Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak se služby XDR v programu Microsoft Defender integrují se službou Microsoft Sentinel, ať už na portálu Microsoft Defender nebo na webu Azure Portal.
Pokud jste poprvé nasadili Microsoft Sentinel po 1. červenci 2025 s oprávněními vlastníka předplatného nebo správce uživatelských přístupů, váš pracovní prostor se automaticky nasadí na portál Defenderu. V takových případech používáte Microsoft Sentinel pouze na portálu Defender, kde se vaše data můžou integrovat přímo s daty služby XDR v programu Defender pro jednotné operace zabezpečení.
Pokud místo portálu Defender nebo kromě něj používáte portál Azure, integrujte XDR Microsoft Defender s Microsoft Sentinel. Integrace služeb streamuje všechny incidenty XDR v programu Defender a pokročilé události proaktivního vyhledávání do Služby Microsoft Sentinel a udržuje incidenty a události synchronizované mezi portály Azure a Microsoft Defender.
Incidenty z XDR v programu Defender zahrnují všechna přidružená upozornění, entity a relevantní informace, které vám poskytnou dostatečný kontext k provedení třídění a předběžného šetření v Microsoft Sentinelu. Jakmile v Microsoft Sentinelu zůstanou incidenty obousměrně synchronizované s XDR v programu Defender, což vám umožní využít výhod obou portálů při vyšetřování incidentu.
Microsoft Sentinel a Defender XDR
Pomocí jedné z následujících metod můžete integrovat Microsoft Sentinel se službami XDR v programu Microsoft Defender:
Ingestování dat služby XDR v programu Microsoft Defender do Microsoft Sentinelu a zobrazení dat Microsoft Sentinelu na webu Azure Portal Povolte konektor Defender XDR v Microsoft Sentinelu.
Integrujte Microsoft Sentinel a XDR v programu Defender přímo na portálu Microsoft Defender. V tomto případě si prohlédněte data Služby Microsoft Sentinel přímo se zbývajícími incidenty, výstrahami, ohroženími zabezpečení a dalšími daty zabezpečení v programu Defender. K tomu musíte nasadit Microsoft Sentinel na portál Defenderu.
Vyberte příslušnou kartu a podívejte se, jak vypadá integrace Microsoft Sentinelu s XDR v programu Defender v závislosti na tom, jakou metodu integrace používáte.
Následující obrázek ukazuje, jak se řešení XDR od Microsoftu bezproblémově integruje s Microsoft Sentinelem na portálu Microsoft Defender.
V tomto diagramu:
- Přehledy ze signálů v celé organizaci vstupují do Microsoft Defender XDR a Microsoft Defender for Cloud.
- Microsoft Sentinel poskytuje podporu pro multicloudová prostředí a integruje se s aplikacemi a partnery třetích stran.
- Data Služby Microsoft Sentinel se ingestují společně s daty vaší organizace na portálu Microsoft Defender.
- Týmy SecOps pak můžou analyzovat hrozby identifikované microsoft Sentinelem a XDR v programu Microsoft Defender na portálu Microsoft Defender a reagovat na ně.
Korelace incidentů a výstrahy
Díky integraci XDR defenderu s Microsoft Sentinelem jsou incidenty XDR v programu Defender viditelné a spravovatelné z Microsoft Sentinelu. Tím získáte primární frontu incidentů v celé organizaci. Zobrazte a korelujte incidenty XDR defenderu společně s incidenty ze všech vašich ostatních cloudových a místních systémů. Zároveň vám tato integrace umožňuje využívat jedinečné silné stránky a možnosti XDR defenderu pro hloubkové šetření a prostředí specifické pro Defender v ekosystému Microsoft 365.
XDR v programu Defender rozšiřuje a seskupuje výstrahy z několika produktů Microsoft Defenderu, čímž se zmenšuje velikost fronty incidentů SOC a zkracuje dobu řešení. Výstrahy z následujících produktů a služeb Microsoft Defenderu jsou také součástí integrace XDR defenderu do Microsoft Sentinelu:
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365
- Microsoft Defender pro cloudové aplikace
Mezi další služby, jejichž výstrahy shromažďuje XDR v programu Defender, patří:
- Ochrana před únikem informací Microsoft Purview
- Ochrana Microsoft Entra ID
- Správa insiderských rizik Microsoft Purview
Konektor XDR v programu Defender také přináší incidenty z Microsoft Defenderu pro cloud. Pokud chcete synchronizovat také výstrahy a entity z těchto incidentů, musíte v Microsoft Sentinelu povolit konektor Defender for Cloud. Jinak se vaše incidenty Defenderu pro cloud zobrazí jako prázdné. Další informace najdete v tématu Ingestování incidentů Microsoft Defenderu pro cloud s integrací XDR v programu Microsoft Defender.
