Teilen über

Integration von Microsoft Defender XDR mit Microsoft Sentinel

  • Artikel
  • Gilt für:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Integrieren Sie Microsoft Defender XDR mit Microsoft Sentinel, um alle Defender XDR-Incidents und erweiterte Bedrohungssuchereignisse in Microsoft Sentinel zu streamen und die Incidents und Ereignisse zwischen den Azure und Microsoft Defender-Portalen zu synchronisieren. Incidents aus Defender XDR enthalten alle zugehörigen Warnungen, Entitäten und relevanten Informationen, die Ihnen genügend Kontext bieten, um Selektierungen und vorläufige Untersuchungen in Microsoft Sentinel durchzuführen. Sobald sie in Microsoft Sentinel vorhanden sind, bleiben Incidents bidirektional mit Defender XDR synchronisiert, sodass Sie die Vorteile beider Portale bei der Incidentuntersuchung nutzen können.

Alternativ können Sie Microsoft Sentinel mit Defender XDR in die einheitliche Sicherheitsoperationsplattform im Defender-Portal integrieren. Die einheitliche Sicherheitsoperationsplattform vereint die vollständigen Funktionen von Microsoft Sentinel, Defender XDR und generativen KI, die speziell für Cybersicherheit entwickelt wurden. Weitere Informationen finden Sie in den folgenden Ressourcen:

Microsoft Sentinel und Defender XDR

Benutzen Sie eine der folgenden Methoden, um Microsoft Sentinel in Microsoft Defender XDR-Dienste zu integrieren:

  • Nehmen Sie Microsoft Defender XDR-Dienstdaten in Microsoft Sentinel auf und zeigen Sie Microsoft Sentinel-Daten im Azure-Portal an. Aktivieren Sie den Defender XDR-Connector in Microsoft Sentinel.

  • Integrieren Sie Microsoft Sentinel und Defender XDR in eine einzige einheitliche Sicherheitsoperationsplattform im Microsoft Defender-Portal. Zeigen Sie in diesem Fall Microsoft Sentinel-Daten direkt im Microsoft Defender-Portal mit den restlichen Defender-Vorfällen, Warnungen, Sicherheitsrisiken und anderen Sicherheitsdaten an. Aktivieren Sie den Defender XDR-Connector in Microsoft Sentinel, und integrieren Sie Microsoft Sentinel in die einheitliche Operations-Plattform im Defender-Portal.

Wählen Sie die entsprechende Registerkarte aus, um zu sehen, wie die Microsoft Sentinel-Integration in Defender XDR aussieht, je nachdem, welche Integrationsmethode Sie verwenden.

Die folgende Abbildung zeigt, wie sich die XDR-Lösung von Microsoft nahtlos in Microsoft Sentinel integriert.

Diagramm der Integration von Microsoft Sentinel und Microsoft XDR.

In diesem Diagramm:

  • Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
  • Microsoft Defender XDR und Microsoft Defender for Cloud senden SIEM-Protokolldaten über Microsoft Sentinel-Connectors.
  • SecOps-Teams können dann Bedrohungen analysieren und auf die Bedrohungen reagieren, die in Microsoft Sentinel und Microsoft Defender XDR identifiziert wurden.
  • Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.

Incidentkorrelation und Warnungen

Mit der Integration von Defender XDR mit Microsoft Sentinel sind Defender XDR-Vorfälle innerhalb von Microsoft Sentinel sichtbar und verwaltbar. Dadurch erhalten Sie eine primäre Vorfallwarteschlange in der gesamten Organisation. Sehen und korrelieren Sie Defender XDR-Incidents zusammen mit Incidents aus allen anderen Cloud- und lokalen Systemen. Gleichzeitig profitieren Sie dank dieser Integration von den einzigartigen Vorteilen und Funktionen von Defender XDR für gründliche Untersuchungen und Defender-spezifischen Funktionen für das gesamte Microsoft 365-Ökosystem.

