kromě shromažďování výstrah z těchto komponent a dalších služeb generuje XDR Defender vlastní výstrahy. Vytvoří incidenty ze všech těchto výstrah a odešle je do Služby Microsoft Sentinel.

Běžné scénáře a případy použití

Zvažte integraci XDR defenderu s Microsoft Sentinelem pro následující případy použití a scénáře:

  • Onboarding Microsoft Sentinelu na sjednocenou platformu operací zabezpečení na portálu Microsoft Defenderu Povolení konektoru XDR v programu Defender je předpokladem. Další informace najdete v tématu Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender.

  • Povolte připojení incidentů XDR v programu Defender jedním kliknutím, včetně všech výstrah a entit z komponent XDR v programu Defender, do Služby Microsoft Sentinel.

  • Povolte obousměrnou synchronizaci mezi incidenty XDR v programu Microsoft Sentinel a Defender na základě stavu, vlastníka a závěru.

  • Použití možností seskupení a rozšiřování upozornění V programu Defender v Microsoft Sentinelu, což zkracuje dobu řešení.

  • Umožňuje prošetření na obou portálech s přímými odkazy mezi incidentem Microsoft Sentinelu a paralelním incidentem XDR v programu Defender.

Další informace o možnostech integrace Microsoft Sentinelu s XDR v programu Defender v jednotné platformě operací zabezpečení najdete v tématu Microsoft Sentinel na portálu Microsoft Defenderu.

Připojení k XDR v programu Microsoft Defender

Nainstalujte řešení XDR v programu Microsoft Defender pro Microsoft Sentinel z centra obsahu. Potom povolte datový konektor XDR v programu Microsoft Defender, aby shromáždil incidenty a výstrahy. Další informace najdete v tématu Připojení dat z XDR v programu Microsoft Defender k Microsoft Sentinelu.

Pokud chcete nasadit Microsoft Sentinel na sjednocenou platformu operací zabezpečení na portálu Defender, přečtěte si téma Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender.

Po povolení shromažďování výstrah a incidentů v datovém konektoru XDR v programu Defender se incidenty XDR v programu Defender zobrazí ve frontě incidentů Služby Microsoft Sentinel krátce po jejich vygenerování v programu Defender XDR. V těchtoincidentch

  • Může trvat až 10 minut od okamžiku, kdy se incident vygeneruje v XDR v programu Defender, až do doby, kdy se v Microsoft Sentinelu objeví.

  • Výstrahy a incidenty z XDR v programu Defender (položky, které naplňují tabulky SecurityAlert a SecurityIncident ) se ingestují a synchronizují s Microsoft Sentinelem bez poplatků. U všech ostatních datových typů z jednotlivých komponent Defenderu (například upořesňujících tabulek proaktivního vyhledávání DeviceInfo, DeviceFileEvents, EmailEvents atd.) se ingestování účtuje.

  • Po povolení konektoru XDR v programu Defender se do XDR defenderu odešlou upozornění vytvořená integrovanými produkty XDR v programu Defender a seskupí se do incidentů. Výstrahy i incidenty procházejí do Microsoft Sentinelu prostřednictvím konektoru XDR v programu Defender. Pokud jste některý z konektorů jednotlivých komponent povolili předem, zdá se, že zůstanou připojené, i když přes ně neprotékají žádná data.

    Výjimkou tohoto procesu je Microsoft Defender for Cloud. I když jeho integrace s XDR v programu Defender znamená, že obdržíte incidenty Defenderu pro cloud prostřednictvím XDR v programu Defender, musíte mít také povolený konektor Microsoft Defenderu pro cloud, abyste mohli dostávat výstrahy Defenderu pro cloud. Dostupné možnosti a další informace najdete v následujících článcích:

  • Podobně platí, že pokud se chcete vyhnout vytváření duplicitních incidentů pro stejná upozornění, je nastavení pravidel vytváření incidentů v programu Microsoft vypnuto pro produkty integrované v programu Defender XDR při připojování XDR v programu Defender. Důvodem je to, že XDR v programu Defender má vlastní pravidla vytváření incidentů. Tato změna má následující potenciální dopady:

    • Pravidla vytváření incidentů v Microsoft Sentinelu umožňují filtrovat výstrahy, které se použijí k vytváření incidentů. Když jsou tato pravidla zakázaná, můžete zachovat funkci filtrování výstrah konfigurací ladění výstrah na portálu Microsoft Defenderu nebo pomocí pravidel automatizace k potlačení (zavření) incidentů, které nechcete.