Kromě shromažďování výstrah z těchto komponent a dalších služeb generuje XDR Defender vlastní výstrahy. Vytvoří incidenty ze všech těchto výstrah a odešle je do Služby Microsoft Sentinel.
Běžné scénáře a případy použití
Zvažte integraci XDR defenderu s Microsoft Sentinelem pro následující případy použití a scénáře:
Připojte Microsoft Sentinel k portálu Microsoft Defender.
Povolte připojení incidentů XDR v programu Defender jedním kliknutím, včetně všech výstrah a entit z komponent XDR v programu Defender, do Služby Microsoft Sentinel.
Povolte obousměrnou synchronizaci mezi incidenty XDR v programu Microsoft Sentinel a Defender na základě stavu, vlastníka a závěru.
Použití možností seskupení a rozšiřování upozornění V programu Defender v Microsoft Sentinelu, což zkracuje dobu řešení.
Umožňuje prošetření na obou portálech s přímými odkazy mezi incidentem Microsoft Sentinelu a paralelním incidentem XDR v programu Defender.
Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Připojení k Microsoft Defender XDR
Způsob integrace XDR v programu Defender závisí na tom, jestli plánujete nasadit Microsoft Sentinel na portálu Defender nebo pokračovat v práci na webu Azure Portal.
Integrace portálu Defender
Pokud nasadíte Microsoft Sentinel na portál Defenderu a máte licenci pro XDR v programu Defender, Microsoft Sentinel se automaticky připojí k XDR v programu Defender. Datový konektor pro XDR v programu Defender je automaticky nastavený za vás. Všechny datové konektory pro poskytovatele výstrah, které jsou součástí konektoru XDR v programu Defender, se odpojí. To zahrnuje následující datové konektory:
- Microsoft Defender for Cloud Apps (upozornění)
- Microsoft Defender for Endpoint (ochrana koncových bodů)
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365
- Ochrana identifikace Microsoft Entra
Integrace webu Azure Portal
Pokud chcete synchronizovat data Defender XDR s Microsoft Sentinelem v portálu Azure, musíte v Microsoft Sentinelu povolit konektor Microsoft Defender XDR. Když konektor povolíte, odešle do Microsoft Sentinelu všechny incidenty a výstrahy XDR v programu Defender a udržuje incidenty synchronizované.
Nejprve nainstalujte řešení Microsoft Defender XDR pro Microsoft Sentinel z Centra obsahu. Potom povolte datový konektor XDR v programu Microsoft Defender, aby shromáždil incidenty a výstrahy. Další informace najdete v tématu Připojení dat z XDR v programu Microsoft Defender k Microsoft Sentinelu.
Po povolení shromažďování výstrah a incidentů v datovém konektoru Defender XDR se incidenty Defender XDR zobrazí ve frontě incidentů Microsoft Sentinel krátce po vygenerování v Defender XDR. Za normálních provozních podmínek se incidenty vygenerované v programu Defender XDR obvykle zobrazují v uživatelském rozhraní a rozhraní API služby Microsoft Sentinel během pěti minut. Příjem dat do
securityIncidenttabulky může trvat několik minut. Ve těchto případech pole název produktu Upozornění obsahuje Microsoft Defender XDR nebo název jedné ze služeb komponenty Defender.
Náklady na příjem dat
Výstrahy a incidenty z XDR v programu Defender, včetně položek, které naplňují tabulky SecurityAlert a SecurityIncident , se ingestují a synchronizují s Microsoft Sentinelem bez poplatků. U všech ostatních datových typů z jednotlivých komponent Defenderu, jako jsou tabulky rozšířeného vyhledávání, DeviceInfo, DeviceFileEvents, EmailEvents atd., se příjem dat účtuje.
Další informace najdete v tématu Plánování nákladů a vysvětlení cen a fakturace služby Microsoft Sentinel.
