Intégration de Microsoft Defender XDR à Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Intégrez Microsoft Defender XDR à Microsoft Sentinel pour transmettre en continu tous les incidents et événements de repérage avancé Defender XDR à Microsoft Sentinel et les garder tous synchronisés entre les deux portails. Les incidents Defender XDR incluent l’ensemble des alertes, entités et informations pertinentes associées, ce qui vous offre suffisamment de contexte pour effectuer un triage et une investigation préliminaire dans Microsoft Sentinel. Une fois dans Microsoft Sentinel, les incidents restent synchronisés de manière bidirectionnelle avec Defender XDR, ce qui vous permet de tirer parti des avantages des deux portails dans votre investigation d’incidents.

Important

Microsoft Sentinel est disponible dans le cadre de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Corrélation des incidents et alertes

L’intégration offre une visibilité des incidents de sécurité Defender XDR à gérer à partir de Microsoft Sentinel, grâce à la file d’attente principale des incidents de l’organisation toute entière. Consultez et mettez en corrélation les incidents Defender XDR avec les incidents de tous vos autres systèmes cloud et locaux. En même temps, cette intégration vous permet de bénéficier de la puissance et des fonctionnalités uniques de Defender XDR pour des investigations approfondies, ainsi que d’une expérience propre à Defender dans tout l’écosystème de Microsoft 365. Defender XDR enrichit et regroupe les alertes de plusieurs produits Microsoft Defender, ce qui a pour effet de réduire la taille de la file d’attente des incidents du SOC et de raccourcir le temps de résolution. Les alertes des produits et services Microsoft Defender suivants sont également incluses dans l’intégration de Defender XDR à Microsoft Sentinel :

• Microsoft Defender for Endpoint
• Microsoft Defender pour Identity
• Microsoft Defender pour Office 365
• Microsoft Defender for Cloud Apps
• Gestion des vulnérabilités Microsoft Defender

Les autres services dont les alertes sont collectées par Defender XDR incluent :

• Protection contre la perte de données Microsoft Purview (En savoir plus)
• Protection Microsoft Entra ID (En savoir plus)

Le connecteur Defender XDR apporte également des incidents de Microsoft Defender pour le cloud. Pour synchroniser les alertes et les entités de ces incidents également, vous devez activer le connecteur Microsoft Defender pour le cloud. Sinon, vos incidents Microsoft Defender pour le cloud apparaissent vides. Pour plus d’informations, consultez Ingérer les incidents Microsoft Defender pour le cloud avec l’intégration Microsoft Defender XDR.

En plus de collecter les alertes de ces composants et autres services, Defender XDR génère ses propres alertes. Il crée des incidents à partir de toutes ces alertes et les envoie à Microsoft Sentinel.

Cas d’utilisation et scénarios courants

Envisagez d’intégrer Defender XDR à Microsoft Sentinel pour les cas d’usage et scénarios suivants :

• Intégrez Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. L’activation du connecteur Defender XDR est un prérequis. Pour plus d’informations, consultez Connecter Microsoft Sentinel à Microsoft Defender XDR.

• Activez la connexion en un clic d’incidents Defender XDR, y compris toutes les alertes et entités des composants Defender XDR, dans Microsoft Sentinel.

• Autorisez la synchronisation bidirectionnelle entre les incidents Microsoft Sentinel et Defender XDR pour l’état, le propriétaire et le motif de clôture.

• Appliquez les fonctionnalités de regroupement et d’enrichissement d’alertes Defender XDR dans Microsoft Sentinel, ce qui vous permettra de réduire le temps de résolution.

• Facilitez les investigations sur les deux portails avec des liens ciblés en contexte entre un incident Microsoft Sentinel et son incident Defender XDR associé.

Pour plus d’informations sur les fonctionnalités de l’intégration de Microsoft Sentinel à Defender XDR dans la plateforme d’opérations de sécurité unifiée, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Connexion à Microsoft Defender XDR

Installez la solution Microsoft Defender XDR pour Microsoft Sentinel depuis le hub de contenu. Ensuite, activez le connecteur de données Microsoft Defender XDR pour collecter des incidents et des alertes. Pour plus d’informations, consultez Connecter des données de Microsoft Defender XDR à Microsoft Sentinel.

Pour intégrer Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée du portail Defender, consultez Connecter Microsoft Sentinel à Microsoft Defender XDR.

Après avoir activé la collecte des alertes et des incidents dans le connecteur de données Defender XDR, les incidents Defender XDR apparaissent dans la file d’attente des incidents Microsoft Sentinel peu après leur génération dans Defender XDR. Dans ces incidents, le champ Nom du produit d’alerte contient Microsoft Defender XDR ou l’un des noms des services Defender du composant.

• Jusqu’à 10 minutes peuvent s’écouler entre le moment où un incident est généré dans Defender XDR et le moment où il apparaît dans Microsoft Sentinel.

• Les alertes et incidents de Defender XDR (ces éléments qui remplissent les tableaux SecurityAlert et SecurityIncident) sont ingérés dans Microsoft Sentinel et synchronisés avec Microsoft Sentinel sans frais. Pour tous les autres types de données provenant de composants individuels de Defender (tels que les tableaux Repérage avancé, DeviceInfo, DeviceFileEvents, EmailEvents et ainsi de suite), l’ingestion est facturée.

• Lorsque le connecteur Defender XDR est activé, les alertes créées par les produits intégrés à Defender XDR sont envoyées à Defender XDR et regroupées en incidents. Les alertes et les incidents sont transmis à Microsoft Sentinel via le connecteur Defender XDR. Si vous avez activé l’un des connecteurs des composants individuels au préalable, ils restent connectés, bien qu’aucune donnée ne circule à travers eux.

