Teilen über


Integration von Microsoft Defender XDR mit Microsoft Sentinel

Integrieren Sie Microsoft Defender XDR mit Microsoft Sentinel, um alle Defender XDR-Incidents und erweiterte Bedrohungssuchereignisse in Microsoft Sentinel zu streamen und die Incidents und Ereignisse zwischen beiden Portalen zu synchronisieren. Incidents aus Defender XDR enthalten alle zugehörigen Warnungen, Entitäten und relevanten Informationen, die Ihnen genügend Kontext bieten, um Selektierungen und vorläufige Untersuchungen in Microsoft Sentinel durchzuführen. Sobald sie in Microsoft Sentinel vorhanden sind, bleiben Incidents bidirektional mit Defender XDR synchronisiert, sodass Sie die Vorteile beider Portale bei der Incidentuntersuchung nutzen können.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Produktionsverwendung unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Incidentkorrelation und Warnungen

Durch die Integration erhalten Defender XDR-Sicherheitsincidents die Sichtbarkeit, um innerhalb von Microsoft Sentinel verwaltet zu werden – als Teil der primären Incidentwarteschlange für die gesamte Organisation. Sehen und korrelieren Sie Defender XDR-Incidents zusammen mit Incidents aus allen anderen Cloud- und lokalen Systemen. Gleichzeitig profitieren Sie dank dieser Integration von den einzigartigen Vorteilen und Funktionen von Defender XDR für gründliche Untersuchungen und Defender-spezifischen Funktionen für das gesamte Microsoft 365-Ökosystem. Defender XDR reichert Warnmeldungen aus mehreren Microsoft Defender-Produkten an und gruppiert sie, wodurch sowohl die Größe der Warteschlange für Incidents des SOC reduziert als auch die Zeit zur Behebung verkürzt wird. Warnungen aus den folgenden Microsoft Defender-Produkten und -Diensten sind auch in der Integration von Defender XDR mit Microsoft Sentinel enthalten:

  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender für Office 365
  • Microsoft Defender für Cloud-Apps
  • Microsoft Defender-Sicherheitsrisikomanagement

Andere Dienste, deren Warnungen von Defender XDR gesammelt werden:

Der Defender XDR-Connector ruft auch Incidents von Microsoft Defender for Cloud ab. Zum Synchronisieren von Warnungen und Entitäten aus diesen Incidents müssen Sie den Microsoft Defender for Cloud-Connector aktivieren. Andernfalls werden für Microsoft Defender for Cloud-Incidents keine Einträge angezeigt. Weitere Informationen finden Sie unter Erfassen von Microsoft Defender for Cloud-Incidents mit der Microsoft Defender XDR-Integration.

Zusätzlich zur Erfassung von Warnungen von diesen Komponenten und weiteren Diensten generiert Defender XDR eigene Warnungen. Die Anwendung erstellt Incidents aus allen diesen Warnungen und sendet sie an Microsoft Sentinel.

Gängige Anwendungsfälle und -szenarios

Erwägen Sie die Integration von Defender XDR mit Microsoft Sentinel für die folgenden Anwendungsfälle und Szenarios:

  • Integrieren Sie Microsoft Sentinel im Microsoft Defender-Portal mit Unified Security Operations Platform. Das Aktivieren des Defender XDR-Connectors ist eine Voraussetzung. Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit Microsoft Defender XDR.

  • Aktivieren Sie die Ein-Klick-Verbindung von Defender XDR-Incidents, einschließlich aller Warnungen und Entitäten von Defender XDR-Komponenten, in Microsoft Sentinel.

  • Lassen Sie die bidirektionale Synchronisierung zwischen Sentinel- und Microsoft Defender XDR-Incidents bezüglich Status, Besitzer und Schließungsgrund zu.

  • Wenden Sie die Funktionen zur Gruppierung und Anreicherung von Defender XDR-Warnungen in Microsoft Sentinel an, wodurch sich die Time-to-Resolve verkürzt.

  • Erleichtern Sie Untersuchungen in beiden Portalen mit kontextbezogenen Deep Links zwischen einem Microsoft Sentinel-Incident und dem parallelen Defender XDR-Incident.