Defender XDR reichert Warnmeldungen aus mehreren Microsoft Defender-Produkten an und gruppiert sie, wodurch sowohl die Größe der Warteschlange für Incidents des SOC reduziert als auch die Zeit zur Behebung verkürzt wird. Warnungen aus den folgenden Microsoft Defender-Produkten und -Diensten sind auch in der Integration von Defender XDR mit Microsoft Sentinel enthalten:

  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender für Office 365
  • Microsoft Defender für Cloud-Apps
  • Microsoft Defender-Sicherheitsrisikomanagement

Andere Dienste, deren Warnungen von Defender XDR gesammelt werden:

Der Defender XDR-Connector ruft auch Incidents von Microsoft Defender for Cloud ab. Zum Synchronisieren von Warnungen und Entitäten aus diesen Vorfällen müssen Sie den Defender for Cloud-Connector in Microsoft Sentinel aktivieren. Andernfalls werden für Defender for Cloud-Vorfälle keine Einträge angezeigt. Weitere Informationen finden Sie unter Erfassen von Microsoft Defender for Cloud-Incidents mit der Microsoft Defender XDR-Integration.

Zusätzlich zur Erfassung von Warnungen von diesen Komponenten und weiteren Diensten generiert Defender XDR eigene Warnungen. Die Anwendung erstellt Incidents aus allen diesen Warnungen und sendet sie an Microsoft Sentinel.

Gängige Anwendungsfälle und -szenarios

Erwägen Sie die Integration von Defender XDR mit Microsoft Sentinel für die folgenden Anwendungsfälle und Szenarios:

  • Integrieren Sie Microsoft Sentinel im Microsoft Defender-Portal mit Unified Security Operations Platform. Das Aktivieren des Defender XDR-Connectors ist eine Voraussetzung.

  • Aktivieren Sie die Ein-Klick-Verbindung von Defender XDR-Incidents, einschließlich aller Warnungen und Entitäten von Defender XDR-Komponenten, in Microsoft Sentinel.

  • Lassen Sie die bidirektionale Synchronisierung zwischen Sentinel- und Microsoft Defender XDR-Incidents bezüglich Status, Besitzer und Schließungsgrund zu.

  • Wenden Sie die Funktionen zur Gruppierung und Anreicherung von Defender XDR-Warnungen in Microsoft Sentinel an, wodurch sich die Time-to-Resolve verkürzt.

  • Erleichtern Sie Untersuchungen in beiden Portalen mit kontextbezogenen Deep Links zwischen einem Microsoft Sentinel-Incident und dem parallelen Defender XDR-Incident.

Weitere Informationen zu den Funktionen der Microsoft Sentinel-Integration mit Defender XDR in Unified Security Operations Platform finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Herstellen einer Verbindung mit Microsoft Defender XDR

Aktivieren Sie den Microsoft Defender XDR-Connector in Microsoft Sentinel, um alle Defender XDR-Vorfälle und Warnungsinformationen an Microsoft Sentinel zu senden und die Vorfälle zu synchronisieren.

  • Zuerst installieren Sie die Microsoft Defender XDR-Lösung für Microsoft Sentinel über den Inhaltshub. Aktivieren Sie dann den Microsoft Defender XDR-Datenconnector, um Incidents und Warnungen zu sammeln. Weitere Informationen finden Sie unter Verknüpfen von Daten aus Microsoft Defender XDR Defender mit Microsoft Sentinel.

  • Nachdem Sie die Erfassung von Warnungen und Incidents im Defender XDR Data Connector aktiviert haben, erscheinen Defender XDR Incidents in der Microsoft Sentinel Incident-Warteschlange, kurz nachdem sie in Defender XDR erzeugt wurden. Es kann bis zu zehn Minuten ab dem Zeitpunkt dauern, zu dem ein Incident in Defender XDR generiert wird, bis dieser in Microsoft Sentinel angezeigt wird. In diesen Incidents enthält das Feld Produktname der Warnung den Namen von Microsoft Defender XDR oder den Namen einer der Defender-Dienstkomponenten.

