Menyambungkan data dari Microsoft Defender XDR ke Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Konektor Microsoft Defender XDR untuk Microsoft Azure Sentinel memungkinkan Anda melakukan streaming semua insiden, pemberitahuan, dan peristiwa perburuan Tingkat Lanjut Microsoft Defender XDR ke Microsoft Azure Sentinel. Konektor ini membuat insiden tetap sinkron di antara kedua portal. Insiden Microsoft Defender XDR mencakup pemberitahuan, entitas, dan informasi relevan lainnya dari semua produk dan layanan Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Integrasi Microsoft Defender XDR dengan Microsoft Sentinel.

Konektor Defender XDR, terutama fitur integrasi insidennya, adalah fondasi platform operasi keamanan terpadu. Jika Anda melakukan onboarding Microsoft Sentinel ke portal Pertahanan Microsoft, Anda harus terlebih dahulu mengaktifkan konektor ini dengan integrasi insiden.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Sebelum memulai, Anda harus memiliki lisensi, akses, dan sumber daya yang dikonfigurasi yang sesuai yang dijelaskan di bagian ini.

• Anda harus memiliki lisensi yang valid untuk Microsoft Defender XDR, seperti yang dijelaskan dalam prasyarat Microsoft Defender XDR.
• Akun pengguna Anda harus diberi peran Administrator Global atau Administrator Keamanan pada penyewa tempat Anda ingin melakukan streaming log.
• Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.
• Untuk membuat perubahan apa pun pada pengaturan konektor, akun Anda harus menjadi anggota penyewa Microsoft Entra yang sama dengan ruang kerja Microsoft Azure Sentinel Anda.
• Instal solusi untuk Microsoft Defender XDR dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.
• Berikan akses ke Microsoft Azure Sentinel yang sesuai untuk organisasi Anda. Untuk informasi selengkapnya, lihat Peran dan izin di Microsoft Azure Sentinel.

Untuk sinkronisasi Active Directory lokal melalui Microsoft Defender untuk Identitas:

• Penyewa Anda harus onboard ke Pertahanan Microsoft untuk Identitas.
• Anda harus memasang sensor Microsoft Defender untuk Identitas.

Menyambungkan ke Pertahanan Microsoft XDR

Di Microsoft Azure Sentinel, pilih Konektor data. Pilih Microsoft Defender XDR dari galeri dan Buka halaman konektor.

Bagian Konfigurasi memiliki tiga bagian:

1. Menyambungkan insiden dan pemberitahuan memungkinkan integrasi dasar antara Microsoft Defender XDR dan Microsoft Sentinel, menyinkronkan insiden dan pemberitahuannya di antara kedua platform.

2. Menghubungkan entitas memungkinkan integrasi identitas pengguna Active Directory lokal ke Microsoft Sentinel melalui Microsoft Defender for Identity.

3. Menyambungkan peristiwa memungkinkan pengumpulan peristiwa perburuan tingkat lanjut mentah dari komponen Defender.

Untuk informasi selengkapnya, lihat Integrasi Microsoft Defender XDR dengan Microsoft Sentinel.

Sambungkan insiden dan pemberitahuan

Untuk menyerap dan menyinkronkan insiden Microsoft Defender XDR dengan semua pemberitahuan mereka ke antrean insiden Microsoft Azure Sentinel Anda, selesaikan langkah-langkah berikut.

1. Tandai kotak centang berlabel Nonaktifkan semua aturan pembuatan insiden Microsoft untuk produk ini. Disarankan, untuk menghindari duplikasi insiden. Kotak centang ini tidak muncul setelah konektor Microsoft Defender XDR tersambung.

2. Pilih tombol Sambungkan insiden & pemberitahuan .

3. Verifikasi bahwa Microsoft Sentinel mengumpulkan data insiden Microsoft Defender XDR. Di Log Microsoft Azure Sentinel di portal Azure, jalankan pernyataan berikut di jendela kueri:

      SecurityIncident
      |    where ProviderName == "Microsoft 365 Defender"
   

Saat Anda mengaktifkan konektor Microsoft Defender XDR, konektor komponen Pertahanan Microsoft apa pun yang sebelumnya tersambung secara otomatis terputus di latar belakang. Meskipun terus tampak terhubung, tidak ada data yang mengalir melaluinya.

Hubungkan entitas

Gunakan Pertahanan Microsoft untuk Identitas untuk menyinkronkan entitas pengguna dari Active Directory lokal Anda ke Microsoft Sentinel.

1. Pilih tautan Buka halaman konfigurasi UEBA.

2. Di halaman Konfigurasi perilaku entitas, jika Anda tidak mengaktifkan UEBA, maka di bagian atas halaman, pindahkan tombol ke Aktif.

3. Tandai kotak centang Active Directory (Pratinjau) dan pilih Terapkan.

   

Sambungkan peristiwa

Jika Anda ingin mengumpulkan peristiwa perburuan tingkat lanjut dari Microsoft Defender for Endpoint atau Microsoft Defender for Office 365, jenis peristiwa berikut ini dapat dikumpulkan dari tabel perburuan tingkat lanjut yang sesuai.

