Intégration de Microsoft Defender XDR à Microsoft Sentinel

  • Article

L’intégration d’incidents Microsoft Defender XDR de Microsoft Sentinel vous permet de diffuser en continu tous les incidents Microsoft Defender XDR dans Microsoft Sentinel et de les garder synchronisés entre les deux portails. Les incidents de Microsoft Defender XDR incluent l’ensemble des alertes, entités et informations pertinentes associées, ce qui vous offre suffisamment de contexte pour effectuer un triage et une investigation préliminaire dans Microsoft Sentinel. Une fois dans Sentinel, les incidents restent synchronisés de manière bidirectionnelle avec Microsoft Defender XDR, ce qui vous permet de tirer parti des avantages des deux portails dans votre investigation d’incidents.

Cette intégration confère aux incidents de sécurité Microsoft 365 la visibilité nécessaire pour leur gestion à partir de Microsoft Sentinel dans le cadre de la file d’attente des incidents principale de toute l’organisation, ce qui vous permet de voir les incidents Microsoft 365, ainsi que de les corréler avec ceux de tous vos autres systèmes locaux et cloud. En même temps, elle vous permet de bénéficier de la puissance et des fonctionnalités uniques de Microsoft Defender XDR pour des investigations approfondies, ainsi que d’une expérience propre à Microsoft 365 dans tout l’écosystème de Microsoft 365. Microsoft Defender XDR enrichit et regroupe les alertes de plusieurs produits Microsoft 365, ce qui a pour effet de réduire la taille de la file d’attente des incidents de SOC et de raccourcir le temps de résolution. Les services de composants qui font partie de la pile Microsoft Defender XDR sont les suivants :

  • Microsoft Defender for Endpoint
  • Microsoft Defender pour Identity
  • Microsoft Defender pour Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour le cloud (Préversion)

Les autres services dont les alertes sont collectées par Microsoft Defender XDR incluent :

En plus de collecter des alertes à partir de ces composants et d’autres services, Microsoft Defender XDR génère ses propres alertes. Il crée des incidents à partir de toutes ces alertes et les envoie à Microsoft Sentinel.

Cas d’utilisation et scénarios courants

  • Connexion en un clic d’incidents Microsoft Defender XDR, y compris toutes les alertes et entités des composants Microsoft Defender XDR, dans Microsoft Sentinel.

  • Synchronisation bidirectionnelle entre les incidents Sentinel et Microsoft Defender XDR sur l’état, le propriétaire et le motif de clôture.

  • Application des fonctionnalités de regroupement et d’enrichissement des alertes Microsoft Defender XDR dans Microsoft Sentinel, permettant de réduire le temps de résolution.

  • Lien ciblé en contexte entre un incident Microsoft Sentinel et un incident Microsoft Defender XDR parallèle pour faciliter les investigations sur les deux portails.

Connexion à Microsoft Defender XDR

Installez la solution Microsoft Defender XDR pour Microsoft Sentinel et activez le connecteur de données Microsoft Defender XDR pour la collecte des incidents et alertes. Les incidents Microsoft Defender XDR s’affichent dans la file d’attente des incidents de Microsoft Sentinel, avec Microsoft Defender XDR dans le champ Nom du produit, peu après leur création dans Microsoft Defender XDR.

  • Jusqu’à 10 minutes peuvent s’écouler entre le moment où un incident est généré dans Microsoft Defender XDR et le moment où il apparaît dans Microsoft Sentinel.

  • Les alertes et incidents de Microsoft Defender XDR (ces éléments qui remplissent les tables SecurityAlert et SecurityIncident) sont ingérés dans Microsoft Sentinel et synchronisés avec Microsoft Sentinel sans frais. Pour tous les autres types de données provenant de composants Defender individuels (tels que DeviceInfo, DeviceFileEvents, EmailEvents, etc.), l’ingestion est facturée.

Une fois que l’intégration de Microsoft Defender XDR est connectée, les connecteurs de tous les composants et services intégrés (Defender pour Endpoint, Defender pour Identity, Defender pour Office 365, Defender pour Cloud Apps, Microsoft Entra ID Protection) sont automatiquement connectés en arrière-plan s’ils ne l’étaient pas déjà. Si des licences de composants ont été achetées après la connexion de Microsoft Defender XDR, les alertes et les incidents du nouveau produit sont toujours transmis à Microsoft Sentinel sans que cela nécessite une configuration ou des frais supplémentaires.

Incidents Microsoft Defender XDR et règles de création d’incident Microsoft

  • Les incidents générés par Microsoft Defender XDR, en fonction des alertes provenant des produits de sécurité Microsoft 365, sont créés à l’aide d’une logique Microsoft Defender XDR personnalisée.

  • Les règles de création d’incidents Microsoft dans Microsoft Sentinel créent également des incidents à partir des mêmes alertes, en utilisant une logique Microsoft Sentinel personnalisée (différente).

