Microsoft Defender XDR-integráció a Microsoft Sentinelrel

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

A Microsoft Defender XDR integrálása a Microsoft Sentinellel az összes Defender XDR-incidens és speciális vadászati esemény Microsoft Sentinelbe való streameléséhez, valamint az Incidensek és események szinkronizálása az Azure és a Microsoft Defender portálok között. A Defender XDR incidensei tartalmazzák az összes kapcsolódó riasztást, entitást és releváns információt, és elegendő kontextust biztosítanak a Microsoft Sentinelben végzett osztályozáshoz és előzetes vizsgálathoz. A Microsoft Sentinelben az incidensek kétirányú szinkronizálást folytatnak a Defender XDR-sel, így kihasználhatja mindkét portál előnyeit az incidensvizsgálat során.

Másik lehetőségként a Microsoft Sentinel és a Defender XDR előkészítése az egyesített biztonsági üzemeltetési platformra a Defender portálon. Az egységes biztonsági üzemeltetési platform a Microsoft Sentinel, a Defender XDR és a kifejezetten a kiberbiztonsághoz készült generatív AI teljes képességeit egyesíti. További információkat találhat az alábbi forrásokban:

• Blogbejegyzés: A Microsoft egyesített biztonsági üzemeltetési platformjának általános elérhetősége
• Microsoft Sentinel a Microsoft Defender portálon
• Microsoft Copilot a Microsoft Defenderben

Microsoft Sentinel és Defender XDR

Az alábbi módszerek egyikével integrálhatja a Microsoft Sentinelt a Microsoft Defender XDR-szolgáltatásokkal:

• A Microsoft Defender XDR szolgáltatás adatainak betöltése a Microsoft Sentinelbe, és a Microsoft Sentinel-adatok megtekintése az Azure Portalon. Engedélyezze a Defender XDR-összekötőt a Microsoft Sentinelben.

• A Microsoft Sentinel és a Defender XDR integrálása egyetlen egységes biztonsági üzemeltetési platformba a Microsoft Defender portálon. Ebben az esetben közvetlenül a Microsoft Defender portálon tekintheti meg a Microsoft Sentinel-adatokat a Többi Defender-incidenssel, riasztással, biztonsági résekkel és egyéb biztonsági adatokkal. Engedélyezze a Defender XDR-összekötőt a Microsoft Sentinelben, és a Microsoft Sentinelt a Defender portálon egyesített üzemeltetési platformra.

A megfelelő fülre kattintva megtekintheti, hogy a Microsoft Sentinel és a Defender XDR integrációja hogyan néz ki attól függően, hogy melyik integrációs módszert használja.

Azure Portalra

Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel.

Ebben a diagramban:

• A teljes szervezeten belüli jelekből származó információk a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
• A Microsoft Defender XDR és Felhőhöz készült Microsoft Defender SIEM-naplóadatokat küldenek a Microsoft Sentinel-összekötőken keresztül.
• A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinelben és a Microsoft Defender XDR-ben azonosított fenyegetéseket.
• A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.

Defender portál

Az alábbi ábra bemutatja, hogyan integrálható zökkenőmentesen a Microsoft XDR-megoldása a Microsoft Sentinellel az egyesített biztonsági üzemeltetési platformmal.

Ebben a diagramban:

• A teljes szervezeten belüli jelekből származó információk a Microsoft Defender XDR-be és Felhőhöz készült Microsoft Defender.
• A Microsoft Sentinel támogatja a többfelhős környezeteket, és integrálható külső alkalmazásokkal és partnerekkel.
• A Microsoft Sentinel-adatok a szervezet adataival együtt kerülnek be a Microsoft Defender portálra.
• A SecOps-csapatok ezután elemezhetik és megválaszolhatják a Microsoft Sentinel és a Microsoft Defender XDR által a Microsoft Defender portálon azonosított fenyegetéseket.

