Připojení data z XDR v programu Microsoft Defender do Microsoft Sentinelu

Konektor XDR v programu Microsoft Sentinel v programu Microsoft Sentinel s integrací incidentů umožňuje streamovat všechny incidenty a výstrahy XDR v programu Microsoft Defender do Služby Microsoft Sentinel a udržovat incidenty synchronizované mezi oběma portály. Incidenty XDR v programu Microsoft Defender zahrnují všechna jejich upozornění, entity a další relevantní informace. Zahrnují také výstrahy ze služeb komponent programu Microsoft Defender XDR v programu Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender pro Office 365 a Microsoft Defender for Cloud Apps a výstrahy z jiných služeb, jako jsou například Ochrana před únikem informací Microsoft Purview a Microsoft Entra ID Protection. Konektor XDR v programu Microsoft Defender také přináší incidenty z programu Microsoft Defender for Cloud, i když pokud chcete synchronizovat výstrahy a entity z těchto incidentů, musíte povolit konektor Microsoft Defenderu pro cloud, jinak se incidenty Microsoft Defenderu pro cloud zobrazí prázdné. Přečtěte si další informace o dostupných konektorech pro Microsoft Defender for Cloud.

Konektor také umožňuje streamovat pokročilé události proaktivního vyhledávání ze všech výše uvedených komponent Defenderu do Microsoft Sentinelu, což umožňuje zkopírovat pokročilé dotazy proaktivního vyhledávání těchto komponent defenderu do Microsoft Sentinelu, rozšířit výstrahy služby Sentinel o nezpracovaná data událostí defenderu, aby poskytovaly další přehledy, a ukládat protokoly s vyšším uchováváním v Log Analytics.

Další informace o integraci incidentů a rozšířené kolekci událostí proaktivního vyhledávání najdete v tématu Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem.

Konektor XDR v programu Microsoft Defender je teď obecně dostupný.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Požadavky

• Musíte mít platnou licenci pro XDR v programu Microsoft Defender, jak je popsáno v požadavcích XDR v programu Microsoft Defender.

• Uživateli musí být přiřazeny role Globální Správa istrator nebo Security Správa istrator v tenantovi, ze kterého chcete protokoly streamovat.

• Váš uživatel musí mít oprávnění ke čtení a zápisu v pracovním prostoru Služby Microsoft Sentinel.

• Pokud chcete provést jakékoli změny nastavení konektoru, musí být váš uživatel členem stejného tenanta Microsoft Entra, ke kterému je přidružený váš pracovní prostor Microsoft Sentinelu.

• Nainstalujte řešení pro XDR v programu Microsoft Defender z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Požadavky pro synchronizaci služby Active Directory přes MDI

• Váš tenant musí být onboardovaný do Microsoft Defenderu for Identity.

• Musíte mít nainstalovaný senzor MDI.

Připojení do XDR v programu Microsoft Defender

V Microsoft Sentinelu vyberte Datové konektory, v galerii vyberte XDR v programu Microsoft Defender a vyberte Otevřít stránku konektoru.

Část Konfigurace má tři části:

1. Připojení incidenty a výstrahy umožňuje základní integraci mezi XDR v programu Microsoft Defender a Microsoft Sentinelem, synchronizací incidentů a jejich výstrahami mezi těmito dvěma platformami.

2. Připojení entit umožňuje integraci místní Active Directory identit uživatelů do Služby Microsoft Sentinel prostřednictvím programu Microsoft Defender for Identity.

3. události Připojení umožňuje kolekci nezpracovaných pokročilých událostí proaktivního vyhledávání z komponent Defenderu.

Tyto informace jsou vysvětleny podrobněji níže. Další informace najdete v integraci XDR v programu Microsoft Defender s Microsoft Sentinelem .

Připojení incidenty a výstrahy

Pokud chcete ingestovat a synchronizovat incidenty XDR v programu Microsoft Defender se všemi jejich výstrahami do fronty incidentů Microsoft Sentinelu:

1. Zaškrtněte políčko Označené vypněte všechna pravidla vytváření incidentů Microsoftu pro tyto produkty. Doporučujeme, abyste se vyhnuli duplikaci incidentů.
   (Toto políčko se po připojení konektoru XDR v programu Microsoft Defender nezobrazí.)

2. Vyberte tlačítko Připojení incidentů a upozornění.

Poznámka:

Když povolíte konektor XDR v programu Microsoft Defender, všechny konektory XDR v programu Microsoft Defender (ty uvedené na začátku tohoto článku) se automaticky připojí na pozadí. Pokud chcete odpojit jeden z konektorů součástí, musíte nejprve odpojit konektor XDR v programu Microsoft Defender.

Pokud chcete dotazovat data incidentů XDR v programu Microsoft Defender, použijte v okně dotazu následující příkaz:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

Připojení entit

Pomocí Microsoft Defenderu for Identity můžete synchronizovat entity uživatelů z vašeho místní Active Directory do Microsoft Sentinelu.

