Koneksi data dari Microsoft Defender XDR ke Microsoft Sentinel

Konektor Microsoft Defender XDR Microsoft Sentinel dengan integrasi insiden memungkinkan Anda mengalirkan semua insiden dan pemberitahuan Microsoft Defender XDR ke Microsoft Azure Sentinel, dan menjaga insiden tetap sinkron di antara kedua portal. Insiden Microsoft Defender XDR mencakup semua pemberitahuan, entitas, dan informasi relevan lainnya. Mereka juga menyertakan pemberitahuan dari layanan komponen Microsoft Defender XDR Microsoft Defender untuk Titik Akhir, Microsoft Defender untuk Identitas, Microsoft Defender untuk Office 365, dan Microsoft Defender untuk Cloud Apps, serta pemberitahuan dari layanan lain seperti Pencegahan Kehilangan Data Microsoft Purview dan Microsoft Entra ID Protection. Konektor Microsoft Defender XDR juga membawa insiden dari Microsoft Defender untuk Cloud, meskipun untuk menyinkronkan pemberitahuan dan entitas dari insiden ini, Anda harus mengaktifkan konektor Microsoft Defender untuk Cloud, jika tidak, Anda harus mengaktifkan konektor Microsoft Defender untuk Cloud Microsoft Defender untuk Cloud insiden akan tampak kosong. Pelajari selengkapnya tentang konektor yang tersedia untuk Microsoft Defender untuk Cloud.

Konektor ini juga memungkinkan Anda mengalirkan peristiwa perburuan tingkat lanjut dari semua komponen Defender di atas ke Microsoft Azure Sentinel, memungkinkan Anda menyalin kueri perburuan tingkat lanjut komponen Defender tersebut ke Microsoft Azure Sentinel, memperkaya pemberitahuan Sentinel dengan data peristiwa mentah komponen Defender untuk memberikan wawasan tambahan, dan menyimpan log dengan peningkatan retensi di Log Analytics.

Untuk informasi selengkapnya tentang integrasi insiden dan pengumpulan peristiwa perburuan tingkat lanjut, lihat Integrasi Microsoft Defender XDR dengan Microsoft Sentinel.

Konektor Microsoft Defender XDR sekarang tersedia secara umum.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Prasyarat

• Anda harus memiliki lisensi yang valid untuk Microsoft Defender XDR, seperti yang dijelaskan dalam prasyarat Microsoft Defender XDR.

• Pengguna Anda harus diberi peran Administrator Global atau Administrator Keamanan pada penyewa yang dari penyewa tersebut Anda ingin melakukan streaming log.

• Pengguna Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

• Untuk membuat perubahan apa pun pada pengaturan konektor, pengguna Anda harus menjadi anggota penyewa Microsoft Entra yang sama dengan ruang kerja Microsoft Azure Sentinel Anda.

• Instal solusi untuk Microsoft Defender XDR dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Prasyarat untuk sinkronisasi Active Directory melalui MDI

• Penyewa Anda harus onboard ke Pertahanan Microsoft untuk Identitas.

• Anda harus sudah menginstal sensor MDI.

Koneksi ke Pertahanan Microsoft XDR

Di Microsoft Azure Sentinel, pilih Konektor data, pilih Pertahanan Microsoft XDR dari galeri dan pilih Buka halaman konektor.

Bagian Konfigurasi memiliki tiga bagian:

1. Koneksi insiden dan pemberitahuan memungkinkan integrasi dasar antara Microsoft Defender XDR dan Microsoft Sentinel, menyinkronkan insiden dan pemberitahuannya antara kedua platform.

2. Menghubungkan entitas memungkinkan integrasi identitas pengguna Active Directory lokal ke Microsoft Sentinel melalui Microsoft Defender for Identity.

3. Menyambungkan peristiwa memungkinkan pengumpulan peristiwa perburuan tingkat lanjut mentah dari komponen Defender.

Hal ini dijelaskan secara lebih detail di bawah ini. Lihat Integrasi Microsoft Defender XDR dengan Microsoft Sentinel untuk informasi selengkapnya.

Sambungkan insiden dan pemberitahuan

Untuk menyerap dan menyinkronkan insiden Microsoft Defender XDR, dengan semua pemberitahuannya, ke antrean insiden Microsoft Azure Sentinel Anda:

1. Tandai kotak centang berlabel Nonaktifkan semua aturan pembuatan insiden Microsoft untuk produk ini. Disarankan, untuk menghindari duplikasi insiden.
   (Kotak centang ini tidak akan muncul setelah konektor Microsoft Defender XDR tersambung.)

2. Pilih tombol Koneksi insiden & pemberitahuan.

Catatan

Saat Anda mengaktifkan konektor Microsoft Defender XDR, semua konektor komponen Microsoft Defender XDR (yang disebutkan di awal artikel ini) secara otomatis tersambung di latar belakang. Untuk memutuskan sambungan salah satu konektor komponen, Anda harus terlebih dahulu memutuskan sambungan konektor Microsoft Defender XDR.

Untuk mengkueri data insiden Microsoft Defender XDR, gunakan pernyataan berikut di jendela kueri:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

Hubungkan entitas

Gunakan Pertahanan Microsoft untuk Identitas untuk menyinkronkan entitas pengguna dari Active Directory lokal Anda ke Microsoft Sentinel.

Verifikasi bahwa Anda telah memenuhi prasyarat untuk menyinkronkan pengguna Active Directory lokal melalui Pertahanan Microsoft untuk Identitas (MDI).