Weitere Informationen zu den Funktionen der Microsoft Sentinel-Integration mit Defender XDR in Unified Security Operations Platform finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Herstellen einer Verbindung mit Microsoft Defender XDR

Installieren Sie die Microsoft Defender XDR-Lösung für Microsoft Sentinel über den Inhaltshub. Aktivieren Sie dann den Microsoft Defender XDR-Datenconnector, um Incidents und Warnungen zu sammeln. Weitere Informationen finden Sie unter Verknüpfen von Daten aus Microsoft Defender XDR Defender mit Microsoft Sentinel.

Informationen zum Onboarding von Microsoft Sentinel in Unified Security Operations Platform im Defender-Portal finden Sie unter Verbinden von Microsoft Sentinel mit Microsoft Defender XDR.

Nachdem Sie die Erfassung von Warnungen und Incidents im Defender XDR Data Connector aktiviert haben, erscheinen Defender XDR Incidents in der Microsoft Sentinel Incident-Warteschlange, kurz nachdem sie in Defender XDR erzeugt wurden. In diesen Incidents enthält das Feld Produktname der Warnung den Namen von Microsoft Defender XDR oder den Namen einer der Defender-Dienstkomponenten.

  • Es kann bis zu zehn Minuten ab dem Zeitpunkt dauern, zu dem ein Incident in Defender XDR generiert wird, bis dieser in Microsoft Sentinel angezeigt wird.

  • Warnungen und Incidents von Defender XDR (die Elemente, die die Tabellen SecurityAlert und SecurityIncident füllen) werden kostenlos in Microsoft Sentinel erfasst und mit Microsoft Sentinel synchronisiert. Für alle anderen Datentypen aus einzelnen Defender-Komponenten (z. B. die Tabellen für erweiterte Bedrohungssuche wie DeviceInfo, DeviceFileEvents, EmailEvents usw.) wird die Erfassung in Rechnung gestellt.

  • Wenn der Defender XDR-Connector aktiviert ist, werden Warnungen, die von Defender XDR-integrierten Produkten erstellt wurden, an Defender XDR gesendet und in Incidents gruppiert. Sowohl die Warnungen als auch die Incidents gelangen über den Defender XDR-Connector in Microsoft Sentinel. Wenn Sie zuvor einen der einzelnen Komponentenconnectors aktiviert haben, erscheint dieser verbunden, obwohl er keine Daten überträgt.

    Die Ausnahme zu diesem Prozess ist Microsoft Defender for Cloud. Obwohl die Integration mit Defender XDR bedeutet, dass Sie Defender for Cloud-Incidents über Defender XDR erhalten, müssen Sie auch einen Microsoft Defender for Cloud-Connector aktiviert haben, um Defender for Cloud-Warnungen zu erhalten. Die verfügbaren Optionen und weitere Informationen finden Sie in den folgenden Artikeln:

  • Um die Erstellung von doppelten Incidents für dieselben Warnungenzu vermeiden, ist die Einstellung Microsoft-Incidenterstellungsregeln für Defender XDR-integrierte Produkte beim Verknüpfen von Defender XDR deaktiviert. Dies liegt daran, dass Defender XDR über eigene Vorfallerstellungsregeln verfügt. Diese Änderung hat die folgenden potenziellen Auswirkungen:

    • Mit den Vorfallerstellungsregeln von Microsoft Sentinel können Sie die Warnungen filtern, die zum Erstellen von Vorfällen verwendet würden. Wenn diese Regeln deaktiviert sind, können Sie die Warnfilterfunktion beibehalten, indem Sie die Warnoptimierung im Microsoft Defender-Portal konfigurieren oder Automatisierungsregeln verwenden, um unerwünschte Incidents zu unterdrücken bzw. zu schließen.

