Integración de Microsoft Defender XDR con Microsoft Sentinel

  • Artículo

La integración de incidentes de Microsoft Defender XDR de Microsoft Sentinel le permite transmitir todos los incidentes de Microsoft Defender XDR a Microsoft Sentinel y mantenerlos sincronizados entre ambos portales. Los incidentes de Microsoft Defender XDR incluyen todas las alertas, entidades e información pertinente asociadas, lo que le proporciona un contexto suficiente para evaluar las prioridades y realizar una investigación preliminar en Microsoft Sentinel. Una vez en Sentinel, los incidentes permanecerán sincronizados de manera bidireccional con Microsoft Defender XDR, lo que le permite aprovechar las ventajas de ambos portales en su investigación de los incidentes.

Esta integración da a los incidentes de seguridad de Microsoft 365 visibilidad para que puedan administrarse desde Microsoft Sentinel, como parte de la cola de incidentes principales en toda la organización, por lo que puede ver y correlacionar los incidentes de Microsoft 365 con los de todos los demás sistemas en la nube y locales. Al mismo tiempo, permite aprovechar las ventajas y las funcionalidades únicas de Microsoft Defender XDR para las investigaciones detalladas y brinda una experiencia específica de Microsoft 365 en el ecosistema de Microsoft 365. Microsoft Defender XDR enriquece y agrupa las alertas de varios productos de Microsoft 365, lo que reduce el tamaño de la cola de incidentes de SOC y reduce el tiempo de resolución. Los servicios de componentes que forman parte de la pila de Microsoft Defender XDR son:

  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Cloud

Otros servicios cuyas alertas se recopilan mediante Microsoft Defender XDR incluyen:

Además de recopilar alertas de estos componentes y otros servicios, Microsoft Defender XDR genera alertas propias. Crea incidentes a partir de todas estas alertas y los envía a Microsoft Sentinel.

Casos de uso y escenarios comunes

  • Incorporación de Microsoft Sentinel a la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender, de la que habilitar la integración de Microsoft Defender XDR es un paso inicial necesario.

  • Conexión de un solo clic de incidentes de Microsoft Defender XDR, incluidas todas las alertas y entidades de los componentes de Microsoft Defender XDR, en Microsoft Sentinel.

  • Sincronización bidireccional entre incidentes de Sentinel y Microsoft Defender XDR en el estado, el propietario y el motivo de cierre.

  • Aplicación de las funcionalidades de agrupación y enriquecimiento de alertas de Microsoft Defender XDR en Microsoft Sentinel, lo que reduce el tiempo de resolución.

  • Vínculo profundo en contexto entre un incidente de Microsoft Sentinel y su incidente paralelo de Microsoft Defender XDR, para facilitar las investigaciones en ambos portales.

Conexión a Microsoft Defender XDR

("Incidentes de Microsoft Defender XDR y reglas de creación de incidentes de Microsoft" redirige aquí.)

Instale la solución Microsoft Defender XDR para Microsoft Sentinel y habilite el conector de datos de Microsoft Defender XDR para recopilar incidentes y alertas. Los incidentes de Microsoft Defender XDR aparecen en la cola de incidentes de Microsoft Sentinel, con Microsoft Defender XDR (o uno de los nombres de los servicios de componentes) en el campo Nombre del producto de la alerta, poco después de que se generen en Microsoft Defender XDR.

  • Pueden pasar hasta 10 minutos entre el momento en que se genere un incidente en Microsoft Defender XDR y el momento en que aparezca en Microsoft Sentinel.

  • Las alertas e incidentes de Microsoft Defender XDR (aquellos elementos que rellenan las tablas SecurityAlert y SecurityIncident) se ingieren y sincronizan con Microsoft Sentinel sin cargo alguno. Para todos los demás tipos de datos de componentes individuales de Defender (como las tablas de Búsqueda avanzadaDeviceInfo, DeviceFileEvents, EmailEvents, etc.), se cobrará la ingesta.

  • Cuando el conector Microsoft Defender XDR se habilita, las alertas creadas por sus servicios de componentes (Defender para punto de conexión, Defender for Identity, Defender para Office 365, Defender for Cloud Apps y Protección de Microsoft Entra ID) se enviarán a Microsoft Defender XDR y se agruparán en incidentes. Tanto las alertas como los incidentes fluirán a Microsoft Sentinel a través del conector de Microsoft Defender XDR. Si habilitó cualquiera de los conectores de componentes individuales de antemano, parecerá que siguen conectados, aunque no habrá datos que fluyan a través de ellos.

    La excepción a este proceso es Microsoft Defender for Cloud. Aunque su integración con Microsoft Defender XDR signifique que recibe incidentes de Microsoft Defender for Cloud a través de Defender XDR, también deberá tener habilitado un conector de Microsoft Defender for Cloud para recibir alertas de Defender for Cloud. Para ver las opciones disponibles y obtener más información, consulte Ingesta de incidentes de Microsoft Defender for Cloud con la integración con Microsoft Defender XDR.

