adatok Csatlakozás a Microsoft Defender XDR-ből a Microsoft Sentinelbe
A Microsoft Sentinel Incidensintegrációval rendelkező Microsoft Defender XDR-összekötője lehetővé teszi, hogy az összes Microsoft Defender XDR-incidenst és riasztást a Microsoft Sentinelbe streamelje, és szinkronizálja az incidenseket mindkét portál között. A Microsoft Defender XDR-incidensek tartalmazzák az összes riasztást, entitást és egyéb releváns információt. Emellett a Microsoft Defender XDR összetevő-szolgáltatásainak Végponthoz készült Microsoft Defender, a Microsoft Defender for Identity, a Office 365-höz készült Microsoft Defender és a Felhőhöz készült Microsoft Defender Alkalmazások, valamint más szolgáltatások, például Microsoft Purview adatveszteség-megelőzés és Microsoft Entra ID-védelem riasztásai. A Microsoft Defender XDR-összekötő incidenseket is hoz Felhőhöz készült Microsoft Defender, bár az ilyen incidensekből származó riasztások és entitások szinkronizálásához engedélyeznie kell a Felhőhöz készült Microsoft Defender összekötőt, ellenkező esetben a Felhőhöz készült Microsoft Defender incidensek üresnek fognak tűnni. További információ a Felhőhöz készült Microsoft Defender elérhető összekötőiről.
Az összekötő lehetővé teszi a speciális vadászati események streamelését a fenti Defender-összetevőkből a Microsoft Sentinelbe, lehetővé téve, hogy a Defender-összetevők speciális keresési lekérdezéseit a Microsoft Sentinelbe másolja, a Sentinel-riasztásokat a Defender-összetevők nyers eseményadataival bővítse, hogy további elemzéseket nyújtson, és a naplókat nagyobb megőrzéssel tárolja a Log Analyticsben.
Az incidensintegrációval és a speciális vadászati eseménygyűjteménysel kapcsolatos további információkért lásd a Microsoft Defender XDR és a Microsoft Sentinel integrációját ismertető cikket.
A Microsoft Defender XDR-összekötő általánosan elérhető.
Megjegyzés:
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Előfeltételek
A Microsoft Defender XDR előfeltételeiben leírtak szerint érvényes licenccel kell rendelkeznie a Microsoft Defender XDR-hez.
A felhasználóhoz hozzá kell rendelni a globális Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepköröket azon a bérlőn, amelyről a naplókat továbbítani szeretné.
A felhasználónak olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
Az összekötő beállításainak módosításához a felhasználónak ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia, amelyhez a Microsoft Sentinel-munkaterület társítva van.
Telepítse a Microsoft Defender XDR megoldását a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Az Active Directory MDI-en keresztüli szinkronizálásának előfeltételei
A bérlőt fel kell venni a Microsoft Defender for Identity szolgáltatásba.
Az MDI-érzékelőnek telepítve kell lennie.
Csatlakozás a Microsoft Defender XDR-be
A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget, válassza a Microsoft Defender XDR lehetőséget a katalógusból, és válassza az Összekötő megnyitása lapot.
A Konfiguráció szakasz három részből áll:
incidensek és riasztások Csatlakozás lehetővé teszi a Microsoft Defender XDR és a Microsoft Sentinel alapvető integrációját, szinkronizálva az incidenseket és azok riasztásait a két platform között.
Csatlakozás entitások lehetővé teszi helyi Active Directory felhasználói identitások Microsoft Sentinelbe való integrálását a Microsoft Defender for Identity használatával.
Csatlakozás események lehetővé teszi a Defender-összetevőkből származó, nyersen fejlett vadászesemények gyűjtését.
Ezeket az alábbiakban részletesebben ismertetjük. További információ: Microsoft Defender XDR-integráció a Microsoft Sentinelrel .
incidensek és riasztások Csatlakozás
A Microsoft Defender XDR-incidensek és azok összes riasztásának betöltése és szinkronizálása a Microsoft Sentinel-incidensek üzenetsorába:
Jelölje be az ezen termékekhez tartozó Összes Microsoft-incidenslétrehozási szabály kikapcsolása jelölőnégyzetet . Az incidensek ismétlődésének elkerülése érdekében ajánlott.
(Ez a jelölőnégyzet nem jelenik meg a Microsoft Defender XDR-összekötő csatlakoztatása után.)Válassza az Csatlakozás incidensek > riasztások gombot.
