Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem

  • Článek

Integrace incidentů XDR v programu Microsoft Sentinel v programu Microsoft Sentinel umožňuje streamovat všechny incidenty XDR v programu Microsoft Defender do Služby Microsoft Sentinel a synchronizovat je mezi oběma portály. Incidenty z XDR v programu Microsoft Defender zahrnují všechna přidružená upozornění, entity a relevantní informace, které poskytují dostatečný kontext k provedení třídění a předběžného šetření v Microsoft Sentinelu. Jakmile v Sentinelu zůstanou incidenty obousměrně synchronizované s XDR v programu Microsoft Defender, což vám umožní využít výhod obou portálů při vyšetřování incidentu.

Tato integrace poskytuje incidentům zabezpečení Microsoftu 365 přehled, který se dá spravovat z Microsoft Sentinelu v rámci primární fronty incidentů v celé organizaci, takže můžete vidět a korelovat incidenty Microsoftu 365 společně s incidenty ze všech vašich ostatních cloudových a místních systémů. Zároveň vám umožňuje využívat jedinečné silné stránky a možnosti XDR v programu Microsoft Defender pro hloubkové šetření a prostředí specifické pro Microsoft 365 v ekosystému Microsoft 365. XDR v programu Microsoft Defender rozšiřuje a seskupuje výstrahy z několika produktů Microsoftu 365, čímž se zmenší velikost fronty incidentů SOC a zkracuje dobu řešení. Služby komponent, které jsou součástí zásobníku XDR v programu Microsoft Defender, jsou:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender pro Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Cloud

Mezi další služby, jejichž výstrahy shromažďuje XDR v programu Microsoft Defender, patří:

  • Ochrana před únikem informací Microsoft Purview (další informace)
  • Microsoft Entra ID Protection (další informace)

Kromě shromažďování výstrah z těchto komponent a dalších služeb generuje XDR v programu Microsoft Defender vlastní výstrahy. Vytvoří incidenty ze všech těchto výstrah a odešle je do Služby Microsoft Sentinel.

Běžné scénáře a případy použití

  • Nasazení služby Microsoft Sentinel na sjednocenou platformu operací zabezpečení na portálu Microsoft Defender, jehož povolení integrace XDR v programu Microsoft Defender je nezbytným krokem v rané fázi.

  • Jedním kliknutím se připojte k incidentům XDR v programu Microsoft Defender, včetně všech výstrah a entit z komponent XDR v programu Microsoft Defender, do Microsoft Sentinelu.

  • Obousměrná synchronizace mezi incidenty XDR v programu Sentinel a XDR v programu Microsoft Defender v případě stavu, vlastníka a koncového důvodu.

  • Použití možností seskupení a rozšiřování upozornění V programu Microsoft Defender v programu Microsoft Sentinel, což zkracuje dobu řešení.

  • Přímé propojení mezi incidentem Microsoft Sentinelu a paralelním incidentem XDR v programu Microsoft Defender za účelem usnadnění vyšetřování na obou portálech

Připojení do XDR v programu Microsoft Defender

(Tady se přesměrují incidenty XDR v programu Microsoft Defender a pravidla vytváření incidentů Microsoftu.)

Nainstalujte řešení XDR v programu Microsoft Defender pro Microsoft Sentinel a povolte datový konektor XDR v programu Microsoft Defender ke shromažďování incidentů a výstrah. Incidenty XDR v programu Microsoft Defender se zobrazí ve frontě incidentů Microsoft Sentinelu s názvy XDR v programu Microsoft Defender (nebo název některého z komponentních služeb) v poli Název produktu Výstraha krátce po vygenerování v XDR v programu Microsoft Defender.

  • Může trvat až 10 minut od okamžiku, kdy se incident vygeneruje v XDR v programu Microsoft Defender až do doby, kdy se v Microsoft Sentinelu objeví.

  • Výstrahy a incidenty z XDR v programu Microsoft Defender (položky, které naplňují tabulky SecurityAlert a SecurityIncident ) se ingestují a synchronizují s Microsoft Sentinelem bez poplatků. U všech ostatních datových typů z jednotlivých komponent Defenderu (například pokročilých tabulek proaktivního vyhledávání DeviceInfo, DeviceFileEvents, EmailEvents atd.) se ingestování bude účtovat.

  • Po povolení konektoru XDR v programu Microsoft Defender se výstrahy vytvořené jeho službami komponent (Defender for Endpoint, Defender for Identity, Defender pro Office 365, Defender for Cloud Apps, Microsoft Entra ID Protection) odešlou do XDR v programu Microsoft Defender a seskupí se do incidentů. Výstrahy i incidenty budou do Microsoft Sentinelu proudit prostřednictvím konektoru XDR v programu Microsoft Defender. Pokud jste předem povolili některý z konektorů jednotlivých komponent, budou se zdát, že zůstanou připojené, i když přes ně nebudou proudit žádná data.

    Výjimkou tohoto procesu je Microsoft Defender for Cloud. I když integrace s XDR v programu Microsoft Defender znamená, že obdržíte incidenty Defenderu pro cloud prostřednictvím XDR v programu Defender, musíte mít také povolený konektor Microsoft Defenderu pro cloud, abyste mohli dostávat výstrahy Defenderu pro cloud. Dostupné možnosti a další informace najdete v tématu Ingestování incidentů Microsoft Defenderu pro cloud s integrací XDR v programu Microsoft Defender.