  • Informationen zum Onboarding Ihres Microsoft Sentinel Arbeitsbereichs in Unified Security Operations Platform im Defender-Portal finden Sie unter Verbinden von Microsoft Sentinel mit Microsoft Defender XDR.

Kosten für die Aufnahme

Warnungen und Incidents von Defender XDR (einschließlich der Elemente, die die Tabellen SecurityAlert und SecurityIncident füllen) werden kostenlos in Microsoft Sentinel erfasst und mit Microsoft Sentinel synchronisiert. Für alle anderen Datentypen aus einzelnen Defender-Komponenten (z. B. die Tabellen für erweiterte Bedrohungssuche wie DeviceInfo, DeviceFileEvents, EmailEvents usw.) wird die Erfassung in Rechnung gestellt. Weitere Informationen finden Sie unter Planen der Kosten und Verstehen der Preise und Abrechnungen für Microsoft Sentinel.

Datenaufnahmeverhalten

Wenn der Defender XDR-Connector aktiviert ist, werden Warnungen, die von Defender XDR-integrierten Produkten erstellt wurden, an Defender XDR gesendet und in Incidents gruppiert. Sowohl die Warnungen als auch die Incidents gelangen über den Defender XDR-Connector in Microsoft Sentinel. Wenn Sie zuvor einen der einzelnen Komponentenconnectors aktiviert haben, erscheint dieser verbunden, obwohl er keine Daten überträgt.

Die Ausnahme zu diesem Prozess ist Microsoft Defender for Cloud. Obwohl die Integration mit Defender XDR bedeutet, dass Sie Defender for Cloud-Incidents über Defender XDR erhalten, müssen Sie auch einen Microsoft Defender for Cloud-Connector aktiviert haben, um Defender for Cloud-Warnungen zu erhalten. Die verfügbaren Optionen und weitere Informationen finden Sie in den folgenden Artikeln:

Microsoft-Regeln zum Erstellen von Incidents

Um die Erstellung von doppelten Incidents für dieselben Warnungenzu vermeiden, ist die Einstellung Microsoft-Incidenterstellungsregeln für Defender XDR-integrierte Produkte beim Verknüpfen von Defender XDR deaktiviert. Zu den integrierten Produkten von Defender XDR gehören Microsoft Defender for Identity, Microsoft Defender für Office 365 und mehr. Microsoft-Regeln zur Erstellung von Incidents werden auf der einheitlichen Security Operations-Plattform auch nicht unterstützt. Defender XDR verfügt über eigene Vorfallerstellungsregeln. Diese Änderung hat die folgenden potenziellen Auswirkungen:

  • Mit den Vorfallerstellungsregeln von Microsoft Sentinel können Sie die Warnungen filtern, die zum Erstellen von Vorfällen verwendet würden. Wenn diese Regeln deaktiviert sind, können Sie die Warnfilterfunktion beibehalten, indem Sie die Warnoptimierung im Microsoft Defender-Portal konfigurieren oder Automatisierungsregeln verwenden, um unerwünschte Incidents zu unterdrücken bzw. zu schließen.

  • Nachdem Sie den Defender XDR-Connector aktiviert haben, können Sie die Titel von Vorfällen nicht mehr vorab festlegen. Das Defender XDR-Korrelationsmodul präsidiert die Erstellung von Vorfällen und benennt die von ihr erzeugten Vorfälle automatisch. Diese Änderung kann sich auf alle von Ihnen erstellten Automatisierungsregeln auswirken, die den Incidentnamen als Bedingung verwenden. Um diesen Fall zu vermeiden, verwenden Sie andere Kriterien als den Incidentnamen als Bedingungen für das Auslösen von Automatisierungsregeln. Es wird empfohlen, Tags zu verwenden.

  • Wenn Sie die Sicherheitsvorfallerstellungsregeln von Microsoft Sentinel für andere Microsoft-Sicherheitslösungen oder Produkte verwenden, die nicht in Defender XDR integriert sind, z. B. Microsoft Purview Insider Risk Management, und Sie beabsichtigen, die einheitliche Plattform für Sicherheitsvorgänge im Defender-Portal zu integrieren, ersetzen Sie Ihre Regeln zur Erstellung von Vorfällen durch geplante Analyseregeln.