Incidensek korrelációja és riasztásai

A Defender XDR és a Microsoft Sentinel integrációjával a Defender XDR-incidensek a Microsoft Sentinelből láthatók és kezelhetők. Ez egy elsődleges incidenssort biztosít a teljes szervezetben. A Defender XDR-incidensek megtekintése és korrelálása az összes többi felhőbeli és helyszíni rendszer incidenseivel együtt. Ez az integráció ugyanakkor lehetővé teszi a Defender XDR egyedi erősségeinek és képességeinek kihasználását a részletes vizsgálatokhoz és a Microsoft 365-ökoszisztéma Defender-specifikus élményéhez.

A Defender XDR számos Microsoft Defender-termék riasztásait bővíti és csoportosítja, így csökkenti az SOC incidenssorának méretét, és lerövidíti a feloldás idejét. A Defender XDR és a Microsoft Sentinel integrációjában a következő Microsoft Defender-termékek és -szolgáltatások riasztásai is szerepelnek:

• Microsoft Defender végponthoz
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender for Cloud Apps
• Microsoft Defender biztonságirés-kezelés

A Defender XDR által gyűjtött riasztásokat tartalmazó egyéb szolgáltatások a következők:

• Microsoft Purview adatveszteség-megelőzés (További információ)
• Microsoft Entra ID-védelem (További információ)

A Defender XDR-összekötő incidenseket is hoz Felhőhöz készült Microsoft Defender. Az ilyen incidensekből származó riasztások és entitások szinkronizálásához engedélyeznie kell a Felhőhöz készült Defender összekötőt a Microsoft Sentinelben. Ellenkező esetben a Felhőhöz készült Defender incidensek üresen jelennek meg. További információ: Ingest Felhőhöz készült Microsoft Defender incidensek a Microsoft Defender XDR-integrációval.

A Defender XDR amellett, hogy riasztásokat gyűjt ezekből az összetevőkből és egyéb szolgáltatásokból, saját riasztásokat hoz létre. Incidenseket hoz létre ezekből a riasztásokból, és elküldi őket a Microsoft Sentinelnek.

Gyakori használati esetek és forgatókönyvek

Fontolja meg a Defender XDR és a Microsoft Sentinel integrálását a következő használati esetekhez és forgatókönyvekhez:

• A Microsoft Sentinel előkészítése az egyesített biztonsági üzemeltetési platformra a Microsoft Defender portálon. A Defender XDR-összekötő engedélyezése előfeltétele.

• Engedélyezze a Defender XDR-incidensek egykattintásos csatlakoztatását, beleértve a Defender XDR összetevőiből származó összes riasztást és entitást a Microsoft Sentinelbe.

• Kétirányú szinkronizálás engedélyezése a Microsoft Sentinel és a Defender XDR incidensei között az állapot, a tulajdonos és a záró ok alapján.

• A Defender XDR riasztási csoportosítási és bővítési képességeinek alkalmazása a Microsoft Sentinelben, így kevesebb időt kell megoldani.

• A microsoft sentineles incidens és a párhuzamos Defender XDR-incidens közötti, kontextuson belüli mély kapcsolatokkal rendelkező vizsgálatok megkönnyítése mindkét portálon.

A Microsoft Sentinel és a Defender XDR egyesített biztonsági üzemeltetési platformon való integrációjának képességeiről a Microsoft Sentinel a Microsoft Defender portálon talál további információt.

Csatlakozás a Microsoft Defender XDR-hez

Engedélyezze a Microsoft Defender XDR-összekötőt a Microsoft Sentinelben, hogy az összes Defender XDR-incidenst és riasztási információt elküldje a Microsoft Sentinelnek, és szinkronizálja az incidenseket.

• Először telepítse a Microsoft Sentinelhez készült Microsoft Defender XDR-megoldást a Content Hubról. Ezután engedélyezze a Microsoft Defender XDR-adatösszekötőnek az incidensek és riasztások gyűjtését. További információ: Adatok csatlakoztatása a Microsoft Defender XDR-ből a Microsoft Sentinelhez.

