Migración a La Cumbre de innovación:
Obtenga información sobre cómo migrar y modernizar a Azure puede aumentar el rendimiento, la resistencia y la seguridad de su empresa, lo que le permite adoptar completamente la inteligencia artificial.Regístrese ahora
Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Conexión de los datos de Microsoft Defender XDR a Microsoft Sentinel
Artículo
Se aplica a:
Microsoft Sentinel in the Azure portal, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal
El conector de Microsoft Defender XDR para Microsoft Sentinel permite transmitir todos los incidentes, alertas y eventos de búsqueda avanzada de amenazas de Microsoft Defender XDR a Microsoft Sentinel. Este conector mantiene sincronizados los incidentes entre ambos portales. Los incidentes de Microsoft Defender XDR incluyen alertas, entidades y otra información relevante de todos los productos y servicios de Microsoft Defender. Para más información, consulte Integración de Microsoft Defender XDR con Microsoft Sentinel.
El conector de Defender XDR, especialmente su característica de integración de incidentes, es la base de la plataforma de operaciones de seguridad unificada de Microsoft. Si va a incorporar Microsoft Sentinel al portal de Microsoft Defender, primero debe habilitar este conector con la integración de incidentes.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Antes de comenzar, debe tener los recursos configurados, acceso y concesión de licencias adecuados que se describen en esta sección.
El usuario debe tener el rol Administrador de seguridad en el inquilino desde el que desea transmitir los registros o los permisos equivalentes.
Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Para realizar cambios en la configuración del conector, la cuenta debe ser miembro del mismo inquilino de Microsoft Entra con el que está asociado el área de trabajo de Microsoft Sentinel.
En Microsoft Sentinel, seleccione Conectores de datos. Seleccione Microsoft Defender XDR en la galería y Abra la página del conector.
La sección Configuración tiene tres partes:
Conectar incidentes y alertas permite la integración básica entre Microsoft Defender XDR y Microsoft Sentinel, sincronizando incidentes y sus alertas entre las dos plataformas.
Conectar entidades permite la integración de identidades de usuario de Active Directory local en Microsoft Sentinel mediante Microsoft Defender for Identity.
Conectar eventos habilita la recopilación de eventos de búsqueda avanzada sin procesar de componentes de Defender.
Para ingerir y sincronizar incidentes de Microsoft Defender XDR con todas sus alertas con la cola de incidentes de Microsoft Sentinel, complete los pasos siguientes.
Para evitar la duplicación de incidentes, se recomienda marcar la casilla Desactivar todas las reglas de creación de incidentes de Microsoft para estos productos. Esta casilla no aparece una vez que el conector de Microsoft Defender XDR esté conectado.
Seleccione el botón Conectar incidentes y alertas.
Compruebe que Microsoft Sentinel recopila datos de incidentes de Microsoft Defender XDR. EnRegistros de Microsoft Sentinel en Azure Portal, ejecute la siguiente instrucción en la ventana de consulta:
Kusto
SecurityIncident
| where ProviderName == "Microsoft Defender XDR"
Al habilitar el conector de Microsoft Defender XDR, los conectores de los componentes de Microsoft Defender que se conectaron anteriormente se desconectan automáticamente en segundo plano. Aunque siguen apareciendo conectados, no fluyen datos a través de ellos.
Conectar entidades
Use Microsoft Defender for Identity para sincronizar entidades de usuario desde Active Directory local a Microsoft Sentinel.
Seleccione el vínculo Ir a la página de configuración de UEBA.
En la página Configuración del comportamiento de la entidad, si aún no ha habilitado UEBA, en la parte superior de la página, cambie el botón de alternancia a Activado.
Marque la casilla Active Directory (versión preliminar) y seleccione Aplicar.
Conectar eventos
Si quiere recopilar eventos de búsqueda avanzada de Microsoft Defender para punto de conexión o Microsoft Defender para Office 365, se pueden recopilar los siguientes tipos de eventos de sus tablas de búsqueda avanzada correspondientes.
Marque las casillas de las tablas con los tipos de evento que quiera recopilar:
Varios tipos de eventos, incluidos los desencadenados por controles de seguridad como Antivirus de Windows Defender y protección contra vulnerabilidades
Eventos de seguridad que se producen luego de la entrega, después de que Microsoft 365 haya entregado los correos electrónicos en el buzón del destinatario
Varios eventos relacionados con la identidad, como cambios de contraseña, expiraciones de contraseñas y cambios de nombre principal de usuario (UPN), capturados desde un controlador de dominio local de Active Directory.
También incluye eventos del sistema en el controlador de dominio.
Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Cloud App Security y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de la amenaza
Información sobre varias entidades (archivos, direcciones IP, direcciones URL, usuarios y dispositivos) asociada con alertas de componentes de Microsoft Defender XDR
Seleccione Aplicar cambios.
Para ejecutar una consulta en las tablas de búsqueda avanzada de amenazas en Log Analytics, escriba el nombre de la tabla en la ventana de consulta.
Comprobación de la ingesta de datos
El grafo de datos en la página del conector indica que se están ingiriendo datos. Observará que se muestra una línea para cada incidente, alerta y evento; además, la línea de eventos es una agregación del volumen de eventos en todas las tablas habilitadas. Después de habilitar el conector, use las siguientes consultas KQL para generar gráficos más específicos.
Use la siguiente consulta de KQL para obtener un grafo de los incidentes de Microsoft Defender XDR entrantes:
Kusto
let Now = now();
(range TimeGenerated fromago(14d) to Now-1d step1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft Defender XDR"
| summarize Count = count() bybin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) bybin_at(TimeGenerated, 1d, Now)
| sortby TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| rendertimechart
Use la siguiente consulta de KQL para generar un grafo de volumen de eventos para una sola tabla (cambie la tabla DeviceEvents por la tabla necesaria que prefiera):
Kusto
let Now = now();
(range TimeGenerated fromago(14d) to Now-1d step1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() bybin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) bybin_at(TimeGenerated, 1d, Now)
| sortby TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| rendertimechart
Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:
En este documento, ha aprendido a integrar incidentes, alertas y datos de eventos de búsqueda avanzada de amenazas de Microsoft Defender XDR desde los servicios de Microsoft Defender hacia Azure Sentinel mediante el conector Microsoft Defender XDR.
Obtenga información sobre cómo usar la integración de Microsoft Defender for Cloud con Microsoft Defender XDR le permite ingerir incidentes de Microsoft Defender for Cloud a través de Microsoft Defender XDR. Esto le permite agregar incidentes de Defender for Cloud a la cola de incidentes de Microsoft Sentinel mientras aplica sin problemas los puntos fuertes de Defender XDR para ayudar a investigar todos los incidentes de seguridad de cargas de trabajo en la nube.