Integración de Microsoft Defender XDR con Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Integre XDR de Microsoft Defender con Microsoft Sentinel para transmitir todos los incidentes de XDR de Defender y los eventos de búsqueda avanzada en Microsoft Sentinel y mantener los incidentes y eventos sincronizados entre ambos portales. Los incidentes de Defender XDR incluyen todas las alertas, entidades e información pertinente asociadas, lo que le proporciona un contexto suficiente para evaluar las prioridades y realizar una investigación preliminar en Microsoft Sentinel. Una vez en Microsoft Sentinel, los incidentes permanecen sincronizados bidireccionalmente con XDR de Defender, lo que le permite aprovechar las ventajas de ambos portales en la investigación de incidentes.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Microsoft Sentinel en el portal de Defender ahora se admite para su uso en producción. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Correlación de incidentes y alertas

La integración proporciona a los incidentes de seguridad de Defender XDR la visibilidad necesaria para ser administrados desde Microsoft Sentinel, como parte de la cola principal de incidentes de toda la organización. Consulte y ponga en correlación los incidentes de XDR de Defender junto con incidentes de todos los demás sistemas en la nube y locales. Al mismo tiempo, esta integración le permite aprovechar las ventajas y funcionalidades únicas de Defender XDR para investigaciones detalladas y una experiencia específica de Defender en todo el ecosistema de Microsoft 365. Defender XDR enriquece y agrupa las alertas de varios productos de Microsoft Defender, lo que reduce el tamaño de la cola de incidentes de SOC y reduce el tiempo de resolución. Las alertas de los siguientes productos y servicios de Microsoft Defender también se incluyen en la integración de Defender XDR a Microsoft Sentinel:

• Microsoft Defender para punto de conexión
• Microsoft Defender for Identity
• Microsoft Defender para Office 365
• Microsoft Defender for Cloud Apps
• Administración de vulnerabilidades de Microsoft Defender

Otros servicios cuyas alertas recopila Defender XDR incluyen:

• Prevención de pérdida de datos de Microsoft Purview (Más información)
• Protección de Microsoft Entra ID (Más información)

El conector XDR de Defender también trae incidentes de Microsoft Defender for Cloud. Para sincronizar también alertas y entidades de estos incidentes, debe habilitar el conector de Microsoft Defender for Cloud. De lo contrario, los incidentes de Microsoft Defender for Cloud aparecen vacíos. Para obtener más información, consulte Ingesta de incidentes de Microsoft Defender for Cloud con la integración de XDR de Microsoft Defender.

Además de recopilar alertas de estos componentes y otros servicios, Defender XDR genera alertas propias. Crea incidentes a partir de todas estas alertas y los envía a Microsoft Sentinel.

Casos de uso y escenarios comunes

Considere la posibilidad de integrar XDR de Defender con Microsoft Sentinel para los siguientes casos de uso y escenarios:

• Incorpore Microsoft Sentinel a la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. La habilitación del conector XDR de Defender es un requisito previo. Para obtener más información, consulte Conexión de Microsoft Sentinel a XDR de Microsoft Defender.

• Habilite la conexión con un solo clic de incidentes de XDR de Defender, incluidas todas las alertas y entidades de los componentes de XDR de Defender, en Microsoft Sentinel.

• Permitir la sincronización bidireccional entre incidentes de Microsoft Sentinel y XDR de Defender en el estado, el propietario y el motivo de cierre.

• Aplique funcionalidades de enriquecimiento y agrupación de alertas XDR de Defender en Microsoft Sentinel, lo que reduce el tiempo de resolución.

• Facilitar las investigaciones en ambos portales con vínculos profundos en contexto entre un incidente de Microsoft Sentinel y su incidente XDR de Defender paralelo.

Para obtener más información sobre las funcionalidades de la integración de Microsoft Sentinel con XDR de Defender en la plataforma unificada de operaciones de seguridad, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Conexión a Microsoft Defender XDR

Instale la solución de XDR de Microsoft Defender para Microsoft Sentinel desde el centro de contenido. A continuación, habilite el conector de datos XDR de Microsoft Defender para recopilar incidentes y alertas. Para obtener más información, consulte Conectar datos de XDR de Microsoft Defender a Microsoft Sentinel.

Para incorporar Microsoft Sentinel a la plataforma unificada de operaciones de seguridad en el portal de Defender, consulte Conexión de Microsoft Sentinel a XDR de Microsoft Defender.

Después de habilitar la recopilación de alertas e incidentes en el conector de datos XDR de Defender, los incidentes de XDR de Defender aparecen en la cola de incidentes de Microsoft Sentinel poco después de que se generen en XDR de Defender. En estos incidentes, el campo Nombre de producto de alerta contiene XDR de Microsoft Defendero uno de los nombres de los servicios de Defender del componente.

• Pueden pasar hasta 10 minutos entre el momento en que se genere un incidente en el XDR de Defender y el momento en que aparezca en Microsoft Sentinel.

• Las alertas e incidentes de XDR de Defender (los elementos que rellenan el SecurityAlert y las tablas de SecurityIncident) se ingieren y sincronizan con Microsoft Sentinel sin cargo alguno. Para todos los demás tipos de datos de componentes individuales de Defender (como las tablas de Búsqueda avanzadaDeviceInfo, DeviceFileEvents, EmailEvents, etc.), se cobra la ingesta.

• Cuando el conector XDR de Defender está habilitado, las alertas creadas por los productos integrados en XDR de Defender se envían al XDR de Defender y se agrupan en incidentes. Tanto las alertas como los incidentes fluyen a Microsoft Sentinel a través del conector XDR de Defender. Si ha habilitado cualquiera de los conectores de componentes individuales de antemano, parece que permanecen conectados, aunque no fluyen datos a través de ellos.

