Verbinden Daten von Microsoft Defender XDR zu Microsoft Sentinel
Der Microsoft Defender XDR-Connector von Microsoft Sentinel mit Der Integration von Vorfällen ermöglicht es Ihnen, alle Microsoft Defender XDR-Vorfälle und Warnungen in Microsoft Sentinel zu streamen und die Vorfälle zwischen beiden Portalen zu synchronisieren. Microsoft Defender XDR-Vorfälle umfassen alle Benachrichtigungen, Entitäten und andere relevante Informationen. Sie umfassen auch Warnungen von Microsoft Defender XDR-Komponentendiensten Microsoft Defender für Endpunkt, Microsoft Defender for Identity, Microsoft Defender für Office 365 und Microsoft Defender für Cloud-Apps sowie Warnungen von anderen Diensten wie Microsoft Purview Data Loss Prevention und Microsoft Entra ID Protection. Der Microsoft Defender XDR-Connector bringt auch Vorfälle aus Microsoft Defender für Cloud mit sich, obwohl Sie Warnungen und Entitäten aus diesen Vorfällen synchronisieren möchten, müssen Sie den Microsoft Defender für Cloud-Connector aktivieren, andernfalls werden Ihre Microsoft Defender für Cloud-Vorfälle leer angezeigt. Erfahren Sie mehr über die verfügbaren Connectors für Microsoft Defender für Cloud.
Mit dem Connector können Sie auch Ereignisse aus der erweiterten Bedrohungssuche von allen oben genannten Defender-Komponenten an Microsoft Sentinel streamen. So können Sie die Abfragen für die erweiterte Bedrohungssuche dieser Defender-Komponenten in Microsoft Sentinel kopieren, Sentinel-Warnungen mit den Ereignisrohdaten der Defender-Komponenten anreichern, um zusätzliche Erkenntnisse zu gewinnen, und die Protokolle mit einer längeren Aufbewahrungsdauer in Log Analytics speichern.
Weitere Informationen zur Vorfallintegration und zur Ereignissammlung der erweiterten Bedrohungssuche finden Sie unter Microsoft Defender XDR-Integration in Microsoft Sentinel.
Der Microsoft Defender XDR-Connector ist jetzt allgemein verfügbar.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Voraussetzungen
Sie müssen über eine gültige Lizenz für Microsoft Defender XDR verfügen, wie in den Voraussetzungen von Microsoft Defender XDR beschrieben.
Ihrem Benutzer muss die Rolle Globaler Administrator oder Sicherheitsadministrator für den Mandanten zugewiesen sein, von dem aus Sie die Protokolle streamen möchten.
Der Benutzer benötigt Lese- und Schreibberechtigungen für Ihren Microsoft Sentinel-Arbeitsbereich.
Um Änderungen an den Connectoreinstellungen vorzunehmen, müssen Benutzer*innen ein Mitglied desselben Microsoft Entra-Mandanten sein, dem Ihr Microsoft Sentinel-Arbeitsbereich zugeordnet ist.
Installieren Sie die Lösung für Microsoft Defender XDR aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Voraussetzungen für die Active Directory-Synchronisierung über MDI
Ihr Mandant muss in Microsoft Defender for Identity integriert sein.
Sie müssen den MDI-Sensor installiert haben.
Verbinden zu Microsoft Defender XDR
Wählen Sie in Microsoft Sentinel Datenconnectors aus, wählen Sie Microsoft Defender XDR aus dem Katalog und dann die Seite "Connector öffnen" aus.
Der Abschnitt Konfiguration verfügt über drei Teile:
Verbinden Vorfälle und Warnungen ermöglicht die grundlegende Integration zwischen Microsoft Defender XDR und Microsoft Sentinel, die Synchronisierung von Vorfällen und deren Warnungen zwischen den beiden Plattformen.
Connect-Entitäten ermöglicht die Integration von lokalen Active Directory-Benutzeridentitäten in Microsoft Sentinel über Microsoft Defender for Identity.
Connect-Ereignisse ermöglicht das Sammeln von rohen erweiterten Jagdereignissen aus Defender-Komponenten.
Diese werden weiter unten näher erläutert. Weitere Informationen finden Sie unter Microsoft Defender XDR-Integration in Microsoft Sentinel .
Verbinden Sie Vorfälle und Warnungen
Zum Aufnehmen und Synchronisieren von Microsoft Defender XDR-Vorfällen mit allen Benachrichtigungen mit Ihrer Microsoft Sentinel-Vorfallwarteschlange:
Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Alle Vorfallserstellungsregeln von Microsoft für diese Produkte deaktivieren. Empfohlen, damit Vorfälle nicht dupliziert werden.
