Conexión de los datos de Microsoft Defender XDR a Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

El conector de Microsoft Defender XDR para Microsoft Sentinel permite transmitir todos los incidentes, alertas y eventos de búsqueda avanzada de amenazas de Microsoft Defender XDR a Microsoft Sentinel. Este conector mantiene sincronizados los incidentes entre ambos portales. Los incidentes de Microsoft Defender XDR incluyen alertas, entidades y otra información relevante de todos los productos y servicios de Microsoft Defender. Para más información, consulte Integración de Microsoft Defender XDR con Microsoft Sentinel.

El conector de Defender XDR, especialmente su característica de integración de incidentes, es la base de la plataforma de operaciones de seguridad unificada de Microsoft. Si va a incorporar Microsoft Sentinel al portal de Microsoft Defender, primero debe habilitar este conector con la integración de incidentes.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Antes de comenzar, debe tener los recursos configurados, acceso y concesión de licencias adecuados que se describen en esta sección.

• Debe tener una licencia válida de Microsoft Defender XDR, como se describe en Requisitos previos de Microsoft Defender XDR.
• El usuario debe tener el rol Administrador de seguridad en el inquilino desde el que desea transmitir los registros o los permisos equivalentes.
• Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
• Para realizar cambios en la configuración del conector, la cuenta debe ser miembro del mismo inquilino de Microsoft Entra con el que está asociado el área de trabajo de Microsoft Sentinel.
• Instale la solución para Microsoft Defender XDR desde el Centro de contenido en Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
• Conceda acceso a Microsoft Sentinel según corresponda para su organización. Para más información, consulte Roles y permisos de Microsoft Sentinel.

Para la sincronización de Active Directory local a través de Microsoft Defender for Identity:

• El inquilino debe incorporarse a Microsoft Defender for Identity.
• Debe tener instalado el sensor de Microsoft Defender for Identity.

Para obtener más información, consulte Implementación de Microsoft Defender for Identity.

Conectar con Microsoft Defender XDR

En Microsoft Sentinel, seleccione Conectores de datos. Seleccione Microsoft Defender XDR en la galería y Abra la página del conector.

La sección Configuración tiene tres partes:

1. Conectar incidentes y alertas permite la integración básica entre Microsoft Defender XDR y Microsoft Sentinel, sincronizando incidentes y sus alertas entre las dos plataformas.

2. Conectar entidades permite la integración de identidades de usuario de Active Directory local en Microsoft Sentinel mediante Microsoft Defender for Identity.

3. Conectar eventos habilita la recopilación de eventos de búsqueda avanzada sin procesar de componentes de Defender.

Para más información, consulte Integración de Microsoft Defender XDR con Microsoft Sentinel.

Conectar incidentes y alertas

Para ingerir y sincronizar incidentes de Microsoft Defender XDR con todas sus alertas con la cola de incidentes de Microsoft Sentinel, complete los pasos siguientes.

1. Para evitar la duplicación de incidentes, se recomienda marcar la casilla Desactivar todas las reglas de creación de incidentes de Microsoft para estos productos. Esta casilla no aparece una vez que el conector de Microsoft Defender XDR esté conectado.

2. Seleccione el botón Conectar incidentes y alertas.

3. Compruebe que Microsoft Sentinel recopila datos de incidentes de Microsoft Defender XDR. EnRegistros de Microsoft Sentinel en Azure Portal, ejecute la siguiente instrucción en la ventana de consulta:

      SecurityIncident
      | where ProviderName == "Microsoft Defender XDR"
   

Al habilitar el conector de Microsoft Defender XDR, los conectores de los componentes de Microsoft Defender que se conectaron anteriormente se desconectan automáticamente en segundo plano. Aunque siguen apareciendo conectados, no fluyen datos a través de ellos.

Conectar entidades

Use Microsoft Defender for Identity para sincronizar entidades de usuario desde Active Directory local a Microsoft Sentinel.

1. Seleccione el vínculo Ir a la página de configuración de UEBA.

2. En la página Configuración del comportamiento de la entidad, si aún no ha habilitado UEBA, en la parte superior de la página, cambie el botón de alternancia a Activado.

3. Marque la casilla Active Directory (versión preliminar) y seleccione Aplicar.

   

Conectar eventos

Si quiere recopilar eventos de búsqueda avanzada de Microsoft Defender para punto de conexión o Microsoft Defender para Office 365, se pueden recopilar los siguientes tipos de eventos de sus tablas de búsqueda avanzada correspondientes.

