Conectar datos de XDR de Microsoft Defender a Microsoft Sentinel
El conector XDR de Microsoft Sentinel de Microsoft Defender con integración de incidentes le permite transmitir todos los incidentes y alertas de XDR de Microsoft Defender a Microsoft Sentinel y mantiene los incidentes sincronizados entre ambos portales. Los incidentes de Microsoft Defender XDR incluyen todas sus alertas, entidades y otra información relevante. También incluyen alertas de los servicios de componentes de Microsoft Defender XDR Microsoft Defender para punto de conexión, Microsoft Defender for Identity, Microsoft Defender para Office 365 y Microsoft Defender for Cloud Apps, así como alertas de otros servicios. como Prevención de pérdida de datos de Microsoft Purview y Protección de id. de Microsoft Entra. El conector XDR de Microsoft Defender también trae incidentes de Microsoft Defender for Cloud, aunque para sincronizar alertas y entidades de estos incidentes, debe habilitar el conector de Microsoft Defender for Cloud; de lo contrario, los incidentes de Microsoft Defender for Cloud aparecerán vacíos. Obtenga más información sobre los conectores disponibles para Microsoft Defender for Cloud.
El conector también permite hacer streaming de los eventos de búsqueda avanzada desde todos los componentes de Defender mencionados anteriormente a Microsoft Sentinel, de forma que se pueden copiar las consultas de búsqueda avanzada de esos componentes de Defender en Microsoft Sentinel, enriquecer las alertas de Sentinel con los datos de eventos sin formato de los componentes de Defender para extraer información adicional y almacenar los registros con una mayor retención en Log Analytics.
Para obtener más información sobre la integración de incidentes y la recopilación de eventos de búsqueda avanzada, consulte Integración de XDR de Microsoft Defender con Microsoft Sentinel.
El conector XDR de Microsoft Defender ya está disponible con carácter general.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Requisitos previos
Debe tener una licencia válida para XDR de Microsoft Defender, como se describe en Requisitos previos de XDR de Microsoft Defender.
El usuario debe tener asignados los roles Administrador global o Administrador de seguridad en el inquilino desde el que quiere transmitir los registros.
El usuario debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Para realizar cambios en la configuración del conector, el usuario debe ser miembro del mismo inquilino de Microsoft Entra con el que está asociado el área de trabajo de Microsoft Sentinel.
Instale la solución para XDR de Microsoft Defender desde el centro de contenido de Microsoft Sentinel. Para más información, consulte Descubre y administra el contenido listo para usar de Microsoft Sentinel.
Requisitos previos para la sincronización de Active Directory mediante MDI
El inquilino debe incorporarse a Microsoft Defender for Identity.
Debe tener instalado el sensor MDI.
Conectar a XDR de Microsoft Defender
En Microsoft Sentinel, seleccione Conectores de datos, Seleccione Microsoft Defender XDR en la galería y seleccione Abrir página del conector.
La sección Configuración tiene tres partes:
Conectar incidentes y alertas habilita la integración básica entre Microsoft Defender XDR y Microsoft Sentinel, sincronizando incidentes y sus alertas entre las dos plataformas.
Conectar entidades permite la integración de identidades de usuario de Active Directory local en Microsoft Sentinel mediante Microsoft Defender for Identity.
Conectar eventos habilita la recopilación de eventos de búsqueda avanzada sin procesar de componentes de Defender.
Se explican con más detalles a continuación. Consulte Integración de XDR de Microsoft Defender con Microsoft Sentinel para obtener más información.
Conectar incidentes y alertas
Para ingerir y sincronizar incidentes de XDR de Microsoft Defender, con todas sus alertas, a la cola de incidentes de Microsoft Sentinel:
Para evitar la duplicación de incidentes, se recomienda marcar la casilla Desactivar todas las reglas de creación de incidentes de Microsoft para estos productos.
