Adatok csatlakoztatása a Microsoft Defender XDR-ből a Microsoft Sentinelhez

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

A Microsoft Sentinel Microsoft Defender XDR-összekötője lehetővé teszi, hogy az összes Microsoft Defender XDR-incidenst, riasztást és speciális vadászati eseményt a Microsoft Sentinelbe streamelje. Ez az összekötő szinkronizálja az incidenseket mindkét portál között. A Microsoft Defender XDR-incidensek riasztásokat, entitásokat és egyéb releváns információkat tartalmaznak az összes Microsoft Defender-termékből és szolgáltatásból. További információ: Microsoft Defender XDR-integráció a Microsoft Sentinellel.

A Defender XDR-összekötő, különösen incidensintegrációs funkciója az egységes biztonsági üzemeltetési platform alapja. Ha a Microsoft Sentinelt a Microsoft Defender portálra készíti elő, először engedélyeznie kell ezt az összekötőt incidensintegrációval.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A kezdés előtt rendelkeznie kell az ebben a szakaszban ismertetett megfelelő licencelési, hozzáférési és konfigurált erőforrásokkal.

• A Microsoft Defender XDR előfeltételeiben leírtak szerint érvényes licenccel kell rendelkeznie a Microsoft Defender XDR-hez.
• A felhasználói fiókjához hozzá kell rendelni a globális rendszergazdai vagy biztonsági rendszergazdai szerepköröket azon a bérlőn, ahonnan a naplókat át szeretné streamelni.
• Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
• Az összekötő beállításainak módosításához a fióknak ugyanahhoz a Microsoft Entra-bérlőhöz kell tartoznia, amelyhez a Microsoft Sentinel-munkaterület társítva van.
• Telepítse a Microsoft Defender XDR megoldását a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
• Adjon hozzáférést a Microsoft Sentinelhez a szervezetnek megfelelő módon. További információ: Szerepkörök és engedélyek a Microsoft Sentinelben.

A Microsoft Defender for Identity helyi Active Directory szinkronizálása esetén:

• A bérlőt fel kell venni a Microsoft Defender for Identity szolgáltatásba.
• Telepítve kell lennie a Microsoft Defender for Identity érzékelőnek.

Csatlakozás a Microsoft Defender XDR-hez

A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget. Válassza ki a Microsoft Defender XDR-t a katalógusból és az Összekötő megnyitása lapról.

A Konfiguráció szakasz három részből áll:

1. Az incidensek és riasztások összekapcsolása lehetővé teszi a Microsoft Defender XDR és a Microsoft Sentinel alapvető integrációját, szinkronizálva az incidenseket és azok riasztásait a két platform között.

2. A kapcsolódási entitások lehetővé teszik helyi Active Directory felhasználói identitások integrálását a Microsoft Sentinelbe a Microsoft Defender for Identity használatával.

3. A kapcsolódási események lehetővé teszik a defender-összetevőkből származó, nyersen fejlett vadászesemények gyűjtését.

További információ: Microsoft Defender XDR-integráció a Microsoft Sentinellel.

Incidensek és riasztások csatlakoztatása

A Microsoft Defender XDR-incidensek microsoft sentineles incidenssorba való betöltéséhez és szinkronizálásához hajtsa végre az alábbi lépéseket.

1. Jelölje be az ezen termékekhez tartozó Összes Microsoft-incidenslétrehozási szabály kikapcsolása jelölőnégyzetet . Az incidensek ismétlődésének elkerülése érdekében ajánlott. Ez a jelölőnégyzet nem jelenik meg a Microsoft Defender XDR-összekötő csatlakoztatása után.

2. Válassza a Csatlakozás incidensek > riasztások gombot .

3. Ellenőrizze, hogy a Microsoft Sentinel gyűjti-e a Microsoft Defender XDR incidensadatait. Az Azure Portal Microsoft Sentinel-naplóiban futtassa a következő utasítást a lekérdezési ablakban:

      SecurityIncident
      |    where ProviderName == "Microsoft 365 Defender"
   

A Microsoft Defender XDR-összekötő engedélyezésekor a korábban csatlakoztatott Microsoft Defender-összetevők összekötői automatikusan le lesznek választva a háttérben. Bár továbbra is összekapcsoltnak tűnnek , nem folyik rajtuk keresztül adat.

Entitások csatlakoztatása

A Microsoft Defender for Identity használatával szinkronizálhatja a felhasználói entitásokat a helyi Active Directory és a Microsoft Sentinel között.

1. Válassza a Go the UEBA configuration page linket.

2. Ha nem engedélyezte az UEBA használatát az Entitás viselkedése konfigurációs lapon, akkor a lap tetején helyezze a kapcsolót Be állásba.

3. Jelölje be az Active Directory (előzetes verzió) jelölőnégyzetet, és válassza az Alkalmaz lehetőséget.

   

Események csatlakoztatása

Ha speciális vadászeseményeket szeretne gyűjteni Végponthoz készült Microsoft Defender vagy Office 365-höz készült Microsoft Defender, a következő típusú események gyűjthetők össze a megfelelő speciális vadásztáblákból.