Arbeit mit Microsoft Defender XDR-Incidents in Microsoft Sentinel und der bidirektionalen Synchronisierung

Defender XDR-Incidents werden in der Microsoft Sentinel-Incidentwarteschlange mit dem Produktnamen Microsoft Defender XDR und mit ähnlichen Details und Funktionen wie alle anderen Microsoft Sentinel-Incidents angezeigt. Jeder Incident enthält einen Link, der zurück zum parallelen Incident im Microsoft Defender-Portal führt.

Wenn sich der Incident in Defender XDR weiterentwickelt und weitere Warnungen oder Entitäten hinzugefügt werden, wird der Microsoft Sentinel-Incident entsprechend aktualisiert.

Änderungen am Status, am Schließungsgrund oder an der Zuweisung eines Defender XDR-Incidents, die entweder in Defender XDR oder in Microsoft Sentinel vorgenommen werden, werden auch in der Warteschlange des jeweils anderen Incidents entsprechend aktualisiert. Die Synchronisierung erfolgt in beiden Portalen ohne Verzögerung sofort nach der Änderung des Incidents. Möglicherweise ist eine Aktualisierung erforderlich, damit die neuesten Änderungen angezeigt werden.

In Defender XDR können alle Warnungen aus einem Incident in einen anderen übertragen werden, was zu einer Zusammenführung der Incidents führt. Wenn diese Zusammenführung erfolgt, spiegeln die Microsoft Sentinel-Incidents die Änderungen wider. Ein Incident enthält alle Warnungen der beiden ursprünglichen Incidents, und der andere Incident wird automatisch geschlossen und mit dem Tag „umgeleitet“ versehen.

Hinweis

Incidents in Microsoft Sentinel können maximal 150 Warnungen enthalten. Defender XDR-Incidents können mehr als das enthalten. Wenn ein Defender XDR-Incident mit mehr als 150 Warnungen mit Microsoft Sentinel synchronisiert wird, wird der Microsoft Sentinel-Incident als mit „150+“ Warnungen angezeigt und enthält einen Link zum parallelen Incident in Defender XDR, wo Sie alle Warnungen sehen können.

Auflistung erweiterter Huntingereignisse

Mit dem Defender XDR-Connector können Sie auch erweiterte Bedrohungssuchereignisse, eine Art von Ereignisrohdaten, aus Defender XDR und den zugehörigen Komponentendiensten in Microsoft Sentinel streamen. Sammeln Sie erweiterte Bedrohungssuchereignisse aus allen Defender XDR-Komponenten, und streamen Sie sie direkt in zweckgebundene Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich. Diese Tabellen bauen auf dem gleichen Schema auf, das im Defender-Portal verwendet wird, wodurch Sie vollständigen Zugriff auf die gesamte Reihe erweiterter Huntingereignisse erhalten und Folgendes erledigen können:

  • Einfaches Kopieren von vorhandenen erweiterten Huntingabfragen für Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps in Microsoft Sentinel

  • Verwenden der unformatierten Ereignisprotokolle, um weitere Erkenntnisse für Ihre Warnungen, das Hunting und die Untersuchung zu gewinnen, und diese Ereignisse mit Ereignissen aus anderen Datenquellen in Microsoft Sentinel zu korrelieren

  • Aufbewahrung von Protokollen über die Standardaufbewahrungsdauer von 30 Tagen hinaus in Defender XDR oder zugehörigen Komponenten durch Konfigurieren der Aufbewahrungsdauer Ihres Arbeitsbereichs oder der tabellenweisen Aufbewahrung in Log Analytics

Zugehöriger Inhalt

In diesem Dokument haben Sie die Vorteile der Aktivierung des Defender XDR-Connectors in Microsoft Sentinel kennengelernt.