• Miután engedélyezte a riasztások és incidensek gyűjtését a Defender XDR-adatösszekötőben, a Defender XDR-incidensek röviddel a Defender XDR-ben történő létrehozása után megjelennek a Microsoft Sentinel incidensek üzenetsorában. Az incidensnek a Defender XDR-ben való létrejöttétől kezdve a Microsoft Sentinelben való megjelenésig akár 10 percet is igénybe vehet. Ezekben az incidensekben a Riasztás terméknév mező a Microsoft Defender XDR-t vagy az összetevő Defender-szolgáltatások egyik nevét tartalmazza.

• Ha a Microsoft Sentinel-munkaterületet a Defender portál egyesített biztonsági üzemeltetési platformjára szeretné előkészíteni, olvassa el a Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez című témakört.

Betöltési költségek

A Defender XDR riasztásai és incidensei, beleértve a SecurityAlert és a SecurityIncident táblákat feltöltő elemeket, díjmentesen betöltődnek és szinkronizálódnak a Microsoft Sentinellel. Az egyes Defender-összetevők összes többi adattípusa, például a DeviceInfo, a DeviceFileEvents, a EmailEvents stb. speciális vadásztáblái esetében a betöltési díjat számítjuk fel. További információ: Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése.

Adatbetöltési viselkedés

Ha engedélyezve van a Defender XDR-összekötő, a Rendszer a Defender XDR-hez integrált termékek által létrehozott riasztásokat elküldi a Defender XDR-nek, és incidensek szerint csoportosítja. A riasztások és az incidensek is a Microsoft Sentinelbe áramlanak a Defender XDR-összekötőn keresztül. A folyamat kivétele Felhőhöz készült Defender. Engedélyezheti, hogy a bérlőalapú Felhőhöz készült Defender-riasztások a Defender XDR-n keresztül fogadják az összes riasztást és incidenst, vagy előfizetésalapú riasztásokat tartsanak fenn, és előléptethessék őket incidensekként a Microsoft Sentinelben az Azure Portalon. A rendelkezésre álló lehetőségekről és további információkról a következő cikkekben olvashat:

• Felhőhöz készült Microsoft Defender a Microsoft Defender portálon
• Felhőhöz készült Microsoft Defender incidensek betöltése a Microsoft Defender XDR-integrációval

Microsoft-incidensek létrehozási szabályai

Annak érdekében, hogy ne hozzon létre ismétlődő incidenseket ugyanazon riasztásokhoz, a Microsoft incidenslétrehozási szabályainak beállítása ki van kapcsolva a Defender XDR-sel integrált termékek esetében a Defender XDR csatlakoztatásakor. A Defender XDR-hez integrált termékek közé tartozik a Microsoft Defender for Identity, a Office 365-höz készült Microsoft Defender és egyebek. Emellett a Microsoft incidenslétrehozási szabályai nem támogatottak az egységes biztonsági üzemeltetési platformon. A Defender XDR saját incidens-létrehozási szabályokkal rendelkezik. Ennek a változásnak a következő lehetséges hatásai vannak:

• A Microsoft Sentinel incidens-létrehozási szabályai lehetővé tették az incidensek létrehozásához használt riasztások szűrését. Ha ezek a szabályok le vannak tiltva, őrizze meg a riasztásszűrési képességet úgy, hogy konfigurálja a riasztáshangolást a Microsoft Defender portálon, vagy automatizálási szabályokkal letiltja vagy bezárja a nem kívánt incidenseket.

• A Defender XDR-összekötő engedélyezése után már nem definiálhatja előre az incidensek címét. A Defender XDR korrelációs motorja vezeti az incidensek létrehozását, és automatikusan elnevezi az általa létrehozott incidenseket. Ez a módosítás hatással lehet minden olyan automatizálási szabályra, amely az incidens nevét feltételként használja. Ennek a buktatónak a elkerülése érdekében az incidens nevén kívül más feltételeket is használjon az automatizálási szabályok aktiválásához. Javasoljuk, hogy címkéket használjunk.

• Ha a Microsoft Sentinel incidenslétrehozási szabályait más, a Defender XDR-be nem integrált Microsoft biztonsági megoldásokhoz vagy termékekhez használja, például Microsoft Purview belső kockázatkezelés, és a Defender portálon az egyesített biztonsági üzemeltetési platformra készül, cserélje le az incidenslétrehozási szabályokat ütemezett elemzési szabályokra.