1. Marque las casillas de las tablas con los tipos de evento que quiera recopilar:

   Defender para punto de conexión

   Nombre de la tabla	Tipo de eventos
   DeviceInfo	Información de la máquina, incluida la información del sistema operativo
   DeviceNetworkInfo	Propiedades de red de los dispositivos, incluidos adaptadores físicos y direcciones IP y MAC, así como redes y dominios conectados
   DeviceProcessEvents	Creación de procesos y eventos relacionados
   DeviceNetworkEvents	Conexión de red y eventos relacionados
   DeviceFileEvents	Creación y modificación de archivos, y otros eventos del sistema de archivos
   DeviceRegistryEvents	Creación y modificación de entradas del Registro
   DeviceLogonEvents	Inicios de sesión y otros eventos de autenticación en dispositivos
   DeviceImageLoadEvents	Eventos de carga de DLL
   DeviceEvents	Varios tipos de eventos, incluidos los desencadenados por controles de seguridad como Antivirus de Windows Defender y protección contra vulnerabilidades
   DeviceFileCertificateInfo	Información de certificado de los archivos firmados obtenidos de los eventos de comprobación de certificados en los puntos de conexión

   Defender para Office 365

   Nombre de la tabla	Tipo de eventos
   EmailAttachmentInfo	Información sobre los archivos adjuntos a correos electrónicos
   EmailEvents	Eventos de correo electrónico de Microsoft 365, incluidos los eventos de entrega y bloqueo de correo electrónico
   EmailPostDeliveryEvents	Eventos de seguridad que se producen luego de la entrega, después de que Microsoft 365 haya entregado los correos electrónicos en el buzón del destinatario
   EmailUrlInfo	Información sobre las direcciones URL de los correos electrónicos
   UrlClickEvents	Eventos que implican direcciones URL en las que se ha hecho clic, seleccionaron o solicitaron en Microsoft Defender para Office 365

   Defender for Identity

   Nombre de tabla	Tipo de eventos
   IdentityDirectoryEvents	Varios eventos relacionados con la identidad, como cambios de contraseña, expiraciones de contraseñas y cambios de nombre principal de usuario (UPN), capturados desde un controlador de dominio local de Active Directory. También incluye eventos del sistema en el controlador de dominio.
   IdentityLogonEvents	Actividades de autenticación realizadas a través de Active Directory local, capturadas por Microsoft Defender for Identity Actividades de autenticación relacionadas con Microsoft Online Services, capturadas por Microsoft Defender for Cloud Apps
   IdentityQueryEvents	Información sobre las consultas realizadas en objetos de Active Directory, como usuarios, grupos, dispositivos y dominios.

   Defender para aplicaciones en la nube

   Nombre de la tabla	Tipo de eventos
   CloudAppEvents	Información sobre las actividades en diversas aplicaciones y servicios en la nube cubiertos por Microsoft Defender for Cloud Apps.

   Alertas de Defender

   Nombre de la tabla	Tipo de eventos
   AlertInfo	Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Cloud App Security y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de la amenaza
   AlertEvidence	Información sobre varias entidades (archivos, direcciones IP, direcciones URL, usuarios y dispositivos) asociada con alertas de componentes de Microsoft Defender XDR

2. Seleccione Aplicar cambios.

Para ejecutar una consulta en las tablas de búsqueda avanzada de amenazas en Log Analytics, escriba el nombre de la tabla en la ventana de consulta.

Comprobación de la ingesta de datos

El grafo de datos en la página del conector indica que se están ingiriendo datos. Observará que se muestra una línea para cada incidente, alerta y evento; además, la línea de eventos es una agregación del volumen de eventos en todas las tablas habilitadas. Después de habilitar el conector, use las siguientes consultas KQL para generar gráficos más específicos.

Use la siguiente consulta de KQL para obtener un grafo de los incidentes de Microsoft Defender XDR entrantes:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft Defender XDR"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Use la siguiente consulta de KQL para generar un grafo de volumen de eventos para una sola tabla (cambie la tabla DeviceEvents por la tabla necesaria que prefiera):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:

• Operador let
• Operador where
• Operador extend
• Operador project
• Operador union
• Operador sort
• Operador summarize
• Operador render
• Función ago()
• Funcióniff()
• Función de agregación max()n
• Función de agregación count()

Para más información sobre KQL, consulte Introducción al Lenguaje de consulta Kusto (KQL).

Otros recursos:

• Referencia rápida de KQL
• Recursos de aprendizaje sobre el lenguaje de consulta Kusto

Paso siguiente

En este documento, ha aprendido a integrar incidentes, alertas y datos de eventos de búsqueda avanzada de amenazas de Microsoft Defender XDR desde los servicios de Microsoft Defender hacia Azure Sentinel mediante el conector Microsoft Defender XDR.

Para usar Microsoft Sentinel integrado con Defender XDR en la plataforma de operaciones de seguridad unificada de Microsoft, vea Conexión de Microsoft Sentinel al portal de Microsoft Defender.