  • Del mismo modo, para evitar crear incidentes duplicados para las mismas alertas, las reglas de creación de incidentes de Microsoft se desactivarán para los productos integrados en Microsoft Defender XDR (Defender para punto de conexión, Defender for Identity, Defender para Office 365 y Defender for Cloud Apps y Protección de Microsoft Entra ID) al conectar Microsoft Defender XDR. Esto se debe a que Defender XDR tiene sus propias reglas de creación de incidentes. Este cambio tiene los siguientes impactos potenciales:

    • Las reglas de creación de incidentes de Microsoft Sentinel le permitieron filtrar las alertas que se usarían para crear incidentes. Con estas reglas deshabilitadas, es posible conservar la funcionalidad de filtrado de alertas configurando los ajustes de alertas en el portal de Microsoft Defender o a través de reglas de automatización para suprimir (cerrar) incidentes que no se querían crear.

    • Ya no es posible predeterminar los títulos de incidentes, ya que el motor de correlación de Microsoft Defender XDR dirige la creación de incidentes y asigna automáticamente nombres a los incidentes creados. Este cambio afectaría a las reglas de automatización que haya creado que usen el nombre del incidente como condición. Para evitar este problema, use criterios distintos del nombre del incidente (se recomienda usar etiquetas) como condiciones para desencadenar reglas de automatización.

Trabajo con incidentes de Microsoft Defender XDR en Microsoft Sentinel y sincronización bidireccional

Los incidentes de Microsoft Defender XDR aparecerán en la cola de incidentes de Microsoft Sentinel con el nombre de producto Microsoft Defender XDR, y con detalles y funcionalidades similares a cualquier otro incidente de Sentinel. Cada incidente contiene un vínculo al incidente paralelo en el portal de Microsoft Defender.

A medida que el incidente evolucione en Microsoft Defender XDR y se agreguen más alertas o entidades, el incidente de Microsoft Sentinel se actualizará en consecuencia.

Los cambios realizados en el estado, el motivo de cierre o la asignación de un incidente de Microsoft Defender XDR, ya sea en Microsoft Defender XDR o en Microsoft Sentinel, también se actualizarán en consecuencia en la cola de incidentes del otro. La sincronización se llevará a cabo en ambos portales inmediatamente después de que se aplique el cambio en el incidente, sin ningún retraso. Podría ser necesaria una actualización para ver los cambios más recientes.

En Microsoft Defender XDR, todas las alertas de un incidente se pueden transferir a otro, lo que da lugar a la combinación de los incidentes. Cuando esta combinación sucede, los incidentes de Microsoft Sentinel reflejarán los cambios. Un incidente contendrá todas las alertas de ambos incidentes originales, y el otro incidente se cerrará automáticamente y se le agregará la etiqueta "redirigido".

Nota

Los incidentes de Microsoft Sentinel pueden contener un máximo de 150 alertas. Los incidentes de Microsoft Defender XDR pueden tener más. Si un incidente de Microsoft Defender XDR con más de 150 alertas se sincroniza con Microsoft Sentinel, el incidente de Sentinel se mostrará con “150+” alertas y proporcionará un vínculo al incidente paralelo en Microsoft Defender XDR, donde podrá ver el conjunto completo de alertas.

Colección de eventos de búsqueda avanzada

El conector Microsoft Defender XDR también le permite transmitir eventos de búsqueda avanzada, un tipo de datos de eventos sin procesar, desde Microsoft Defender XDR y sus servicios de componentes hacia Microsoft Sentinel. Ahora puede (a partir de abril de 2022) recopilar eventos de búsqueda avanzada de todos los componentes de Microsoft Defender XDR y transmitirlos directamente a las tablas creadas a tal efecto en el área de trabajo de Microsoft Sentinel. Estas tablas se basan en el mismo esquema que se usa en el portal de Microsoft Defender, lo que le ofrece acceso pleno al conjunto completo de eventos de búsqueda avanzada y le permite hacer lo siguiente:

  • Copiar fácilmente las consultas existentes de búsqueda avanzada de Microsoft Defender para punto de conexión, Office 365, Identity o Cloud Apps en Microsoft Sentinel.

  • Usar los registros de eventos sin procesar con el fin de proporcionar más información para las alertas, la búsqueda y la investigación, y poner en correlación estos eventos con los eventos de otros orígenes de datos en Microsoft Sentinel.

  • Almacenar los registros con mayor período de retención, por encima de la retención predeterminada de 30 días de Microsoft Defender XDR o de sus componentes. Para ello, configure la retención del área de trabajo o configure la retención por tabla en Log Analytics.

Pasos siguientes

En este documento, aprendió la manera de aprovechar el uso de Microsoft Defender XDR junto con Microsoft Sentinel mediante el conector Microsoft Defender XDR.