Microsoft Defender XDR-incidensek használata a Microsoft Sentinelben és kétirányú szinkronizálásban

A Defender XDR-incidensek a Microsoft Sentinel incidensek várólistájában jelennek meg a Microsoft Defender XDR terméknévvel, és hasonló részletekkel és funkciókkal, mint bármely más Microsoft Sentinel-incidens. Minden incidens tartalmaz egy hivatkozást a párhuzamos incidensre a Microsoft Defender portálon.

Ahogy az incidens a Defender XDR-ben fejlődik, és további riasztások vagy entitások kerülnek hozzá, a Microsoft Sentinel-incidens ennek megfelelően frissül.

A Defender XDR-incidens állapotában, záró okában vagy hozzárendelésében végrehajtott módosítások a Defender XDR-ben vagy a Microsoft Sentinelben is ennek megfelelően frissülnek a másik incidenssorban. A szinkronizálás mindkét portálon közvetlenül az incidens módosítása után történik, késedelem nélkül. Előfordulhat, hogy frissítésre van szükség a legújabb módosítások megtekintéséhez.

A Defender XDR-ben az egyik incidens összes riasztása továbbítható egy másikba, így az incidensek egyesülnek. Az egyesítés során a Microsoft Sentinel-incidensek tükrözik a változásokat. Az egyik incidens mindkét eredeti incidens összes riasztását tartalmazza, a másik incidens pedig automatikusan lezárul, és hozzá van adva egy "átirányított" címke.

Feljegyzés

A Microsoft Sentinel incidensei legfeljebb 150 riasztást tartalmazhatnak. A Defender XDR-incidensek ennél többel is rendelkezhetnek. Ha egy 150-nél több riasztást tartalmazó Defender XDR-incidens szinkronizálva van a Microsoft Sentinelrel, a Microsoft Sentinel-incidens "150+" riasztásként jelenik meg, és hivatkozást biztosít a Defender XDR párhuzamos incidensére, ahol a riasztások teljes készlete látható.

Speciális vadászati eseménygyűjtemény

A Defender XDR-összekötő lehetővé teszi a speciális vadászati események – például a nyers eseményadatok – továbbítását is a Defender XDR-ből és annak összetevőszolgáltatásaiból a Microsoft Sentinelbe. Gyűjtse össze a speciális vadászati eseményeket az összes Defender XDR-összetevőből, és streamelje őket közvetlenül a Microsoft Sentinel-munkaterület célalapú tábláiba. Ezek a táblák a Defender portálon használt sémára épülnek, amely teljes hozzáférést biztosít a speciális vadászati események teljes készletéhez, és lehetővé teszi a következő feladatok elvégzését:

• Egyszerűen másolja a meglévő Végponthoz készült Microsoft Defender/Office 365/Identity/Cloud Apps speciális keresési lekérdezéseit a Microsoft Sentinelbe.

• A nyers eseménynaplókkal további elemzéseket adhat a riasztásokhoz, a kereséshez és a vizsgálathoz, és összevetheti ezeket az eseményeket más adatforrásokból származó eseményekkel a Microsoft Sentinelben.

• A naplókat a Defender XDR vagy összetevőinek alapértelmezett 30 napos megőrzési időtartamán túl fokozott megőrzéssel tárolhatja. Ezt a munkaterület megőrzésének konfigurálásával vagy a Log Analytics táblánkénti adatmegőrzésének konfigurálásával teheti meg.

Kapcsolódó tartalom

Ebben a dokumentumban megismerkedett a Defender XDR-összekötő Microsoft Sentinelben való engedélyezésének előnyeivel.

• Adatok csatlakoztatása a Microsoft Defender XDR-ből a Microsoft Sentinelhez
• Az egyesített biztonsági üzemeltetési platform a Defender portálon való használatához lásd a Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez című témakört.
• Ellenőrizze a Különböző Microsoft Defender XDR-adattípusok rendelkezésre állását a különböző Microsoft 365- és Azure-felhőkben.