Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique les différences entre les alertes ingérées par le biais de connecteurs autonomes et d’alertes ingérées via le connecteur XDR (Extended Detection and Response) dans Microsoft Sentinel.
Les connecteurs autonomes ingèrent des alertes directement à partir des produits de sécurité d’origine, tandis que le connecteur XDR ingère des alertes via le pipeline XDR Microsoft Defender. Cela inclut des connecteurs tels que Microsoft Defender pour Office 365, Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity, Gestion des droits relatifs à l’information (IRM), Protection contre la perte de données (DLP), Microsoft Defender pour cloud (MDC) et Microsoft Defender pour Cloud Apps (MDA).
Ces différences peuvent affecter les mappages de champs, le comportement de champ dérivé, la structure de schéma et l’ingestion d’alerte, ce qui peut avoir un impact sur vos requêtes, règles analytiques et classeurs existants. Passez en revue ces différences avant de migrer vers le connecteur XDR.
Pour obtenir le schéma d’alerte complet, consultez la référence du schéma d’alerte de sécurité.
Comportement CompromisdEntity
Le champ CompromisdEntity est géré différemment entre les produits lorsque les alertes sont ingérées via le connecteur XDR.
| Produit | Valeur équivalente CompromisedEntity dans les alertes XDR |
|---|---|
| Microsoft Defender pour point de terminaison (MDE) | Appareil où "LeadingHost": true se trouvent les entités d’alerte JSON |
| Microsoft Entra ID (Identity Protection) | Toujours défini sur l’UPN de l’utilisateur |
| Microsoft Defender pour l’identité (MDI) | Chaîne fixe "CompromisedEntity" |
Note
Dans les alertes MDE, CompromisedEntity est dérivé de l’appareil où "LeadingHost": true. Dans certaines alertes, ce champ peut ne pas être renseigné.
Dans les alertes MDI, CompromisedEntity ne représente pas un hôte ou un utilisateur et est toujours la chaîne "CompromisedEntity"littérale.
Modifications de mappage de champs
Certains champs sont renommés ou utilisent des jeux de valeurs différents dans les alertes du connecteur XDR.
| Produit | Champ/propriété hérité | Comportement XDR |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Mappé à ExtendedProperties.Category |
| Microsoft Defender pour Office (MDO) | ExtendedProperties.Status | Utilise un jeu de valeurs différent de l’héritage |
| Microsoft Defender pour Office (MDO) | ExtendedProperties.InvestigationName | Non disponible |
Transformations de schéma structurel (MDI)
Le connecteur Microsoft Defender for Identity (MDI) autonome utilise parfois des entités d’espace réservé pour stocker des informations supplémentaires. Dans le connecteur XDR, ces informations sont pliées en propriétés sous la resourceAccessEvents collection.
| Entité/propriété héritée | Représentation XDR |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId n’est plus nécessaire, car il est « identique à l’entité hôte dans laquelle ResourceAccessInfo est défini.
Filtrage d’ingestion des alertes
Certaines alertes disponibles via des connecteurs autonomes ne sont pas ingérées via le connecteur XDR.
| Produit | Comportement de filtrage |
|---|---|
| Microsoft Defender pour cloud (MDC) | Les alertes de gravité des informations ne sont pas ingérées |
| Microsoft Entra ID (système d'identification de Microsoft) | Par défaut, les alertes sous gravité élevée ne sont pas ingérées ; les clients peuvent configurer l’ingestion pour inclure toutes les gravités |
Comportement d’étendue (Microsoft Defender pour cloud)
Les alertes Microsoft Defender pour cloud utilisent différentes étendues lors de l’ingestion via le connecteur XDR.
| Étendue du connecteur autonome | Étendue du connecteur XDR |
|---|---|
| Niveau d’abonnement | Niveau du locataire |
Note
Toutes les alertes MDC sont disponibles dans l’espace de travail principal du locataire. Les alertes sont limitées en fonction des étendues d’abonnement MDC dans Defender XDR.