Integration von Microsoft Defender XDR mit Microsoft Sentinel

  • Artikel

Die Integration von Microsoft Defender XDR-Incidents mit Microsoft Sentinel ermöglicht es Ihnen, alle Microsoft Defender XDR-Incidents in Microsoft Sentinel zu streamen und sie zwischen beiden Portalen synchron zu halten. Incidents aus Microsoft Defender XDR enthalten alle zugehörigen Warnungen, Entitäten und relevanten Informationen, die Ihnen genügend Kontext bieten, um Selektierungen und vorläufige Untersuchungen in Microsoft Sentinel durchzuführen. Sobald sie in Sentinel vorhanden sind, bleiben Incidents bidirektional mit Microsoft Defender XDR synchronisiert, sodass Sie die Vorteile beider Portale bei der Incidentuntersuchung nutzen können.

Durch diese Integration können Microsoft 365-Sicherheitsincidents innerhalb von Microsoft Sentinel als Teil der primären Warteschlange für Incidents in der gesamten Organisation verwaltet werden, sodass Sie Microsoft 365-Incidents zusammen mit denen aus allen anderen Cloud- und lokalen Systemen einsehen und korrelieren können. Gleichzeitig profitieren Sie von den einzigartigen Vorteilen und Funktionen von Microsoft Defender XDR für gründliche Untersuchungen und Microsoft 365-spezifischen Funktionen für das gesamte Microsoft 365-Ökosystem. Microsoft Defender XDR reichert Warnmeldungen aus mehreren Microsoft 365-Produkten an und gruppiert sie, wodurch sowohl die Größe der Warteschlange für Incidents des SOC reduziert als auch die Zeit zur Behebung verkürzt wird. Die folgenden Komponentendienste sind Teil des Microsoft Defender XDR-Stapels:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender für Office 365
  • Microsoft Defender für Cloud-Apps
  • Microsoft Defender für Cloud

Andere Dienste, deren Warnungen von Microsoft Defender XDR gesammelt werden:

Zusätzlich zur Erfassung von Warnungen von diesen Komponenten und weiteren Diensten generiert Microsoft Defender XDR eigene Warnungen. Die Anwendung erstellt Incidents aus allen diesen Warnungen und sendet sie an Microsoft Sentinel.

Gängige Anwendungsfälle und -szenarios

  • Das Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform im Microsoft Defender-Portal, wobei die Aktivierung der Microsoft Defender XDR-Integration ein erforderlicher früher Schritt ist.

  • Ein-Klick-Verbindung von Microsoft Defender XDR-Incidents, einschließlich aller Warnungen und Entitäten von Microsoft Defender XDR-Komponenten, mit Microsoft Sentinel

  • Bidirektionale Synchronisierung zwischen Sentinel- und Microsoft Defender XDR-Incidents bezüglich Status, Besitzer und Schließungsgrund

  • Anwendung der Funktionen zur Gruppierung und Anreicherung von Microsoft Defender XDR-Warnungen in Microsoft Sentinel, wodurch sich die Zeit der Problembehandlung verkürzt

  • Kontextbezogener Deep Link zwischen einem Microsoft Sentinel-Incident und seinem parallelen Microsoft Defender XDR-Incident, um die portalübergreifende Untersuchung zu erleichtern

Herstellen einer Verbindung mit Microsoft Defender XDR

(„Microsoft Defender XDR-Vorfälle und Microsoft-Regeln zur Vorfallerstellung“ wird hierhin umgeleitet.)

Installieren Sie die Microsoft Defender XDR-Lösung für Microsoft Sentinel, und aktivieren Sie den Microsoft Defender XDR-Datenconnector zum Sammeln von Incidents und Warnungen. Microsoft Defender XDR-Vorfälle erscheinen in der Microsoft Sentinel-Vorfallwarteschlange mit Microsoft Defender XDR (oder einem der Namen der Komponentendienste) im Feld Warnproduktname, kurz nachdem sie in Microsoft Defender XDR generiert wurden.

  • Es kann bis zu zehn Minuten ab dem Zeitpunkt dauern, zu dem ein Incident in Microsoft Defender XDR generiert wird, bis dieser in Microsoft Sentinel angezeigt wird.

  • Warnungen und Incidents von Microsoft Defender XDR (die Elemente, die die Tabellen SecurityAlert und SecurityIncident füllen) werden kostenlos in Microsoft Sentinel erfasst und mit Microsoft Sentinel synchronisiert. Für alle anderen Datentypen aus einzelnen Defender-Komponenten (z. B. die Advanced Hunting-Tabellen DeviceInfo, DeviceFileEvents, EmailEvents usw.) wird die Erfassung in Rechnung gestellt.

  • Wenn der Microsoft Defender XDR-Connector aktiviert ist, werden Warnungen, die von ihren Komponentendiensten (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps, Microsoft Entra ID Protection) erstellt wurden, an Microsoft Defender XDR gesendet und in Vorfälle gruppiert. Sowohl die Warnungen als auch die Vorfälle werden über den Microsoft Defender XDR-Connector an Microsoft Sentinel fließen. Wenn Sie zuvor einen der einzelnen Komponentenconnectors aktiviert haben, wird er scheinbar verbunden bleiben, obwohl keine Daten durch ihn fließen.

    Die Ausnahme zu diesem Prozess ist Microsoft Defender for Cloud. Obwohl die Integration in Microsoft Defender XDR bedeutet, dass Sie Defender for Cloud-Vorfälle über Defender XDR erhalten, müssen Sie auch einen Microsoft Defender for Cloud-Connector aktiviert haben, um Defender for Cloud-Warnungen zu erhalten. Die verfügbaren Optionen und weitere Informationen finden Sie unter Erfassen von Microsoft Defender for Cloud-Vorfällen mit der Microsoft Defender XDR-Integration.

  • Um die Erstellung doppelter Vorfälle für dieselben Warnungen zu vermeiden, werden Microsoft-Vorfallerstellungsregeln für integrierte Microsoft Defender XDR-Produkte (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps und Microsoft Entra ID Protection) deaktiviert, wenn sie eine Verbindung mit Microsoft Defender XDR herstellen. Dies liegt daran, dass Defender XDR über eigene Vorfallerstellungsregeln verfügt. Diese Änderung hat die folgenden potenziellen Auswirkungen:

    • Mit den Vorfallerstellungsregeln von Microsoft Sentinel können Sie die Warnungen filtern, die zum Erstellen von Vorfällen verwendet würden. Wenn diese Regeln deaktiviert sind, können Sie die Warnfilterfunktion beibehalten, indem Sie die Warnoptimierung im Microsoft Defender-Portal konfigurieren oder Automatisierungsregeln verwenden, um Vorfälle zu unterdrücken (schließen), die Sie nicht erstellt haben wollten.

    • Sie können die Titel von Vorfällen nicht mehr vorab festlegen, da das Microsoft Defender XDR-Korrelationsmodul die Erstellung von Vorfällen kontrolliert und automatisch die von ihr erstellten Vorfälle benennt. Diese Änderung kann sich auf alle von Ihnen erstellten Automatisierungsregeln auswirken, die den Vorfallnamen als Bedingung verwenden. Um diese Falle zu umgehen, verwenden Sie andere Kriterien als den Vorfallnamen (wir empfehlen die Verwendung von Tags) als Bedingungen für das Auslösen von Automatisierungsregeln.

Arbeit mit Microsoft Defender XDR-Incidents in Microsoft Sentinel und der bidirektionalen Synchronisierung

Microsoft Defender XDR-Incidents werden in der Microsoft Sentinel-Incidentwarteschlange mit dem Produktnamen Microsoft Defender XDR und mit ähnlichen Details und Funktionen wie alle anderen Sentinel-Incidents angezeigt. Jeder Incident enthält einen Link, der zurück zum parallelen Incident im Microsoft Defender-Portal führt.

Wenn sich der Incident in Microsoft Defender XDR weiterentwickelt und weitere Warnungen oder Entitäten hinzugefügt werden, wird der Microsoft Sentinel-Incident entsprechend aktualisiert.

Änderungen am Status, am Schließungsgrund oder an der Zuweisung eines Microsoft Defender XDR-Incidents, die entweder in Microsoft Defender XDR oder in Microsoft Sentinel vorgenommen werden, werden auch in der Warteschlange des jeweils anderen Incidents entsprechend aktualisiert. Die Synchronisierung erfolgt in beiden Portalen ohne Verzögerung sofort nach der Änderung des Incidents. Möglicherweise ist eine Aktualisierung erforderlich, damit die neuesten Änderungen angezeigt werden.

In Microsoft Defender XDR können alle Warnungen aus einem Incident in einen anderen übertragen werden, was zu einer Zusammenführung der Incidents führt. Wenn diese Zusammenführung erfolgt, spiegeln die Microsoft Sentinel-Incidents die Änderungen wider. Ein Incident enthält alle Warnungen der beiden ursprünglichen Incident, und der andere Incident wird automatisch geschlossen und mit dem Tag „umgeleitet“ versehen.

Hinweis

Incidents in Microsoft Sentinel können maximal 150 Warnungen enthalten. Microsoft Defender XDR-Incidents können mehr enthalten. Wenn ein Microsoft Defender XDR-Incident mit mehr als 150 Warnungen mit Microsoft Sentinel synchronisiert wird, wird der Sentinel-Incident als mit „150+“ Warnungen angezeigt und enthält einen Link zum parallelen Incident in Microsoft Defender XDR, wo Sie alle Warnungen sehen können.

Auflistung erweiterter Huntingereignisse

Mit dem Microsoft Defender XDR-Connector können Sie auch erweiterte Huntingereignisse (eine Art von Ereignisrohdaten) aus Microsoft Defender XDR und den zugehörigen Komponentendiensten in Microsoft Sentinel streamen. Sie können nun (seit April 2022)erweiterte Huntingereignisse aus allen Microsoft Defender XDR-Komponenten erfassen und diese direkt in eigens erstellte Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich streamen. Diese Tabellen bauen auf dem gleichen Schema auf, das im Microsoft Defender-Portal verwendet wird, wodurch Sie vollständigen Zugriff auf die gesamte Reihe erweiterter Huntingereignisse erhalten und Folgendes erledigen können:

  • Einfaches Kopieren von vorhandenen erweiterten Huntingabfragen für Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps in Microsoft Sentinel

  • Verwenden der unformatierten Ereignisprotokolle, um weitere Erkenntnisse für Ihre Warnungen, das Hunting und die Untersuchung zu gewinnen, und diese Ereignisse mit Ereignissen aus anderen Datenquellen in Microsoft Sentinel zu korrelieren

  • Aufbewahrung von Protokollen über die Standardaufbewahrungsdauer von 30 Tagen hinaus in Microsoft Defender XDR oder zugehörigen Komponenten durch Konfigurieren der Aufbewahrungsdauer Ihres Arbeitsbereichs oder der tabellenweisen Aufbewahrung in Log Analytics

Nächste Schritte

In diesem Dokument haben Sie gelernt, wie Sie von der kombinierten Verwendung von Microsoft Defender XDR und Microsoft Sentinel profitieren können, indem Sie den Microsoft Defender XDR-Connector verwenden.