Connecter données de Microsoft Defender XDR vers Microsoft Sentinel
Le connecteur Microsoft Defender XDR de Microsoft Sentinel avec intégration des incidents vous permet de diffuser en continu tous les incidents et alertes Microsoft Defender XDR dans Microsoft Sentinel, et de maintenir la synchronisation des incidents entre les deux portails. Les incidents Microsoft Defender XDR incluent toutes leurs alertes, entités et autres informations pertinentes. Ils incluent également des alertes des services de composants de Microsoft Defender XDR Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity, Microsoft Defender pour Office 365 et applications Microsoft Defender pour le cloud, ainsi que des alertes provenant d’autres services tels que Protection contre la perte de données Microsoft Purview et Protection des ID Microsoft Entra. Le connecteur Microsoft Defender XDR apporte également des incidents de Microsoft Defender pour le cloud, bien que pour synchroniser les alertes et les entités à partir de ces incidents, vous devez activer le connecteur Microsoft Defender pour le cloud, sinon votre Microsoft Defender pour le cloud incidents s’affichent vides. En savoir plus sur les connecteurs disponibles pour Microsoft Defender pour le cloud.
Le connecteur vous permet aussi de diffuser des événements de repérage avancé de tous les composants Defender cités plus haut vers Microsoft Sentinel. Vous pouvez ainsi copier les requêtes de repérage avancé des composants Defender dans Microsoft Sentinel, enrichir les alertes Sentinel avec les données d’événement brutes des composants Defender pour fournir des insights supplémentaires, et stocker les journaux avec une rétention accrue dans Log Analytics.
Pour plus d’informations sur l’intégration des incidents et la collecte d’événements de repérage avancée, consultez l’intégration de Microsoft Defender XDR à Microsoft Sentinel.
Le connecteur Microsoft Defender XDR est désormais en disponibilité générale.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Prérequis
Vous devez disposer d’une licence valide pour Microsoft Defender XDR, comme décrit dans les prérequis de Microsoft Defender XDR.
Les rôles Administrateur général ou Administrateur de sécurité doivent être attribués à votre utilisateur sur le locataire à partir duquel vous souhaitez diffuser les journaux.
Votre utilisateur doit disposer d’autorisations en lecture et en écriture dans l’espace de travail Microsoft Sentinel.
Pour apporter des modifications aux paramètres du connecteur, votre utilisateur doit être membre du locataire Microsoft Entra auquel votre espace de travail Microsoft Sentinel est associé.
Installez la solution pour Microsoft Defender XDR à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Conditions préalables pour la synchronisation Active Directory via MDI
Votre locataire doit être intégré à Microsoft Defender pour Identity.
Le capteur MDI doit être installé.
Connecter à Microsoft Defender XDR
Dans Microsoft Sentinel, sélectionnez Connecteurs de données, sélectionnez Microsoft Defender XDR dans la galerie et sélectionnez Ouvrir le connecteur.
La section Configuration comprend trois parties :
Connecter incidents et alertes permet l’intégration de base entre Microsoft Defender XDR et Microsoft Sentinel, la synchronisation des incidents et leurs alertes entre les deux plateformes.
Connecter des entités permet l’intégration d’identités d’utilisateurs Active Directory local à Microsoft Sentinel via Microsoft Defender pour Identity.
Les événements de connexion activent la collecte d’événements de chasse avancés bruts à partir des composants Defender.
Ces derniers sont expliqués plus en détails ci-dessous. Pour plus d’informations, consultez l’intégration de Microsoft Defender XDR à Microsoft Sentinel .
Incidents de connexion et alertes
Pour ingérer et synchroniser les incidents Microsoft Defender XDR, avec toutes leurs alertes, à votre file d’attente des incidents Microsoft Sentinel :
Activer la case à cocher Désactiver toutes les règles de création d’incidents Microsoft pour ces produits. Recommandé, afin d’éviter la duplication des incidents.
(Cette zone case activée n’apparaît pas une fois que le connecteur Microsoft Defender XDR est connecté.)Sélectionnez le bouton Connecter incidents et alertes.