    • Sie können die Titel von Incidents nicht mehr vorab festlegen, da das Defender XDR-Korrelationsmodul die Erstellung von Incidents kontrolliert und automatisch die von ihr erstellten Incidents benennt. Diese Änderung kann sich auf alle von Ihnen erstellten Automatisierungsregeln auswirken, die den Incidentnamen als Bedingung verwenden. Um diesen Fall zu vermeiden, verwenden Sie andere Kriterien als den Incidentnamen als Bedingungen für das Auslösen von Automatisierungsregeln. Es wird empfohlen, Tags zu verwenden.

Arbeit mit Microsoft Defender XDR-Incidents in Microsoft Sentinel und der bidirektionalen Synchronisierung

Defender XDR-Incidents werden in der Microsoft Sentinel-Incidentwarteschlange mit dem Produktnamen Microsoft Defender XDR und mit ähnlichen Details und Funktionen wie alle anderen Microsoft Sentinel-Incidents angezeigt. Jeder Incident enthält einen Link, der zurück zum parallelen Incident im Microsoft Defender-Portal führt.

Wenn sich der Incident in Defender XDR weiterentwickelt und weitere Warnungen oder Entitäten hinzugefügt werden, wird der Microsoft Sentinel-Incident entsprechend aktualisiert.

Änderungen am Status, am Schließungsgrund oder an der Zuweisung eines Defender XDR-Incidents, die entweder in Defender XDR oder in Microsoft Sentinel vorgenommen werden, werden auch in der Warteschlange des jeweils anderen Incidents entsprechend aktualisiert. Die Synchronisierung erfolgt in beiden Portalen ohne Verzögerung sofort nach der Änderung des Incidents. Möglicherweise ist eine Aktualisierung erforderlich, damit die neuesten Änderungen angezeigt werden.

In Defender XDR können alle Warnungen aus einem Incident in einen anderen übertragen werden, was zu einer Zusammenführung der Incidents führt. Wenn diese Zusammenführung erfolgt, spiegeln die Microsoft Sentinel-Incidents die Änderungen wider. Ein Incident enthält alle Warnungen der beiden ursprünglichen Incidents, und der andere Incident wird automatisch geschlossen und mit dem Tag „umgeleitet“ versehen.

Hinweis

Incidents in Microsoft Sentinel können maximal 150 Warnungen enthalten. Defender XDR-Incidents können mehr als das enthalten. Wenn ein Defender XDR-Incident mit mehr als 150 Warnungen mit Microsoft Sentinel synchronisiert wird, wird der Microsoft Sentinel-Incident als mit „150+“ Warnungen angezeigt und enthält einen Link zum parallelen Incident in Defender XDR, wo Sie alle Warnungen sehen können.

Auflistung erweiterter Huntingereignisse

Mit dem Defender XDR-Connector können Sie auch erweiterte Bedrohungssuchereignisse, eine Art von Ereignisrohdaten, aus Defender XDR und den zugehörigen Komponentendiensten in Microsoft Sentinel streamen. Sammeln Sie erweiterte Bedrohungssuchereignisse aus allen Defender XDR-Komponenten, und streamen Sie sie direkt in zweckgebundene Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich. Diese Tabellen basieren auf demselben Schema, das im Defender-Portal verwendet wird. Dadurch erhalten Sie vollständigen Zugriff auf alle erweiterten Bedrohungssuchereignisse und können Folgendes tun:

  • Einfaches Kopieren von vorhandenen erweiterten Huntingabfragen für Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps in Microsoft Sentinel

  • Verwenden der unformatierten Ereignisprotokolle, um weitere Erkenntnisse für Ihre Warnungen, das Hunting und die Untersuchung zu gewinnen, und diese Ereignisse mit Ereignissen aus anderen Datenquellen in Microsoft Sentinel zu korrelieren

  • Aufbewahrung von Protokollen über die Standardaufbewahrungsdauer von 30 Tagen hinaus in Defender XDR oder zugehörigen Komponenten durch Konfigurieren der Aufbewahrungsdauer Ihres Arbeitsbereichs oder der tabellenweisen Aufbewahrung in Log Analytics

Nächste Schritte

In dieser Dokumentation haben Sie den Vorteil der Verwendung von Defender XDR zusammen mit Microsoft Sentinel gelernt, indem Sie den Defender XDR-Connector in Microsoft Sentinel aktivieren.