(Esta casilla no aparecerá una vez conectado el conector XDR de Microsoft Defender).Seleccione el botón Conectar incidentes y alertas.
Nota:
Al habilitar el conector XDR de Microsoft Defender, todos los conectores de componentes XDR de Microsoft Defender (los mencionados al principio de este artículo) se conectan automáticamente en segundo plano. Para desconectar uno de los conectores de los componentes, primero debe desconectar el conector XDR de Microsoft Defender.
Para consultar los datos de incidentes de XDR de Microsoft Defender, use la siguiente instrucción en la ventana de consulta:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Conectar entidades
Use Microsoft Defender for Identity para sincronizar entidades de usuario desde Active Directory local a Microsoft Sentinel.
Compruebe que ha cumplido los requisitos previos para sincronizar a los usuarios de Active Directory local mediante Microsoft Defender for Identity (MDI).
Seleccione el vínculo Ir a la página de configuración de UEBA.
En la página Configuración del comportamiento de la entidad, si aún no ha habilitado UEBA, en la parte superior de la página, cambie el botón de alternancia a Activado.
Marque la casilla Active Directory (versión preliminar) y seleccione Aplicar.
Conectar eventos
Si quiere recopilar eventos de búsqueda avanzada de Microsoft Defender para punto de conexión o Microsoft Defender para Office 365, se pueden recopilar los siguientes tipos de eventos de sus tablas de búsqueda avanzada correspondientes.
Marque las casillas de las tablas con los tipos de evento que quiera recopilar:
- Defender para punto de conexión
- Defender para Office 365
- Defender for Identity
- Defender para aplicaciones en la nube
- Alertas de Defender
Nombre de la tabla Tipo de eventos DeviceInfo Información de la máquina, incluida la información del sistema operativo DeviceNetworkInfo Propiedades de red de los dispositivos, incluidos adaptadores físicos y direcciones IP y MAC, así como redes y dominios conectados DeviceProcessEvents Creación de procesos y eventos relacionados DeviceNetworkEvents Conexión de red y eventos relacionados DeviceFileEvents Creación y modificación de archivos, y otros eventos del sistema de archivos DeviceRegistryEvents Creación y modificación de entradas del Registro DeviceLogonEvents Inicios de sesión y otros eventos de autenticación en dispositivos DeviceImageLoadEvents Eventos de carga de DLL DeviceEvents Varios tipos de eventos, incluidos los desencadenados por controles de seguridad como Antivirus de Windows Defender y protección contra vulnerabilidades DeviceFileCertificateInfo Información de certificado de los archivos firmados obtenidos de los eventos de comprobación de certificados en los puntos de conexión Haga clic en Aplicar cambios.
Para consultar las tablas de búsqueda avanzada en Log Analytics, escriba el nombre de la tabla de la lista anterior en la ventana de consulta.
Comprobación de la ingesta de datos
El grafo de datos de la página del conector indica que se están ingiriendo datos. Observará que se muestra una línea para incidentes, alertas y eventos, y la línea de eventos es una agregación del volumen de eventos en todas las tablas habilitadas. Una vez que haya habilitado el conector, puede usar las siguientes consultas de KQL para generar grafos más específicos.
Use la siguiente consulta KQL para obtener un gráfico de los incidentes XDR entrantes de Microsoft Defender:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Use la siguiente consulta de KQL para generar un grafo de volumen de eventos para una sola tabla (cambie la tabla DeviceEvents por la tabla necesaria que prefiera):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
En la pestaña Pasos siguientes encontrará algunos libros útiles, consultas de ejemplo y plantillas de reglas de análisis que se han incluido. Puede ejecutarlas en el acto o modificarlas y guardarlas.
Pasos siguientes
En este documento, ha aprendido a integrar incidentes XDR de Microsoft Defender y datos de eventos de búsqueda avanzada de servicios de componentes de Microsoft Defender, en Microsoft Sentinel, mediante el conector XDR de Microsoft Defender. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: