Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Unterschiede zwischen Warnungen erläutert, die über eigenständige Connectors aufgenommen wurden, und Warnungen, die über den XDR-Connector (Extended Detection and Response) in Microsoft Sentinel aufgenommen wurden.
Eigenständige Connectors nehmen Warnungen direkt von den ursprünglichen Sicherheitsprodukten ab, während der XDR-Connector Warnungen über die Microsoft Defender XDR-Pipeline einnimmt. Dazu gehören Connectors wie Microsoft Defender für Office 365, Microsoft Defender für Endpunkt, Microsoft Defender for Identity, Information Rights Management (IRM), Data Loss Prevention (DLP), Microsoft Defender for Cloud (MDC) und Microsoft Defender for Cloud Apps (MDA).
Diese Unterschiede können sich auf Feldzuordnungen, abgeleitetes Feldverhalten, Schemastruktur und Warnungsaufnahme auswirken, was sich auf Ihre vorhandenen Abfragen, Analyseregeln und Arbeitsmappen auswirken kann. Überprüfen Sie diese Unterschiede vor der Migration zum XDR-Connector.
Das vollständige Warnungsschema finden Sie in der Referenz zum Sicherheitswarnungsschema.
CompromisedEntity-Verhalten
Das Feld "CompromisedEntity" wird in allen Produkten unterschiedlich behandelt, wenn Warnungen über den XDR-Connector aufgenommen werden.
| Produkt | CompromisedEntity-Äquivalentswert in XDR-Warnungen |
|---|---|
| Microsoft Defender für Endpunkt (MDE) | Das Gerät, auf dem "LeadingHost": true in den Warnungsentitäten JSON |
| Microsoft Entra ID (Identity Protection) | Immer auf den UPN des Benutzers festgelegt |
| Microsoft Defender for Identity (MDI) | Feste Zeichenfolge "CompromisedEntity" |
Hinweis
In MDE-Warnungen wird CompromisedEntity vom Gerät abgeleitet, auf dem "LeadingHost": true. In einigen Warnungen wird dieses Feld möglicherweise nicht ausgefüllt.
In MDI-Warnungen stellt CompromisedEntity keinen Host oder Benutzer dar und ist immer die Literalzeichenfolge "CompromisedEntity".
Feldzuordnungsänderungen
Einige Felder werden umbenannt oder verwenden unterschiedliche Wertesätze in Warnungen vom XDR-Connector.
| Produkt | Legacyfeld/Eigenschaft | XDR-Verhalten |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Zugeordnet zu ExtendedProperties.Category |
| Microsoft Defender für Office (MDO) | ExtendedProperties.Status | Verwendet einen anderen Wertsatz als legacy |
| Microsoft Defender für Office (MDO) | ExtendedProperties.InvestigationName | Nicht verfügbar |
Strukturschematransformationen (MDI)
Der eigenständige Microsoft Defender for Identity (MDI)-Connector verwendet manchmal Platzhalterentitäten, um zusätzliche Informationen zu speichern. In der XDR-Verbindung werden diese Informationen in Eigenschaften unter der resourceAccessEvents Sammlung gefaltet.
| Legacyentität/Eigenschaft | XDR-Darstellung |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId ist nicht mehr erforderlich, da sie mit der Hostentität identisch ist, in der ResourceAccessInfo definiert ist.
Filterung von Warnungen
Einige Warnungen, die über eigenständige Connectors verfügbar sind, werden nicht über den XDR-Connector aufgenommen.
| Produkt | Filterverhalten |
|---|---|
| Microsoft Defender für Cloud (MDC) | Warnungen im Informationsschweregrad werden nicht aufgenommen |
| Microsoft Entra ID | Standardmäßig werden Warnungen unter hohem Schweregrad nicht aufgenommen; Kunden können die Aufnahme konfigurieren, um alle Schweregrade einzuschließen. |
Bereichsdefinitionsverhalten (Microsoft Defender für Cloud)
Microsoft Defender für Cloud-Warnungen verwenden unterschiedliche Bereichsdefinitionen, wenn sie über den XDR-Connector aufgenommen werden.
| Eigenständiger Connectorbereich | XDR-Verbinderbereich |
|---|---|
| Abonnementebene | Mandantenebene |
Hinweis
Alle MDC-Warnungen sind im primären Arbeitsbereich für den Mandanten verfügbar. Warnungen sind gemäß den MDC-Abonnementbereichen innerhalb von Defender XDR beschränkt.