  • L’utilisation conjointe des deux mécanismes est entièrement prise en charge, et cette configuration permet de faciliter la transition vers la nouvelle logique de création d’incident de Microsoft Defender XDR. Toutefois, cela crée des incidents en double pour les mêmes alertes.

  • Pour éviter de créer des incidents en double pour les mêmes alertes, nous recommandons aux clients de désactiver toutes les règles de création d’incidents Microsoft pour les produits intégrés à Microsoft Defender XDR (Defender for Endpoint, Defender pour Identity, Defender pour Office 365, Defender for Cloud Apps et Protection Microsoft Entra ID) au moment de connecter Microsoft Defender XDR. Pour ce faire, vous pouvez désactiver la création d’un incident dans la page du connecteur. N’oubliez pas que, si vous procédez de la sorte, les filtres appliqués par les règles de création d’incident ne seront pas appliqués à l’intégration d’incidents Microsoft Defender XDR.

  • Si votre espace de travail est intégré à la plateforme unifiée d’opérations de sécurité, vous devez désactiver toutes les règles de création d’incidents Microsoft, car elles ne sont pas prises en charge. Pour plus d’informations, consultez Automation avec la plateforme unifiée d’opérations de sécurité

Utilisation d’incidents Microsoft Defender XDR dans Microsoft Sentinel et synchronisation bidirectionnelle

Les incidents Microsoft Defender XDR s’affichent dans la file d’attente des incidents de Microsoft Sentinel avec le nom de produit Microsoft Defender XDR, ainsi qu’avec des détails et fonctionnalités similaires à ceux d’autres incidents de Sentinel. Chaque incident contient un lien vers l’incident parallèle dans le portail Microsoft Defender XDR.

À mesure que l’incident évolue dans Microsoft Defender XDR et qu’un plus grand nombre d’alertes ou d’entités y est ajouté, l’incident Microsoft Sentinel est mis à jour en conséquence.

Les modifications apportées à l’état, au motif de clôture ou à l’affectation d’un incident Microsoft Defender XDR, tant dans Microsoft Defender XDR que dans Microsoft Sentinel, sont également mises à jour en conséquence dans la file d’attente des incidents de l’autre. La synchronisation aura lieu dans les deux portails immédiatement après l’application de la modification de l’incident. Une actualisation peut être nécessaire pour voir les dernières modifications.

Dans Microsoft Defender XDR, toutes les alertes d’un incident peuvent être transférées vers un autre, ce qui a pour effet de fusionner les incidents. Quand cette fusion se produit, les incidents Microsoft Sentinel reflètent les modifications. Un incident contiendra toutes les alertes des incidents d’origine, et l’autre sera automatiquement clos, avec ajout de l’étiquette « redirigé ».

Notes

Les incidents dans Microsoft Sentinel peuvent contenir jusqu’à 150 alertes. Les incidents Microsoft Defender XDR peuvent en avoir plus que cela. Si un incident Microsoft Defender XDR contenant plus de 150 alertes est synchronisé sur Microsoft Sentinel, l’incident Sentinel indique la présence de « 150+ » alertes et fournit un lien vers l’incident parallèle dans Microsoft Defender XDR, où il est possible de voir l’ensemble complet d’alertes.

Collecte d’événements de repérage avancé

Le connecteur Microsoft Defender XDR vous permet de diffuser des événements de repérage avancé (un type de données d’événement brutes) de Microsoft Defender XDR vers Microsoft Sentinel. Vous pouvez désormais (depuis avril 2022) collecter des événements de repérage avancé à partir de tous les composants Microsoft Defender XDR et les diffuser directement dans des tables spécialement conçues dans votre espace de travail Microsoft Sentinel. Ces tables sont générées sur le même schéma que celui utilisé dans le portail Microsoft Defender XDR, ce qui vous donne un accès complet à l’ensemble des événements de repérage avancé, et vous permet d’effectuer les opérations suivantes :

  • Copiez facilement vos requêtes de repérage avancé Microsoft Defender pour point de terminaison/Office 365/Identité/Applications cloud existantes dans Microsoft Sentinel.

  • Utilisez les journaux des événements bruts afin de fournir des insights supplémentaires pour vos alertes, la recherche de menaces et l’investigation, et mettez en corrélation les événements avec ceux provenant d’autres sources de données dans Microsoft Sentinel.

  • Stocker les journaux avec une période de conservation accrue, au-delà de la période par défaut de 30 jours de Microsoft Defender XDR. Pour ce faire, vous pouvez configurer la période de conservation de votre espace de travail ou la conservation par table dans Log Analytics.

Étapes suivantes

Dans ce document, vous avez découvert comment tirer parti de l’utilisation conjointe de Microsoft Defender XDR et de Microsoft Sentinel à l’aide du connecteur Microsoft Defender XDR.