Chování příjmu dat
Výstrahy vytvořené integrovanými produkty XDR v programu Defender se odesílají do XDR defenderu a seskupují se do incidentů. Výstrahy i incidenty procházejí do Microsoft Sentinelu prostřednictvím konektoru XDR v programu Defender.
Výjimkou tohoto procesu je Defender for Cloud. Máte možnost povolit službě Defender for Cloud zaměřený na tenanty, abyste mohli dostávat všechna upozornění a incidenty prostřednictvím Defender XDR, nebo udržet upozornění založená na předplatném a propagovat je na incidenty v produktu Microsoft Sentinel v Azure portal.
Dostupné možnosti a další informace najdete tady:
- Microsoft Defender for Cloud na portálu Microsoft Defender
- Zaznamenávání incidentů Microsoft Defender for Cloud pomocí integrace Microsoft Defender XDR
Pravidla vytváření incidentů Microsoftu
Aby nedocházelo k vytváření duplicitních incidentů pro stejná upozornění, je nastavení pravidel vytváření incidentů v programu Microsoft vypnuto pro produkty integrované v programu Defender XDR při připojování XDR v programu Defender. Mezi produkty integrované v programu Defender XDR patří Microsoft Defender for Identity, Microsoft Defender pro Office 365 a další. Pravidla vytváření incidentů Microsoftu se také na portálu Defender nepodporují, protože portál Defender má svůj vlastní modul pro vytváření incidentů. Tato změna má následující potenciální dopady:
Filtrování výstrah Pravidla vytváření incidentů v Microsoft Sentinelu umožňují filtrovat výstrahy, které se použijí k vytváření incidentů. Pokud jsou tato pravidla zakázaná, zachovejte funkci filtrování výstrah konfigurací ladění výstrah na portálu Microsoft Defenderu nebo pomocí pravidel automatizace k potlačení nebo zavření incidentů, které nechcete.
Názvy incidentů. S povoleným konektorem XDR v programu Defender už nemůžete předem určit názvy incidentů. Korelační modul Defender XDR dohlíží na vytváření incidentů a automaticky pojmenuje incidenty, které vytvoří. Tato změna může ovlivnit všechna pravidla automatizace, která jste vytvořili, která používají název incidentu jako podmínku. Abyste se této úskali, použijte kritéria jiná než název incidentu jako podmínky pro aktivaci pravidel automatizace. Doporučujeme používat značky.
Plánovaná analytická pravidla Pokud používáte pravidla vytváření incidentů služby Microsoft Sentinel pro jiná řešení zabezpečení nebo produkty, které nejsou integrované do XDR v programu Defender, jako je Správa insiderských rizik Microsoft Purview, a plánujete připojit se k portálu Defender, nahraďte pravidla vytváření incidentů naplánovanými analytickými pravidly.
Práce s incidenty XDR v Microsoft Defenderu v Microsoft Sentinelu a obousměrná synchronizace
Incidenty Defender XDR se zobrazují ve frontě incidentů Microsoft Sentinelu s názvem Microsoft Defender XDR a s podobnými podrobnostmi a funkcionalitou jako všechny ostatní incidenty Microsoft Sentinelu. Každý incident obsahuje odkaz zpět na paralelní incident na portálu Microsoft Defenderu.
S tím, jak se incident vyvíjí v XDR v programu Defender a do něj se přidají další výstrahy nebo entity, se incident Microsoft Sentinel odpovídajícím způsobem aktualizuje.
Změny provedené v určitých polích nebo atributech incidentu v Defender XDR nebo Microsoft Sentinel se odpovídajícím způsobem aktualizují ve frontě incidentů druhého programu. Synchronizace na obou portálech probíhá okamžitě po provedení změny incidentu, bez jakéhokoliv zpoždění. Aktualizace se může vyžadovat, aby se zobrazily nejnovější změny.
