Stream dat z Microsoft Defender XDR do Microsoft Sentinel v Azure Portal

Konektor Defender XDR umožňuje streamovat všechny incidenty Microsoft Defender XDR, výstrahy a události rozšířeného vyhledávání do Microsoft Sentinel a udržuje incidenty synchronizované mezi oběma portály. Tento článek vysvětluje, jak nakonfigurovat konektor Microsoft Defender XDR pro Microsoft Sentinel v Azure Portal.

Poznámka

Konektor Defender XDR se automaticky povolí při onboardingu Microsoft Sentinel na portál Defender. Kroky ruční konfigurace popsané v tomto článku se nevyžadují, pokud jste už onboardovali Microsoft Sentinel na portál Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Microsoft Defender XDR incidenty zahrnují výstrahy, entity a další relevantní informace ze všech produktů a služeb Microsoft Defender. Další informace najdete v tématu integrace Microsoft Defender XDR s Microsoft Sentinel.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Než začnete, musíte mít odpovídající licencování, přístup a nakonfigurované prostředky popsané v této části.

• Musíte mít platnou licenci pro Microsoft Defender XDR, jak je popsáno v požadavcích Microsoft Defender XDR.
• Váš uživatel musí mít roli Správce zabezpečení v tenantovi, ze kterého chcete protokoly streamovat, nebo musí mít ekvivalentní oprávnění.
• V pracovním prostoru Microsoft Sentinel musíte mít oprávnění ke čtení a zápisu.
• Pokud chcete provést jakékoli změny nastavení konektoru, váš účet musí být členem stejného Microsoft Entra tenanta, ke kterému je přidružený váš Microsoft Sentinel pracovní prostor.
• Nainstalujte řešení Microsoft Defender XDR z centra obsahu v Microsoft Sentinel. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení. Pokud pracujete na portálu Defender, toto řešení se nainstaluje automaticky.
• Udělte přístup k Microsoft Sentinel podle potřeby pro vaši organizaci. Další informace najdete v tématu Role a oprávnění v Microsoft Sentinel.

Synchronizace místní Active Directory prostřednictvím Microsoft Defender for Identity:

• Váš tenant musí být nasazený do Microsoft Defender for Identity.
• Musíte mít nainstalovaný Microsoft Defender for Identity senzor.

Další informace najdete v tématu Nasazení Microsoft Defender for Identity.

Připojení k Microsoft Defender XDR

V Microsoft Sentinel vyberte Datové konektory. V galerii vyberte Microsoft Defender XDR a na stránce Otevřít konektor.

Část Konfigurace má tři části:

1. Propojení incidentů a výstrah umožňuje základní integraci mezi Microsoft Defender XDR a Microsoft Sentinel a synchronizaci incidentů a jejich výstrah mezi oběma platformami.

2. Propojení entit umožňuje integraci identit uživatelů místní Active Directory do Microsoft Sentinel prostřednictvím Microsoft Defender for Identity.

3. Události připojení umožňují shromažďování nezpracovaných pokročilých událostí proaktivního vyhledávání z komponent Defenderu.

Další informace najdete v tématu integrace Microsoft Defender XDR s Microsoft Sentinel.

Připojení incidentů a výstrah

Pokud chcete ingestovat a synchronizovat incidenty Microsoft Defender XDR se všemi jejich výstrahami do fronty incidentů Microsoft Sentinel, proveďte následující kroky.

1. Zaškrtněte políčko Vypnout všechna pravidla vytváření incidentů Microsoftu pro tyto produkty. Doporučujeme, aby nedocházelo ke zdvojování incidentů. Toto políčko se po připojení konektoru Microsoft Defender XDR nezobrazí.

2. Vyberte tlačítko Připojit incidenty & upozornění .

3. Ověřte, že Microsoft Sentinel shromažďuje data incidentů Microsoft Defender XDR. V Microsoft Sentinel Logs v Azure Portal spusťte v okně dotazu následující příkaz:

      SecurityIncident
      | where ProviderName == "Microsoft XDR"
   

Když povolíte konektor Microsoft Defender XDR, všechny konektory Microsoft Defender komponent, které byly dříve připojeny, se automaticky odpojí na pozadí. I když se stále zdají být připojené, neprotékají jimi žádná data.

Poznámka

Nahrazení samostatných konektorů konektorem XDR změní schéma upozornění a může ovlivnit vaše stávající dotazy. Podrobné porovnání najdete v tématu Rozdíly ve schématu upozornění: Samostatný konektor a konektor XDR.

Připojit entity

Pomocí Microsoft Defender for Identity můžete synchronizovat entity uživatelů z místní Active Directory do Microsoft Sentinel.

1. Vyberte odkaz Přejít na stránku konfigurace UEBA .

2. Pokud jste nepovolili UEBA na stránce Konfigurace chování entit , přesuňte v horní části stránky přepínač do polohy Zapnuto.