1. Tandai kotak centang tael dengan jenis peristiwa yang ingin Anda kumpulkan:

   Pertahanan untuk Titik Akhir

   Nama tabel	Tipe acara
   DeviceInfo	Informasi komputer, termasuk informasi OS
   DeviceNetworkInfo	Properti jaringan perangkat, termasuk adaptor fisik, alamat IP dan MAC, serta jaringan dan domain yang terhubung
   DeviceProcessEvents	Pembuatan proses dan kejadian terkait
   DeviceNetworkEvents	Koneksi jaringan dan Kejadian terkait
   DeviceFileEvents	Pembuatan file, modifikasi, dan kejadian sistem file lainnya
   DeviceRegistryEvents	Pembuatan dan modifikasi entri registri
   DeviceLogonEvents	Proses masuk dan aktivitas autentikasi lainnya pada perangkat
   DeviceImageLoadEvents	Kejadian pemuatan DLL
   DeviceEvents	Beberapa jenis peristiwa, termasuk peristiwa yang dipicu oleh kontrol keamanan seperti Windows Defender Antivirus dan perlindungan eksploitasi
   DeviceFileCertificateInfo	Informasi sertifikat dari file yang ditandatangani diperoleh dari peristiwa verifikasi sertifikat di titik akhir

   Microsoft Defender for Office 365

   Nama tabel	Tipe acara
   EmailAttachmentInfo	Informasi tentang file yang dilampirkan ke email
   EmailEvents	Peristiwa email Microsoft 365, termasuk pengiriman email dan pemblokiran acara
   EmailPostDeliveryEvents	Peristiwa keamanan yang terjadi pasca-pengiriman, setelah Microsoft 365 mengirimkan email ke kotak surat penerima
   EmailUrlInfo	Informasi tentang URL pada email
   UrlClickEvents	Peristiwa yang melibatkan URL diklik, dipilih, atau diminta di Microsoft Defender untuk Office 365

   Pertahanan untuk Identitas

   Nama tabel	Tipe acara
   IdentityDirectoryEvents	Berbagai peristiwa terkait identitas, seperti perubahan kata sandi, kedaluwarsa kata sandi, dan perubahan nama prinsipal pengguna (UPN), diambil dari pengendali domain Active Directory lokal Juga termasuk peristiwa sistem pada pengendali domain
   IdentityLogonEvents	Aktivitas autentikasi yang dibuat melalui Active Directory lokal Anda, seperti yang diambil oleh Microsoft Defender untuk Identitas Aktivitas autentikasi yang terkait dengan layanan online Microsoft, seperti yang diambil oleh Microsoft Defender untuk Cloud Apps
   IdentityQueryEvents	Informasi tentang kueri yang dilakukan terhadap objek Active Directory seperti pengguna, grup, perangkat, dan domain

   Aplikasi Defender untuk Cloud

   Nama tabel	Tipe acara
   CloudAppEvents	Informasi tentang aktivitas di berbagai aplikasi dan layanan cloud yang dicakup oleh Microsoft Defender untuk Cloud Apps

   Pemberitahuan defender

   Nama tabel	Tipe acara
   AlertInfo	Peringatan dari Pertahanan Microsoft untuk Titik Akhir, Pertahanan Microsoft untuk Office 365, Microsoft Cloud App Security, dan Pertahanan Microsoft untuk Identitas, termasuk informasi keparahan dan kategorisasi ancaman
   AlertEvidence	Informasi tentang berbagai entitas - file, alamat IP, URL, pengguna, perangkat - yang terkait dengan pemberitahuan dari komponen Microsoft Defender XDR

2. Pilih Terapkan Perubahan.

Untuk menjalankan kueri di tabel perburuan tingkat lanjut di Analitik Log, masukkan nama tabel di jendela kueri.

Verifikasi penyerapan data

Grafik data di halaman konektor menunjukkan bahwa Anda menyerap data. Perhatikan bahwa baris menunjukkan masing-masing satu baris untuk insiden, pemberitahuan, dan peristiwa, dan baris peristiwa adalah agregasi volume peristiwa di semua tabel yang diaktifkan. Setelah Anda mengaktifkan konektor, gunakan kueri KQL berikut untuk menghasilkan grafik yang lebih spesifik.

Gunakan kueri KQL berikut untuk grafik insiden Microsoft Defender XDR yang masuk:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Gunakan kueri KQL berikut untuk menghasilkan grafik volume peristiwa untuk satu tabel (ubah tabel DeviceEvents ke tabel yang diperlukan pilihan Anda):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara mengintegrasikan insiden Microsoft Defender XDR, pemberitahuan, dan data peristiwa perburuan tingkat lanjut dari layanan Pertahanan Microsoft, ke Microsoft Sentinel, dengan menggunakan konektor Microsoft Defender XDR.

Untuk menggunakan Microsoft Azure Sentinel yang terintegrasi dengan Defender XDR di platform operasi keamanan terpadu, lihat Menyambungkan data dari Pertahanan Microsoft XDR ke Microsoft Sentinel.