  L’exception à ce processus est Microsoft Defender pour le cloud. Bien que son intégration à Defender XDR signifie que vous recevez des incidents Defender pour le cloud via Defender XDR, vous devez également activer un connecteur Microsoft Defender pour le cloud pour recevoir des alertes Defender pour le cloud. Pour obtenir les options disponibles et plus d’informations, consultez les articles suivants :

  • Microsoft Defender pour le cloud dans le portail Microsoft Defender
  • Ingérer les incidents Microsoft Defender pour le cloud avec l’intégration de Microsoft Defender XDR

• De même, pour éviter de créer des incidents en double pour les mêmes alertes, le paramètre Règles de création d’incidents Microsoft est désactivé pour les produits intégrés à Defender XDR lors de la connexion de Defender XDR. Cela est dû au fait que Defender XDR a ses propres règles de création d’incident. Cette modification a les incidences potentielles suivantes :

  • Les règles de création d’incidents de Microsoft Sentinel vous permettent de filtrer les alertes qui seront utilisées pour créer des incidents. Avec ces règles désactivées, vous pouvez conserver la fonctionnalité de filtrage des alertes en configurant le paramétrage des alertes dans le portail Microsoft Defender ou en utilisant des règles d’automatisation pour supprimer (fermer) les incidents que vous ne voulez pas.

  • Vous ne pouvez plus prédéterminer les titres des incidents, puisque le moteur de corrélation de Defender XDR se charge de la création des incidents et nomme automatiquement les incidents qu’il crée. Cette modification est susceptible d’affecter les règles d’automatisation que vous avez créées et qui utilisent le nom de l’incident comme condition. Pour éviter cet écueil, utilisez des critères autres que le nom de l’incident comme conditions pour déclencher des règles d’automatisation. Nous vous recommandons d’utiliser des étiquettes.

Utilisation d’incidents Microsoft Defender XDR dans Microsoft Sentinel et synchronisation bidirectionnelle

Les incidents Defender XDR s’affichent dans la file d’attente d’incidents Microsoft Sentinel avec le nom de produit Microsoft Defender XDR, ainsi qu’avec des détails et fonctionnalités similaires à ceux d’autres incidents Microsoft Sentinel. Chaque incident contient un lien vers l’incident parallèle dans le portail Microsoft Defender XDR.

À mesure que l’incident évolue dans Defender XDR et que d’autres alertes ou entités viennent s’ajouter, l’incident Microsoft Sentinel est mis à jour en conséquence.

Les modifications apportées à l’état, au motif de clôture ou à l’affectation d’un incident Defender XDR, tant dans Defender XDR que dans Microsoft Sentinel, sont également mises à jour en conséquence dans la file d’attente d’incidents de l’un ou l’autre. La synchronisation a lieu dans les deux portails immédiatement après l’application de la modification de l’incident. Une actualisation peut être nécessaire pour voir les dernières modifications.

Dans Defender XDR, toutes les alertes d’un incident peuvent être transférées à un autre, ce qui a pour effet de fusionner les incidents. Quand cette fusion se produit, les incidents Microsoft Sentinel reflètent les modifications. Un incident contient toutes les alertes des incidents d’origine, tandis que l’autre est automatiquement clos avec l’étiquette « redirigé ».

Remarque

Les incidents dans Microsoft Sentinel peuvent contenir jusqu’à 150 alertes. Les incidents Defender XDR peuvent en avoir plus que cela. Si un incident Defender XDR contenant plus de 150 alertes est synchronisé sur Microsoft Sentinel, l’incident Microsoft Sentinel indique la présence de « 150+ » alertes et fournit un lien vers l’incident parallèle dans Defender XDR, où vous pouvez voir l’intégralité des alertes.

Collecte d’événements de repérage avancé

Le connecteur Defender XDR vous permet aussi de diffuser en continu les événements de repérage avancé, un type de données d’événement brutes, de Defender XDR et de ses services de composants vers Microsoft Sentinel. Collectez les événements de repérage avancé de tous les composants Defender XDR et transmettez-les en continu directement dans des tableaux spécialement conçus dans votre espace de travail Microsoft Sentinel. Ces tableaux reposent sur le même schéma que celui utilisé dans le portail Defender. Cela vous donne un accès total à l’intégralité des événements de repérage avancé et vous permet d’effectuer les tâches suivantes :

• Copiez facilement vos requêtes de repérage avancé Microsoft Defender pour point de terminaison/Office 365/Identité/Applications cloud existantes dans Microsoft Sentinel.

• Utilisez les journaux des événements bruts afin de fournir des insights supplémentaires pour vos alertes, la recherche de menaces et l’investigation, et mettez en corrélation les événements avec ceux provenant d’autres sources de données dans Microsoft Sentinel.

• Stocker les journaux avec une période de rétention plus longue, au-delà de la période par défaut de 30 jours de Defender XDR. Pour ce faire, vous pouvez configurer la période de conservation de votre espace de travail ou la conservation par table dans Log Analytics.

Étapes suivantes

Dans ce document, vous avez découvert l’avantage d’utiliser Defender XDR et Microsoft Sentinel ensemble en activant le connecteur Defender XDR dans Microsoft Sentinel.

• Connecter les données de Microsoft Defender XDR à Microsoft Sentinel
• Pour utiliser la plateforme d’opérations de sécurité unifiée dans le portail Defender, consultez Connecter les données de Microsoft Sentinel à Microsoft Defender XDR.
• Vérifiez la disponibilité des différents types de données Microsoft Defender XDR dans les différents clouds Microsoft 365 et Azure.
• Créer des alertes personnalisées et investiguer sur des incidents.