Ověřte, že jste splnili požadavky pro synchronizaci místní Active Directory uživatelů prostřednictvím Microsoft Defenderu for Identity (MDI).

1. Vyberte odkaz Na stránku konfigurace UEBA.

2. Pokud jste na stránce konfigurace chování entit ještě nepovolili UEBA, přesuňte přepínač do polohy Zapnuto v horní části stránky.

3. Zaškrtněte políčko Active Directory (Preview) a vyberte Použít.

   

události Připojení

Pokud chcete shromažďovat rozšířené události proaktivního vyhledávání z programu Microsoft Defender for Endpoint nebo Microsoft Defender pro Office 365, můžete z příslušných pokročilých tabulek proaktivního vyhledávání shromažďovat následující typy událostí.

1. Označte políčka tabulek pomocí typů událostí, které chcete shromáždit:

   Defender for Endpoint

   Název tabulky	Typ událostí
   Deviceinfo	Informace o počítači, včetně informací o operačním systému
   DeviceNetworkInfo	Síťové vlastnosti zařízení, včetně fyzických adaptérů, IP adres a adres MAC a připojených sítí a domén
   DeviceProcessEvents	Vytváření procesů a související události
   DeviceNetworkEvents	Síťové připojení a související události
   DeviceFileEvents	Vytváření, úpravy souborů a další události systému souborů
   DeviceRegistryEvents	Vytvoření a úprava položek registru
   DeviceLogonEvents	Přihlášení a další události ověřování na zařízeních
   DeviceImageLoadEvents	Události načítání knihoven DLL
   DeviceEvents	Více typů událostí, včetně událostí aktivovaných kontrolními prvky zabezpečení, jako je Antivirová ochrana v programu Windows Defender a ochrana před zneužitím
   DeviceFileCertificateInfo	Informace o certifikátu podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech

   Defender pro Office 365

   Název tabulky	Typ událostí
   EmailAttachmentInfo	Informace o souborech připojených k e-mailům
   E-mailEvents	E-mailové události Microsoftu 365, včetně doručování e-mailů a blokování událostí
   EmailPostDeliveryEvents	Události zabezpečení, ke kterým dochází po doručení, po doručení Microsoftu 365 e-maily do poštovní schránky příjemce
   EmailUrlInfo	Informace o adresách URL v e-mailech

   Defender for Identity

   Název tabulky	Typ událostí
   IdentityDirectoryEvents	Různé události související s identitou, jako jsou změny hesel, vypršení platnosti hesla a změny hlavního názvu uživatele (UPN) zachycené z řadiče domény místní Active Directory Zahrnuje také systémové události na řadiči domény.
   Informace o identitě	Informace o uživatelskýchúčtech
   IdentityLogonEvents	Aktivity ověřování prováděné prostřednictvím vašeho místní Active Directory, jak je zachyceno v programu Microsoft Defender for Identity Aktivity ověřování související s Microsoft online služby zachycené v programu Microsoft Defender for Cloud Apps
   IdentityQueryEvents	Informace o dotazech prováděných s objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény

   Defender for Cloud Apps

   Název tabulky	Typ událostí
   CloudAppEvents	Informace o aktivitách v různých cloudových aplikacích a službách, na které se vztahuje Microsoft Defender for Cloud Apps

   Výstrahy defenderu

   Název tabulky	Typ událostí
   AlertInfo	Informace o výstrahách z komponent XDR v programu Microsoft Defender
   AlertEvidence	Informace o různých entitách – soubory, IP adresy, adresy URL, uživatelé, zařízení – přidružené k upozorněním ze součástí XDR v programu Microsoft Defender

2. Klikněte na Použít změny.

3. Pokud chcete dotazovat pokročilé proaktivní tabulky v Log Analytics, zadejte název tabulky ze seznamu výše v okně dotazu.

Ověření příjmu dat

Datový graf na stránce konektoru označuje, že data ingestujete. Všimněte si, že každý řádek zobrazuje jeden řádek pro incidenty, výstrahy a události a řádek událostí je agregací objemu událostí napříč všemi povolenými tabulkami. Jakmile konektor povolíte, můžete k vygenerování konkrétnějších grafů použít následující dotazy KQL.

Pro graf příchozích incidentů XDR v programu Microsoft Defender použijte následující dotaz KQL:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Pomocí následujícího dotazu KQL vygenerujte graf objemu událostí pro jednu tabulku (změňte tabulku DeviceEvents na požadovanou tabulku podle vlastního výběru):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Na kartě Další kroky najdete některé užitečné sešity, ukázkové dotazy a šablony analytických pravidel, které byly zahrnuty. Můžete je spustit na místě nebo je upravit a uložit.

Další kroky

V tomto dokumentu jste zjistili, jak integrovat incidenty XDR v programu Microsoft Defender a pokročilá data událostí proaktivního vyhledávání ze služeb komponent Microsoft Defenderu do Služby Microsoft Sentinel pomocí konektoru XDR v programu Microsoft Defender. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciální hrozby.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.