3. Zaškrtněte políčko Active Directory (Preview) a vyberte Použít.

   

Události připojení

Pokud chcete shromažďovat rozšířené události proaktivního vyhledávání z Microsoft Defender for Endpoint nebo Microsoft Defender pro Office 365, můžete z odpovídajících tabulek rozšířeného proaktivního vyhledávání shromažďovat následující typy událostí.

1. Zaškrtněte políčka tabulek s typy událostí, které chcete shromáždit:

   Defender for Endpoint

   Název tabulky	Typ události
   DeviceInfo	Informace o počítači, včetně informací o operačním systému
   DeviceNetworkInfo	Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a adres MAC, a také připojených sítí a domén
   DeviceProcessEvents	Vytváření procesů a související události
   DeviceNetworkEvents	Síťové připojení a související události
   DeviceFileEvents	Vytváření, úpravy souborů a další události systému souborů
   DeviceRegistryEvents	Vytváření a úpravy položek registru
   DeviceLogonEvents	Přihlášení a další události ověřování na zařízeních
   DeviceImageLoadEvents	Události načítání knihovny DLL
   DeviceEvents	Několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je windows Antivirová ochrana v programu Defender a ochrana před zneužitím
   DeviceFileCertificateInfo	Informace o certifikátech podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech

   Defender for Office 365

   Název tabulky	Typ události
   EmailAttachmentInfo	Informace o souborech připojených k e-mailům
   EmailEvents	Události e-mailu Microsoft 365, včetně událostí doručování a blokování e-mailů
   EmailPostDeliveryEvents	Události zabezpečení, ke kterým dochází po doručení, poté, co Microsoft 365 doručí e-maily do poštovní schránky příjemce
   EmailUrlInfo	Informace o adresách URL v e-mailech
   UrlClickEvents	Události týkající se adres URL klikaných, vybraných nebo požadovaných na Microsoft Defender pro Office 365

   Defender for Identity

   Název tabulky	Typ události
   IdentityDirectoryEvents	Různé události související s identitou, jako jsou změny hesla, vypršení platnosti hesla a změny hlavního názvu uživatele (UPN), zachycené z řadiče domény místní Active Directory Zahrnuje také systémové události na řadiči domény.
   IdentityLogonEvents	Aktivity ověřování prováděné prostřednictvím místní Active Directory zachycené službou Microsoft Defender for Identity Aktivity ověřování související s Online služby Microsoftu, jak je zaznamenává Microsoft Defender for Cloud Apps
   IdentityQueryEvents	Informace o dotazech prováděných na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény

   Defender for Cloud Apps

   Název tabulky	Typ události
   CloudAppEvents	Informace o aktivitách v různých cloudových aplikacích a službách, na které se vztahuje Microsoft Defender for Cloud Apps

   Upozornění defenderu

   Název tabulky	Typ události
   AlertInfo	Upozornění od Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Cloud App Security a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizaci hrozeb
   AlertEvidence	Informace o různých entitách – soubory, IP adresy, adresy URL, uživatele, zařízení – přidružené k výstrahám z Microsoft Defender XDR komponent

2. Vyberte Použít změny.

Pokud chcete spustit dotaz v pokročilých tabulkách proaktivního vyhledávání v Log Analytics, zadejte název tabulky v okně dotazu.

Ověření příjmu dat

Datový graf na stránce konektoru označuje, že data ingestujete. Všimněte si, že každý řádek zobrazuje jeden řádek pro incidenty, výstrahy a události a řádek událostí je agregace objemu událostí napříč všemi povolenými tabulkami. Po povolení konektoru pomocí následujících dotazů KQL vygenerujte konkrétnější grafy.

Pro graf příchozích incidentů Microsoft Defender XDR použijte následující dotaz KQL:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft XDR"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Pomocí následujícího dotazu KQL vygenerujte graf objemu událostí pro jednu tabulku (změňte tabulku DeviceEvents na požadovanou tabulku podle svého výběru):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci k Kusto:

• let – příkaz
• where – operátor
• operátor extend
• operátor projektu
• operátor union
• operátor sort
• Operátor summarize
• operátor render
• ago() – funkce
• Funkce iff()
• agregační funkce max()
• agregační funkce count()

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací:

• Stručná referenční příručka KQL
• dotazovací jazyk Kusto výukové materiály

Další krok

V tomto dokumentu jste zjistili, jak integrovat incidenty Microsoft Defender XDR, výstrahy a data událostí rozšířeného vyhledávání z Microsoft Defender služeb do Microsoft Sentinel pomocí konektoru Microsoft Defender XDR.

Pokud chcete používat Microsoft Sentinel společně s Defender XDR na portálu Defender, přečtěte si téma Připojení Microsoft Sentinel k portálu Microsoft Defender.