Remarque
Lorsque vous activez le connecteur Microsoft Defender XDR, tous les connecteurs des composants Microsoft Defender XDR (ceux mentionnés au début de cet article) sont automatiquement connectés en arrière-plan. Pour déconnecter l’un des connecteurs des composants, vous devez d’abord déconnecter le connecteur Microsoft Defender XDR.
Pour interroger les données d’incident Microsoft Defender XDR, utilisez l’instruction suivante dans la fenêtre de requête :
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Connecter des entités
Utilisez Microsoft Defender pour Identity pour synchroniser les entités utilisateur de votre Active Directory local avec Microsoft Sentinel.
Vérifiez que vous avez satisfait les conditions préalables à la synchronisation des utilisateurs Active Directory local via Microsoft Defender pour Identity (MDI).
Sélectionnez le lien Accéder à la page de configuration UEBA .
Dans la page de configuration du comportement de l’entité, si vous n’avez pas encore activé UEBA, en haut de la page, déplacez le bouton bascule sur Activé.
Cochez la case Active Directory (préversion) et sélectionnez Appliquer.
Connecter des événements
Si vous souhaitez collecter des événements de repérage avancé de Microsoft Defender pour point de terminaison ou Microsoft Defender pour Office 365, vous pouvez collecter les types d’événements suivants à partir de leurs tables de repérage avancé correspondantes.
Activez les cases à cocher des tables contenant les types d’événements que vous souhaitez collecter :
- Defender pour point de terminaison
- Defender pour Office 365
- Defender pour Identity
- Defender for Cloud Apps
- Alertes Defender
Nom de la table Types d’événements DeviceInfo Informations sur l’ordinateur, notamment les informations sur le système d’exploitation DeviceNetworkInfo Propriétés réseau des appareils, y compris les adaptateurs physiques, les adresses IP et MAC, ainsi que les réseaux et domaines connectés DeviceProcessEvents Création de processus et événements associés DeviceNetworkInfo Connexion réseau et événements associés DeviceFileEvents Création de fichier, modification et autres événements du système de fichiers DeviceRegistryEvents Création et modification des entrées du Registre DeviceLogonEvents Connexions et autres événements d’authentification sur les appareils DeviceImageLoadEvents Événements de chargement de DLL DeviceEvents Plusieurs types d’événements, y compris les événements déclenchés par des contrôles de sécurité, tels que l’Antivirus Microsoft Defender et la protection contre les attaques DeviceFileCertificateInfo Informations de certificat des fichiers signés obtenus à partir des événements de vérification de certificat sur des points de terminaison Cliquez sur Appliquer les modifications.
Pour interroger les tables de recherche avancée de menaces dans Log Analytics, entrez le nom de la table de la liste ci-dessus dans la fenêtre de requête.
Vérifier l’ingestion de données
Le graphique de données de la page du connecteur indique que vous ingérez des données. Vous remarquerez qu’il affiche trois lignes, respectivement pour les incidents, les alertes et les événements, et que la ligne des événements est une agrégation de volume d’événements de toutes les tables activées. Une fois le connecteur activé, vous pouvez utiliser les requêtes KQL suivantes pour générer des graphiques plus spécifiques.
Utilisez la requête KQL suivante pour obtenir un graphique des incidents XDR Microsoft Defender entrants :
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Utilises la requête KQL suivante pour générer un graphique du volume d’événements pour une seule table (remplacez la table DeviceEvents par la table requise de votre choix) :
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Sous l’onglet Étapes suivantes, vous trouverez des classeurs, exemples de requêtes et modèles de règle d’analyse utiles qui ont été inclus. Vous pouvez les exécuter sur place ou les modifier et les enregistrer.
Étapes suivantes
Dans ce document, vous avez appris à intégrer des incidents Microsoft Defender XDR et des données d’événements de repérage avancées à partir des services de composants Microsoft Defender, dans Microsoft Sentinel, à l’aide du connecteur Microsoft Defender XDR. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.