Následující pole se synchronizují mezi incidenty na portálu Defender a v Microsoft Sentinelu na webu Azure Portal:
- Titulek
- Popis
- ProductName
- Závažnost
- Vlastní značky
- Další data
- Komentáře (pouze nové)
- Poslední úprava provedena kým
Během synchronizace se transformují následující pole, aby jejich hodnoty odpovídaly schématu jednotlivých platforem:
| Pole | Hodnota na portálu Defender | Hodnota v Microsoft Sentinelu |
|---|---|---|
| Stav | ||
| Aktivní | Nové | |
|
Klasifikace/ Důvod klasifikace |
||
| Pravdivě pozitivní/ jakýkoli |
Pravdivě pozitivní/ Podezřelá aktivita |
|
| Falešně pozitivní/ jakýkoli |
Falešně pozitivní/ Nepřesná data |
|
| není k dispozici | Falešně pozitivní/ Nepřesná logika upozornění |
|
| Neškodné pozitivní/ Informační očekávaná aktivita |
Neškodné pozitivní/ Podezřelé, ale očekávané |
|
| Nenastaveno | Neurčeno |
V programu Defender XDR se všechna upozornění z jednoho incidentu dají přenést do jiného, což vede ke sloučení incidentů. Když k tomuto sloučení dojde, incidenty Microsoft Sentinelu odrážejí změny. Jeden incident zahrnuje všechna upozornění z obou původních incidentů a druhý incident se automaticky zavře s přidanou značkou "přesměrováno".
Poznámka:
Incidenty v Microsoft Sentinelu můžou obsahovat maximálně 150 výstrah. Incidenty Defender XDR mohou obsahovat více než toto. Pokud se incident Defenderu XDR s více než 150 upozorněními synchronizuje do Microsoft Sentinelu, zobrazí se incident v Microsoft Sentinelu jako mající "150+" upozornění a poskytuje odkaz na paralelní incident v Defenderu XDR, kde vidíte úplnou sadu upozornění.
Pokročilý sběr událostí pokročilého vyhledávání
Konektor Defender XDR také umožňuje streamovat pokročilé vyhledávací události—typ nezpracovaných dat událostí—z Defender XDR a jeho součástí služeb do Microsoft Sentinel. Shromážděte pokročilé události proaktivního vyhledávání ze všech komponent XDR v programu Defender a streamujte je přímo do účelově integrovaných tabulek v pracovním prostoru Microsoft Sentinelu. Tyto tabulky jsou založené na stejném schématu, které se používá na portálu Defender, a poskytují úplný přístup k úplné sadě pokročilých událostí proaktivního vyhledávání a umožňují následující úlohy:
Snadno zkopírujte stávající dotazy Microsoft Defenderu for Endpoint/ Office 365/Identity/Cloud Apps pro pokročilé proaktivní vyhledávání do Microsoft Sentinelu.
Pomocí nezpracovaných protokolů událostí můžete poskytovat další přehledy pro vaše výstrahy, proaktivní vyhledávání a prošetření a korelovat tyto události s událostmi z jiných zdrojů dat v Microsoft Sentinelu.
Uložte protokoly se zvýšenou dobou uchovávání, nad rámec výchozí doby uchovávání 30 dnů v systému Defender XDR. Můžete to udělat tak, že nakonfigurujete uchovávání pracovního prostoru nebo nakonfigurujete uchovávání jednotlivých tabulek v Log Analytics.
Vytvoření vlastních pravidel detekce
Vlastní detekce v Microsoft Defender jsou teď nejlepším způsobem, jak vytvářet nová pravidla v rámci řešení Microsoft Sentinel Security Information and Event Management (SIEM) a Microsoft Defender XDR. Podporuje jednotné prostředí centra operací zabezpečení (SOC) na portálu Defender a poskytuje větší příležitost k vylepšením.
S vlastními detekcemi můžete snížit náklady na příjem dat, získat neomezený počet detekcí v reálném čase a využívat výhod bezproblémové integrace s Defender XDR daty, funkcemi a nápravnými akcemi s automatickým mapováním entit. Uživatelé Microsoft Sentinelu můžou stále používat analytická pravidla, ale doporučujeme jim používat vlastní detekce, aby mohli využívat nejnovější inovace.
Související obsah
V tomto dokumentu jste se seznámili s výhodami povolení konektoru XDR v programu Defender v Microsoft Sentinelu.
- Připojení dat z XDR v programu Microsoft Defender k Microsoft Sentinelu
- Pokud chcete používat Microsoft Sentinel na portálu Defender, přečtěte si téma Připojení Microsoft Sentinelu k portálu Microsoft Defender.
- Zkontrolujte dostupnost různých datových typů XDR v programu Microsoft Defender v různých cloudech Microsoft 365 a Azure.