Megjegyzés:
A Microsoft Defender XDR-összekötő engedélyezésekor a Microsoft Defender XDR-összetevők összes összekötője (a cikk elején említettek) automatikusan csatlakozik a háttérben. Az összetevők egyik összekötőjének leválasztásához először le kell választania a Microsoft Defender XDR-összekötőt.
A Microsoft Defender XDR incidensadatainak lekérdezéséhez használja a következő utasítást a lekérdezési ablakban:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Csatlakozás entitások
A Microsoft Defender for Identity használatával szinkronizálhatja a felhasználói entitásokat a helyi Active Directory és a Microsoft Sentinel között.
Ellenőrizze, hogy teljesítette-e az helyi Active Directory felhasználók Microsoft Defender for Identity (MDI) szolgáltatáson keresztüli szinkronizálásának előfeltételeit.
Válassza a Go the UEBA configuration page linket.
Ha még nem engedélyezte az UEBA-t az Entitás viselkedésének konfigurációs lapján, akkor a lap tetején vigye a kapcsolót Be állásba.
Jelölje be az Active Directory (előzetes verzió) jelölőnégyzetet, és válassza az Alkalmaz lehetőséget.
Csatlakozás események
Ha speciális vadászeseményeket szeretne gyűjteni Végponthoz készült Microsoft Defender vagy Office 365-höz készült Microsoft Defender, a következő típusú események gyűjthetők össze a megfelelő speciális vadásztáblákból.
Jelölje be a táblák jelölőnégyzetét az összegyűjtendő eseménytípusokkal:
- Végponthoz készült Defender
- Office 365-höz készült Defender
- Defender for Identity
- Felhőhöz készült Defender-alkalmazások
- Defender-riasztások
Tábla neve Események típusa DeviceInfo Gépadatok, beleértve az operációs rendszer adatait DeviceNetworkInfo Az eszközök hálózati tulajdonságai, beleértve a fizikai adaptereket, az IP- és MAC-címeket, valamint a csatlakoztatott hálózatokat és tartományokat DeviceProcessEvents Folyamat létrehozása és kapcsolódó események DeviceNetworkEvents Hálózati kapcsolat és kapcsolódó események DeviceFileEvents Fájllétrehozás, -módosítás és egyéb fájlrendszeresemények DeviceRegistryEvents Beállításjegyzék-bejegyzések létrehozása és módosítása DeviceLogonEvents Bejelentkezések és egyéb hitelesítési események az eszközökön DeviceImageLoadEvents DLL-betöltési események DeviceEvents Több eseménytípus, beleértve az olyan biztonsági vezérlők által aktivált eseményeket is, mint a Windows Defender víruskereső és a védelem kihasználása DeviceFileCertificateInfo Tanúsítványinformációk a végpontok tanúsítvány-ellenőrzési eseményeiből beszerzett aláírt fájlokról Kattintson a Módosítások alkalmazása gombra.
A Log Analytics speciális vadásztábláinak lekérdezéséhez írja be a tábla nevét a fenti listából a lekérdezési ablakban.
Adatbetöltés ellenőrzése
Az összekötőoldal adatgráfja azt jelzi, hogy adatokat foglal le. Megfigyelheti, hogy az incidensekhez, riasztásokhoz és eseményekhez egy-egy sort jelenít meg, az eseménysor pedig az eseménymennyiség összesítése az összes engedélyezett táblában. Miután engedélyezte az összekötőt, az alábbi KQL-lekérdezésekkel pontosabb grafikonokat hozhat létre.
Használja a következő KQL-lekérdezést a bejövő Microsoft Defender XDR-incidensek gráfjaihoz:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Az alábbi KQL-lekérdezéssel egyetlen táblához hozhat létre eseménykötet-diagramot (módosítsa a DeviceEvents táblát a kívánt táblára):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
A Következő lépések lapon hasznos munkafüzeteket, minta lekérdezéseket és elemzési szabálysablonokat talál. Futtathatja őket a helyszínen, vagy módosíthatja és mentheti őket.
További lépések
Ebben a dokumentumban megtanulta, hogyan integrálhatja a Microsoft Defender XDR-incidenseket és a Microsoft Defender összetevőszolgáltatásainak speciális vadászati eseményadatait a Microsoft Sentinelbe a Microsoft Defender XDR-összekötő használatával. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.