(Dieses Kontrollkästchen wird nicht angezeigt, sobald der Microsoft Defender XDR-Connector verbunden ist.)Wählen Sie die Schaltfläche Verbinden Vorfälle und Warnungen aus.
Hinweis
Wenn Sie den Microsoft Defender XDR-Connector aktivieren, werden alle Microsoft Defender XDR-Komponentenconnectors (die am Anfang dieses Artikels Erwähnung) automatisch im Hintergrund verbunden. Um einen der Komponentenconnectors zu trennen, müssen Sie zuerst den Microsoft Defender XDR-Connector trennen.
Verwenden Sie zum Abfragen von Microsoft Defender XDR-Vorfalldaten die folgende Anweisung im Abfragefenster:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Entitäten verbinden
Verwenden Sie Microsoft Defender for Identity, um Benutzer-Entitäten aus Ihrem lokalen Active Directory mit Microsoft Sentinel zu synchronisieren.
Stellen Sie sicher, dass Sie die Voraussetzungen für die Synchronisierung lokaler Active Directory-Benutzer über Microsoft Defender for Identity (MDI) erfüllt haben.
Wählen Sie den Link Gehe zur UEBA-Konfigurationsseite.
Wenn Sie UEBA auf der Seite Konfiguration des Entitäts-Verhaltens noch nicht aktiviert haben, stellen Sie den Schalter oben auf der Seite auf Ein.
Aktivieren Sie das Kontrollkästchen Active Directory (Vorschau) und wählen Sie Anwenden.
Ereignisse verbinden
Wenn Sie erweiterte Suchereignisse von Microsoft Defender für Endpoint oder Microsoft Defender für Office 365 sammeln möchten, können die folgenden Ereignistypen aus den entsprechenden erweiterten Suchtabellen gesammelt werden.
Aktivieren Sie die Kontrollkästchen der Tabellen mit den Ereignistypen, die Sie erfassen möchten:
- Defender für Endpunkt
- Defender für Office 365
- Microsoft Defender for Identity
- Defender-für-Cloud-Apps
- Defender-Warnungen
Tabellenname Ereignistyp DeviceInfo Maschineninformationen, einschließlich Betriebssysteminformationen DeviceNetworkInfo Netzwerkeigenschaften von Geräten, einschließlich physischer Adapter, IP- und MAC-Adressen sowie verbundener Netzwerke und Domänen DeviceProcessEvents Prozesserstellung und zugehörige Ereignisse DeviceNetworkEvents Netzwerkverbindung und zugehörige Ereignisse DeviceFileEvents Dateierstellung, Änderung und andere Dateisystemereignisse DeviceRegistryEvents Erstellen und Ändern von Registrierungseinträgen DeviceLogonEvents Anmeldungen und andere Authentifizierungsereignisse auf Geräten DeviceImageLoadEvents DLL-Ladeereignisse DeviceEvents Mehrere Ereignistypen, einschließlich Ereignissen, die durch Sicherheitskontrollen wie Windows Defender Antivirus und Exploit-Schutz ausgelöst werden DeviceFileCertificateInfo Zertifikatsinformationen von signierten Dateien, die aus Zertifikatsüberprüfungsereignissen auf Endpunkten gewonnen werden Klicken Sie auf Apply Changes.
Zum Abfragen der erweiterten Huntingtabellen in Log Analytics geben Sie den Tabellennamen aus der Liste oben im Abfragefenster ein.
Überprüfen der Datenerfassung
Das Datendiagramm auf der Connectorseite weist darauf hin, dass Sie Daten erfassen. Wie Sie sehen können wird für Incidents, Warnungen und Ereignisse jeweils eine Zeile angezeigt. Bei der Ereigniszeile handelt es sich um eine Aggregation des Ereignisvolumens für alle aktivierten Tabellen. Sobald Sie den Connector aktiviert haben, können Sie die folgenden KQL-Abfragen verwenden, um spezifischere Graphen zu generieren.
Verwenden Sie die folgende KQL-Abfrage für ein Diagramm der eingehenden Microsoft Defender XDR-Vorfälle:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Verwenden Sie die folgenden KQL-Abfrage, um einen Graph des Ereignisvolumens für eine einzelne Tabelle zu erzeugen. Ändern Sie die Tabelle DeviceEvents in die erforderliche Tabelle Ihrer Wahl:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Auf der Registerkarte Next steps (Weitere Schritte) finden Sie hilfreiche Arbeitsmappen, Beispielabfragen und Vorlagen für Analyseregeln, die enthalten sind. Sie können sie sofort ausführen oder sie ändern und speichern.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Microsoft Defender XDR-Vorfälle und Erweiterte Suchereignisdaten von Microsoft Defender-Komponentendiensten mithilfe des Microsoft Defender XDR-Connectors in Microsoft Sentinel integrieren. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.