  La excepción a este proceso es Microsoft Defender for Cloud. Aunque su integración con XDR de Defender significa que recibe incidentes de Defender for Cloud a través de XDR de Defender, también debe tener habilitado un conector de Microsoft Defender for Cloud para recibir alertas de Defender for Cloud. Para obtener las opciones disponibles y más información, consulte los siguientes artículos:

  • Microsoft Defender for Cloud en el portal de Microsoft Defender
  • Ingesta de incidentes de Microsoft Defender for Cloud con la integración con Microsoft Defender XDR

• Del mismo modo, para evitar crear incidentes duplicados para las mismas alertas, la configuración de reglas de creación de incidentes de Microsoft está desactivada para los productos integrados en XDR de Defender al conectar XDR de Defender. Esto se debe a que Defender XDR tiene sus propias reglas de creación de incidentes. Este cambio tiene los siguientes impactos potenciales:

  • Las reglas de creación de incidentes de Microsoft Sentinel le permitieron filtrar las alertas que se usarían para crear incidentes. Con estas reglas deshabilitadas, puede conservar la funcionalidad de filtrado de alertas configurando ajuste de alertas en el portal de Microsoft Defendero mediante reglas de automatización para suprimir (cerrar) incidentes que no desee.

  • Ya no es posible predeterminar los títulos de incidentes, ya que el motor de correlación de XDR de Defender dirige la creación de incidentes y asigna automáticamente nombres a los incidentes creados. Este cambio afectaría a las reglas de automatización que haya creado que usen el nombre del incidente como condición. Para evitar este problema, use criterios distintos del nombre del incidente como condiciones para desencadenar reglas de automatización. Se recomienda usar etiquetas.

Trabajo con incidentes de Microsoft Defender XDR en Microsoft Sentinel y sincronización bidireccional

Los incidentes XDR de Defender aparecen en la cola de incidentes de Microsoft Sentinel con el nombre del producto XDR de Microsoft Defender y con detalles y funcionalidades similares a cualquier otro incidente de Microsoft Sentinel. Cada incidente contiene un vínculo al incidente paralelo en el portal de Microsoft Defender.

A medida que el incidente evoluciona en XDR de Defender y se agregan más alertas o entidades, el incidente de Microsoft Sentinel se actualiza en consecuencia.

Los cambios realizados en el estado, el motivo de cierre o la asignación de un incidente de XDR de Defender, en XDR de Defender o Microsoft Sentinel, también se actualizan en consecuencia en la cola de incidentes del otro. La sincronización tiene lugar en ambos portales inmediatamente después de aplicar el cambio al incidente, sin retraso. Podría ser necesaria una actualización para ver los cambios más recientes.

En XDR de Defender, todas las alertas de un incidente se pueden transferir a otra, lo que da lugar a que se combinen los incidentes. Cuando se produce esta combinación, los incidentes de Microsoft Sentinel reflejan los cambios. Un incidente contiene todas las alertas de ambos incidentes originales y el otro incidente se cierra automáticamente, con una etiqueta de "redirigido" agregada.

Nota:

Los incidentes de Microsoft Sentinel pueden contener un máximo de 150 alertas. Los incidentes de XDR de Defender pueden tener más de esto. Si un incidente de XDR de Defender con más de 150 alertas se sincroniza con Microsoft Sentinel, el incidente de Microsoft Sentinel se muestra como tener “más de 150” alertas y proporciona un vínculo al incidente paralelo en Defender XDR, donde verá el conjunto completo de alertas.

Colección de eventos de búsqueda avanzada

El conector XDR de Defender también le permite transmitir eventos de búsqueda avanzada (un tipo de datos de eventos) sin procesar de Defender XDR y sus servicios de componentes a Microsoft Sentinel. Recopile eventos de búsqueda avanzada de todos los componentes de XDR de Defender y transmitirlos directamente a tablas integradas específicamente en el área de trabajo de Microsoft Sentinel. Estas tablas se basan en el mismo esquema que se usa en el portal de Defender. Esto le proporciona acceso completo al conjunto completo de eventos de búsqueda avanzada y le permite realizar las siguientes tareas:

• Copiar fácilmente las consultas existentes de búsqueda avanzada de Microsoft Defender para punto de conexión, Office 365, Identity o Cloud Apps en Microsoft Sentinel.

• Usar los registros de eventos sin procesar con el fin de proporcionar más información para las alertas, la búsqueda y la investigación, y poner en correlación estos eventos con los eventos de otros orígenes de datos en Microsoft Sentinel.

• Almacenar los registros con mayor período de retención, por encima de la retención predeterminada de 30 días del XDR de Defender o de sus componentes. Para ello, configure la retención del área de trabajo o configure la retención por tabla en Log Analytics.

Pasos siguientes

En este documento, ha aprendido la ventaja de usar XDR de Defender junto con Microsoft Sentinel, habilitando el conector XDR de Defender en Microsoft Sentinel.

• Conexión de los datos de Microsoft Defender XDR a Microsoft Sentinel
• Para usar la plataforma de operaciones de seguridad unificadas en el portal de Defender, consulte Conexión de datos de XDR de Microsoft Defender a Microsoft Sentinel.
• Compruebe la disponibilidad de los distintos tipos de datos de Microsoft Defender XDR en las diferentes nubes de Microsoft 365 y Azure.
• Cree alertas personalizadas o investigue incidentes.