    • Už nemůžete předem určit názvy incidentů, protože korelační modul XDR v defenderu převládá nad vytvořením incidentu a automaticky pojmenuje incidenty, které vytváří. Tato změna může ovlivnit všechna pravidla automatizace, která jste vytvořili, která používají název incidentu jako podmínku. Abyste se této úskali, použijte kritéria jiná než název incidentu jako podmínky pro aktivaci pravidel automatizace. Doporučujeme používat značky.

Práce s incidenty XDR v programu Microsoft Defender v Microsoft Sentinelu a obousměrnou synchronizací

Incidenty XDR v programu Defender se zobrazují ve frontě incidentů Microsoft Sentinelu s názvem XDR v programu Microsoft Defender a s podobnými podrobnostmi a funkcemi pro všechny ostatní incidenty Microsoft Sentinelu. Každý incident obsahuje odkaz zpět na paralelní incident na portálu Microsoft Defenderu.

S tím, jak se incident vyvíjí v XDR v programu Defender a do něj se přidají další výstrahy nebo entity, se incident Microsoft Sentinel odpovídajícím způsobem aktualizuje.

Změny stavu, závěru nebo přiřazení incidentu XDR defenderu v defenderu XDR nebo Microsoft Sentinelu se odpovídajícím způsobem aktualizují ve frontě incidentů ostatních. Synchronizace probíhá na obou portálech ihned po použití změny incidentu bez zpoždění. Aktualizace se může vyžadovat, aby se zobrazily nejnovější změny.

V programu Defender XDR se všechna upozornění z jednoho incidentu dají přenést do jiného, což vede ke sloučení incidentů. Když k tomuto sloučení dojde, incidenty Microsoft Sentinelu odrážejí změny. Jeden incident obsahuje všechna upozornění z původních incidentů a druhý incident se automaticky zavře a přidá se značka přesměrování.

Poznámka:

Incidenty v Microsoft Sentinelu můžou obsahovat maximálně 150 výstrah. Incidenty XDR defenderu můžou mít více než toto. Pokud se incident XDR defenderu s více než 150 upozorněními synchronizuje do Microsoft Sentinelu, zobrazí se incident Microsoft Sentinelu jako výstrahy 150+ a poskytuje odkaz na paralelní incident v XDR v defenderu, kde vidíte úplnou sadu upozornění.

Pokročilá kolekce událostí proaktivního vyhledávání

Konektor XDR v programu Defender umožňuje streamovat pokročilé události proaktivního vyhledávání – typ nezpracovaných dat událostí – z XDR defenderu a jeho služeb komponent do Microsoft Sentinelu. Shromážděte pokročilé události proaktivního vyhledávání ze všech komponent XDR v programu Defender a streamujte je přímo do účelově integrovaných tabulek v pracovním prostoru Microsoft Sentinelu. Tyto tabulky jsou založené na stejném schématu, které se používá na portálu Defender. Tím získáte úplný přístup k celé sadě pokročilých událostí proaktivního vyhledávání a můžete provádět následující úlohy:

  • Snadno zkopírujte stávající dotazy Microsoft Defenderu for Endpoint/ Office 365/Identity/Cloud Apps pro pokročilé proaktivní vyhledávání do Microsoft Sentinelu.

  • Pomocí nezpracovaných protokolů událostí můžete poskytovat další přehledy pro vaše výstrahy, proaktivní vyhledávání a prošetření a korelovat tyto události s událostmi z jiných zdrojů dat v Microsoft Sentinelu.

  • Uložte protokoly se zvýšeným uchováváním, a to nad rámec výchozího uchovávání XDR defenderu nebo jeho komponent 30 dnů. Můžete to udělat tak, že nakonfigurujete uchovávání pracovního prostoru nebo nakonfigurujete uchovávání jednotlivých tabulek v Log Analytics.

Další kroky

V tomto dokumentu jste se seznámili s výhodou použití XDR v programu Defender společně se službou Microsoft Sentinel tím, že jste povolili konektor XDR v programu Defender v Microsoft Sentinelu.