1. Pilih tautan Buka halaman konfigurasi UEBA.

2. Di halaman Konfigurasi perilaku entitas, jika Anda belum mengaktifkan UEBA, maka di bagian atas halaman, pindahkan tombol ke Aktif.

3. Tandai kotak centang Active Directory (Pratinjau) dan pilih Terapkan.

   

Sambungkan peristiwa

Jika Anda ingin mengumpulkan peristiwa perburuan tingkat lanjut dari Microsoft Defender for Endpoint atau Microsoft Defender for Office 365, jenis peristiwa berikut ini dapat dikumpulkan dari tabel perburuan tingkat lanjut yang sesuai.

1. Tandai kotak centang tael dengan jenis peristiwa yang ingin Anda kumpulkan:

   Pertahanan untuk Titik Akhir

   Nama tabel	Tipe acara
   DeviceInfo	Informasi komputer, termasuk informasi OS
   DeviceNetworkInfo	Properti jaringan perangkat, termasuk adaptor fisik, alamat IP dan MAC, serta jaringan dan domain yang terhubung
   DeviceProcessEvents	Pembuatan proses dan kejadian terkait
   DeviceNetworkEvents	Koneksi jaringan dan Kejadian terkait
   DeviceFileEvents	Pembuatan file, modifikasi, dan kejadian sistem file lainnya
   DeviceRegistryEvents	Pembuatan dan modifikasi entri registri
   DeviceLogonEvents	Proses masuk dan aktivitas autentikasi lainnya pada perangkat
   DeviceImageLoadEvents	Kejadian pemuatan DLL
   DeviceEvents	Beberapa jenis peristiwa, termasuk peristiwa yang dipicu oleh kontrol keamanan seperti Windows Defender Antivirus dan perlindungan eksploitasi
   DeviceFileCertificateInfo	Informasi sertifikat dari file yang ditandatangani diperoleh dari peristiwa verifikasi sertifikat di titik akhir

   Microsoft Defender for Office 365

   Nama tabel	Tipe acara
   EmailAttachmentInfo	Informasi tentang file yang dilampirkan ke email
   EmailEvents	Peristiwa email Microsoft 365, termasuk pengiriman email dan pemblokiran acara
   EmailPostDeliveryEvents	Peristiwa keamanan yang terjadi pasca-pengiriman, setelah Microsoft 365 mengirimkan email ke kotak surat penerima
   EmailUrlInfo	Informasi tentang URL pada email

   Pertahanan untuk Identitas

   Nama tabel	Tipe acara
   IdentityDirectoryEvents	Berbagai peristiwa terkait identitas, seperti perubahan kata sandi, kedaluwarsa kata sandi, dan perubahan nama prinsipal pengguna (UPN), diambil dari pengendali domain Active Directory lokal Juga termasuk peristiwa sistem pada pengendali domain
   IdentityInfo	Informasi tentang akun pengguna yang diperoleh dari berbagai layanan, termasuk ID Microsoft Entra
   IdentityLogonEvents	Aktivitas autentikasi yang dibuat melalui Active Directory lokal Anda, seperti yang diambil oleh Microsoft Defender untuk Identitas Aktivitas autentikasi yang terkait dengan layanan online Microsoft, seperti yang diambil oleh Microsoft Defender untuk Cloud Apps
   IdentityQueryEvents	Informasi tentang kueri yang dilakukan terhadap objek Active Directory seperti pengguna, grup, perangkat, dan domain

   Aplikasi Defender untuk Cloud

   Nama tabel	Tipe acara
   CloudAppEvents	Informasi tentang aktivitas di berbagai aplikasi dan layanan cloud yang dicakup oleh Microsoft Defender untuk Cloud Apps

   Pemberitahuan defender

   Nama tabel	Tipe acara
   AlertInfo	Informasi tentang pemberitahuan dari komponen Microsoft Defender XDR
   AlertEvidence	Informasi tentang berbagai entitas - file, alamat IP, URL, pengguna, perangkat - yang terkait dengan pemberitahuan dari komponen Microsoft Defender XDR

2. Klik Terapkan perubahan.

3. Untuk mengkueri tabel perburuan tingkat lanjut di Log Analytics, masukkan nama tabel dari daftar di atas di jendela kueri.

Verifikasi penyerapan data

Grafik data di halaman konektor menunjukkan bahwa Anda menyerap data. Anda akan melihat bahwa baris tersebut menampilkan masing-masing satu baris untuk baris insiden, pemberitahuan, dan peristiwa, dan baris peristiwa adalah agregasi volume peristiwa di seluruh tabel yang diaktifkan. Begitu mengaktifkan konektor, Anda dapat menggunakan kueri KQL berikut untuk menghasilkan grafik yang lebih spesifik.

Gunakan kueri KQL berikut untuk grafik insiden Microsoft Defender XDR yang masuk:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Gunakan kueri KQL berikut untuk menghasilkan grafik volume peristiwa untuk satu tabel (ubah tabel DeviceEvents ke tabel yang diperlukan pilihan Anda):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Di tab Langkah berikutnya, Anda akan menemukan beberapa buku kerja yang berguna, sampel kueri, dan template aturan analitik yang telah disertakan. Anda dapat menjalankannya di spot atau mengubah dan menyimpannya.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara mengintegrasikan insiden Microsoft Defender XDR, dan data peristiwa perburuan tingkat lanjut dari layanan komponen Pertahanan Microsoft, ke Microsoft Sentinel, menggunakan konektor Microsoft Defender XDR. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke dalam data Anda, dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.