1. Jelölje be a táblák jelölőnégyzetét az összegyűjtendő eseménytípusokkal:

   Végponthoz készült Defender

   Tábla neve	Események típusa
   DeviceInfo	Gépadatok, beleértve az operációs rendszer adatait
   DeviceNetworkInfo	Az eszközök hálózati tulajdonságai, beleértve a fizikai adaptereket, az IP- és MAC-címeket, valamint a csatlakoztatott hálózatokat és tartományokat
   DeviceProcessEvents	Folyamat létrehozása és kapcsolódó események
   DeviceNetworkEvents	Hálózati kapcsolat és kapcsolódó események
   DeviceFileEvents	Fájllétrehozás, -módosítás és egyéb fájlrendszeresemények
   DeviceRegistryEvents	Beállításjegyzék-bejegyzések létrehozása és módosítása
   DeviceLogonEvents	Bejelentkezések és egyéb hitelesítési események az eszközökön
   DeviceImageLoadEvents	DLL-betöltési események
   DeviceEvents	Több eseménytípus, beleértve az olyan biztonsági vezérlők által aktivált eseményeket is, mint a Windows Defender víruskereső és a védelem kihasználása
   DeviceFileCertificateInfo	Tanúsítványinformációk a végpontok tanúsítvány-ellenőrzési eseményeiből beszerzett aláírt fájlokról

   Office 365-höz készült Defender

   Tábla neve	Események típusa
   EmailAttachmentInfo	Információk az e-mailekhez csatolt fájlokról
   EmailEvents	Microsoft 365-ös e-mailes események, beleértve az e-mailek kézbesítését és az események blokkolását
   EmailPostDeliveryEvents	A kézbesítés utáni biztonsági események, miután a Microsoft 365 kézbesíti az e-maileket a címzett postaládájába
   EmailUrlInfo	Információk az e-mailek URL-címeiről
   UrlClickEvents	Az URL-címeket tartalmazó események Office 365-höz készült Microsoft Defender

   Defender for Identity

   Tábla neve	Események típusa
   IdentityDirectoryEvents	Különböző identitással kapcsolatos események, például jelszómódosítások, jelszó lejárata és egyszerű felhasználónév (UPN) módosítása, helyi Active Directory tartományvezérlőről rögzítve A tartományvezérlő rendszereseményeit is tartalmazza
   IdentityLogonEvents	A helyi Active Directory keresztül végzett hitelesítési tevékenységek a Microsoft Defender for Identity által rögzített módon A Microsoft online szolgáltatások kapcsolatos hitelesítési tevékenységek a Felhőhöz készült Microsoft Defender Apps által rögzített módon
   IdentityQueryEvents	Információk az Active Directory-objektumok, például felhasználók, csoportok, eszközök és tartományok lekérdezéseiről

   Felhőhöz készült Defender-alkalmazások

   Tábla neve	Események típusa
   CloudAppEvents	Információk a Felhőhöz készült Microsoft Defender Apps által lefedett különböző felhőalkalmazásokban és szolgáltatásokban végzett tevékenységekről

   Defender-riasztások

   Tábla neve	Események típusa
   AlertInfo	Riasztások Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Microsoft Felhőappbiztonság és Microsoft Defender for Identity szolgáltatásból, beleértve a súlyossági információkat és a fenyegetések kategorizálását
   AlertEvidence	Információk a Microsoft Defender XDR-összetevők riasztásaival társított különböző entitásokról – fájlokról, IP-címekről, URL-címekről, felhasználókról és eszközökről

2. Válassza a Módosítások alkalmazása lehetőséget.

Ha lekérdezést szeretne futtatni a Log Analytics speciális vadásztábláiban, adja meg a tábla nevét a lekérdezési ablakban.

Adatbetöltés ellenőrzése

Az összekötőoldal adatgráfja azt jelzi, hogy adatokat fog betöltésre. Figyelje meg, hogy egy-egy sort jelenít meg incidensek, riasztások és események esetében, és az eseménysor az eseménymennyiség összesítése az összes engedélyezett táblában. Az összekötő engedélyezése után az alábbi KQL-lekérdezésekkel pontosabb grafikonokat hozhat létre.

Használja a következő KQL-lekérdezést a bejövő Microsoft Defender XDR-incidensek gráfjaihoz:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Az alábbi KQL-lekérdezéssel egyetlen táblához hozhat létre eseménykötet-diagramot (módosítsa a DeviceEvents táblát a kívánt táblára):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Következő lépések

Ebben a dokumentumban megtanulta, hogyan integrálhatja a Microsoft Defender XDR-incidenseket, riasztásokat és speciális vadászati eseményadatokat a Microsoft Defender szolgáltatásaiból a Microsoft Sentinelbe a Microsoft Defender XDR-összekötő használatával.

Ha az egyesített biztonsági üzemeltetési platformon a Defender XDR-vel integrált Microsoft Sentinelt szeretné használni, olvassa el a Microsoft Defender XDR-ből a Microsoft Sentinelbe való adatösszesítése című témakört.