  • Podobně platí, že pokud se chcete vyhnout vytváření duplicitních incidentů pro stejná upozornění, pravidla vytváření incidentů Microsoftu budou při připojování XDR integrovaného v programu Microsoft Defender pro koncový bod (Defender for Endpoint, Defender for Identity, Defender pro Office 365, Defender for Cloud Apps a Microsoft Entra ID Protection) vypnuta. Důvodem je to, že XDR v programu Defender má vlastní pravidla vytváření incidentů. Tato změna má následující potenciální dopady:

    • Pravidla vytváření incidentů v Microsoft Sentinelu umožňují filtrovat výstrahy, které se použijí k vytváření incidentů. Když jsou tato pravidla zakázaná, můžete zachovat funkci filtrování výstrah konfigurací ladění upozornění na portálu Microsoft Defenderu nebo pomocí pravidel automatizace k potlačení (zavření) incidentů, které jste nechtěli vytvořit.

    • Už nemůžete předem určit názvy incidentů, protože korelační modul XDR v programu Microsoft Defender převládá nad vytvořením incidentu a automaticky pojmenuje incidenty, které vytvoří. Tato změna může ovlivnit všechna pravidla automatizace, která jste vytvořili, která používají název incidentu jako podmínku. Abyste se této úskali, použijte kritéria jiná než název incidentu (doporučujeme používat značky) jako podmínky pro aktivaci pravidel automatizace.

Práce s incidenty XDR v programu Microsoft Defender v Microsoft Sentinelu a obousměrnou synchronizací

Incidenty XDR v programu Microsoft Defender se zobrazí ve frontě incidentů Microsoft Sentinelu s názvem XDR v programu Microsoft Defender a s podobnými podrobnostmi a funkcemi pro všechny ostatní incidenty služby Sentinel. Každý incident obsahuje odkaz zpět na paralelní incident na portálu Microsoft Defenderu.

Jak se incident vyvíjí v XDR v programu Microsoft Defender a do něj se přidají další výstrahy nebo entity, incident Microsoft Sentinel se odpovídajícím způsobem aktualizuje.

Změny stavu, závěru nebo přiřazení incidentu XDR v programu Microsoft Defender v programu Microsoft Defender XDR nebo Microsoft Sentinel se odpovídajícím způsobem aktualizují ve frontě incidentů ostatních. Synchronizace proběhne na obou portálech ihned po použití změny incidentu bez zpoždění. Aktualizace se může vyžadovat, aby se zobrazily nejnovější změny.

V XDR v programu Microsoft Defender je možné všechny výstrahy z jednoho incidentu přenést do jiného, což vede ke sloučení incidentů. Když k tomuto sloučení dojde, budou incidenty Microsoft Sentinelu odrážet změny. Jeden incident bude obsahovat všechna upozornění z původních incidentů a druhý incident se automaticky zavře a přidá se značka přesměrování.

Poznámka:

Incidenty v Microsoft Sentinelu můžou obsahovat maximálně 150 výstrah. Incidenty XDR v programu Microsoft Defender můžou mít více než toto. Pokud se incident XDR v programu Microsoft Defender s více než 150 upozorněními synchronizuje s Microsoft Sentinelem, zobrazí se incident Služby Sentinel jako upozornění 150+ a poskytne odkaz na paralelní incident v XDR v programu Microsoft Defender, kde uvidíte úplnou sadu upozornění.

Pokročilá kolekce událostí proaktivního vyhledávání

Konektor XDR v programu Microsoft Defender také umožňuje streamovat pokročilé události proaktivního vyhledávání – typ nezpracovaných dat událostí – z XDR v programu Microsoft Defender a jeho součástí do Microsoft Sentinelu. Nyní (od dubna 2022) můžete shromažďovat pokročilé události proaktivního vyhledávání ze všech komponent XDR v programu Microsoft Defender a streamovat je přímo do účelově integrovaných tabulek v pracovním prostoru Microsoft Sentinelu. Tyto tabulky jsou založené na stejném schématu, které se používá na portálu Microsoft Defenderu, a poskytují úplný přístup k celé sadě pokročilých událostí proaktivního vyhledávání a umožňují provádět následující akce:

  • Snadno zkopírujte stávající dotazy Microsoft Defenderu for Endpoint/ Office 365/Identity/Cloud Apps pro pokročilé proaktivní vyhledávání do Microsoft Sentinelu.

  • Pomocí nezpracovaných protokolů událostí můžete poskytovat další přehledy pro vaše výstrahy, proaktivní vyhledávání a prošetření a korelovat tyto události s událostmi z jiných zdrojů dat v Microsoft Sentinelu.

  • Uložte protokoly se zvýšeným uchováváním, nad rámec výchozího uchovávání XDR v programu Microsoft Defender nebo jeho komponent 30 dnů. Můžete to udělat tak, že nakonfigurujete uchovávání pracovního prostoru nebo nakonfigurujete uchovávání jednotlivých tabulek v Log Analytics.

Další kroky

V tomto dokumentu jste zjistili, jak využívat XDR v programu Microsoft Defender společně s Microsoft Sentinelem pomocí konektoru XDR v programu Microsoft Defender.