Browser ini sudah tidak didukung.
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.
Integrasikan Microsoft Defender XDR dengan Microsoft Sentinel untuk mengalirkan semua insiden Defender XDR dan peristiwa perburuan tingkat lanjut ke Microsoft Sentinel dan menjaga insiden dan peristiwa tetap sinkron antara portal Azure dan Microsoft Defender. Insiden dari Defender XDR mencakup semua pemberitahuan, entitas, dan informasi yang relevan terkait, memberi Anda konteks yang cukup untuk melakukan triase dan investigasi awal di Microsoft Azure Sentinel. Setelah berada di Microsoft Azure Sentinel, insiden tetap disinkronkan dua arah dengan Defender XDR, memungkinkan Anda memanfaatkan manfaat kedua portal dalam penyelidikan insiden Anda.
Atau, onboard Microsoft Sentinel dengan Defender XDR ke platform operasi keamanan terpadu (SecOps) Microsoft di portal Defender. Platform SecOps terpadu Microsoft menyatukan kemampuan penuh Microsoft Sentinel, Defender XDR, dan AI generatif yang dibangun khusus untuk keamanan cyber. Untuk informasi selengkapnya, lihat sumber daya berikut:
Gunakan salah satu metode berikut untuk mengintegrasikan Microsoft Sentinel dengan layanan Microsoft Defender XDR:
Serap data layanan Microsoft Defender XDR ke Microsoft Azure Sentinel dan lihat data Microsoft Azure Sentinel di portal Azure. Aktifkan konektor Defender XDR di Microsoft Azure Sentinel.
Integrasikan Microsoft Sentinel dan Defender XDR ke dalam satu platform operasi keamanan terpadu di portal Pertahanan Microsoft. Dalam hal ini, lihat data Microsoft Azure Sentinel langsung di portal Microsoft Defender dengan insiden Pertahanan, pemberitahuan, kerentanan, dan data keamanan lainnya. Aktifkan konektor Defender XDR di Microsoft Sentinel dan onboard Microsoft Sentinel ke portal Defender.
Pilih tab yang sesuai untuk melihat seperti apa integrasi Microsoft Azure Sentinel dengan Defender XDR bergantung pada metode integrasi mana yang Anda gunakan.
Ilustrasi berikut menunjukkan bagaimana solusi XDR Microsoft terintegrasi dengan mulus dengan Microsoft Sentinel.
Di dalam diagram ini:
Dengan integrasi Defender XDR dengan Microsoft Sentinel, insiden Defender XDR terlihat dan dapat dikelola dari dalam Microsoft Azure Sentinel. Ini memberi Anda antrean insiden utama di seluruh organisasi. Lihat dan korelasikan insiden Defender XDR bersama dengan insiden dari semua sistem cloud dan lokal Anda yang lain. Pada saat yang sama, integrasi ini memungkinkan Anda memanfaatkan kekuatan dan kemampuan unik Defender XDR untuk penyelidikan mendalam dan pengalaman khusus Defender di seluruh ekosistem Microsoft 365.
Defender XDR memperkaya dan mengelompokkan pemberitahuan dari beberapa produk Pertahanan Microsoft, keduanya mengurangi ukuran antrean insiden SOC dan mempersingkat waktu untuk menyelesaikannya. Pemberitahuan dari produk dan layanan Microsoft Defender berikut ini juga disertakan dalam integrasi Defender XDR ke Microsoft Sentinel:
Layanan lain yang pemberitahuannya dikumpulkan oleh Defender XDR meliputi:
Konektor Defender XDR juga membawa insiden dari Microsoft Defender untuk Cloud. Untuk menyinkronkan pemberitahuan dan entitas dari insiden ini juga, Anda harus mengaktifkan konektor Defender untuk Cloud di Microsoft Azure Sentinel. Jika tidak, insiden Defender untuk Cloud Anda tampak kosong. Untuk informasi selengkapnya, lihat Menyerap insiden Microsoft Defender untuk Cloud dengan integrasi Microsoft Defender XDR.
Selain mengumpulkan pemberitahuan dari komponen ini dan layanan lainnya, Defender XDR menghasilkan pemberitahuannya sendiri. Ini menciptakan insiden dari semua pemberitahuan ini dan mengirimkannya ke Microsoft Azure Sentinel.
Pertimbangkan untuk mengintegrasikan Defender XDR dengan Microsoft Sentinel untuk kasus dan skenario penggunaan berikut:
Onboard Microsoft Sentinel ke platform SecOps terpadu Microsoft di portal Pertahanan Microsoft. Mengaktifkan konektor Defender XDR adalah prasyarat.
Aktifkan koneksi satu klik insiden Defender XDR, termasuk semua pemberitahuan dan entitas dari komponen Defender XDR, ke Microsoft Azure Sentinel.
Izinkan sinkronisasi dua arah antara insiden Microsoft Sentinel dan Defender XDR pada status, pemilik, dan alasan penutupan.
Terapkan kemampuan pengelompokan dan pengayaan pemberitahuan Defender XDR di Microsoft Azure Sentinel, sehingga mengurangi waktu untuk menyelesaikannya.
Memfasilitasi penyelidikan di kedua portal dengan tautan mendalam dalam konteks antara insiden Microsoft Sentinel dan insiden Defender XDR paralelnya.
Untuk informasi selengkapnya tentang kemampuan integrasi Microsoft Azure Sentinel dengan Defender XDR di platform SecOps terpadu Microsoft, lihat Microsoft Sentinel di portal Pertahanan Microsoft.
Aktifkan konektor Microsoft Defender XDR di Microsoft Azure Sentinel untuk mengirim semua insiden Defender XDR dan informasi pemberitahuan ke Microsoft Azure Sentinel dan menjaga insiden tetap sinkron.
Pertama, instal solusi Microsoft Defender XDR untuk Microsoft Sentinel dari hub Konten. Kemudian, aktifkan konektor data Microsoft Defender XDR untuk mengumpulkan insiden dan pemberitahuan. Untuk informasi selengkapnya, lihat Menyambungkan data dari Microsoft Defender XDR ke Microsoft Sentinel.
Setelah Anda mengaktifkan pengumpulan pemberitahuan dan insiden di konektor data Defender XDR, insiden Defender XDR muncul dalam antrean insiden Microsoft Azure Sentinel tak lama setelah dibuat di Defender XDR. Dibutuhkan waktu hingga 10 menit sejak insiden dihasilkan di Defender XDR hingga muncul di Microsoft Azure Sentinel. Dalam insiden ini, bidang Nama produk pemberitahuan berisi Microsoft Defender XDR atau salah satu nama layanan Defender komponen.
Sambungkan Microsoft Sentinel ke portal Pertahanan Microsoft.
Pemberitahuan dan insiden dari Defender XDR, termasuk item yang mengisi tabel SecurityAlert dan SecurityIncident , diserap dan disinkronkan dengan Microsoft Sentinel tanpa biaya. Untuk semua jenis data lainnya dari komponen Defender individual seperti tabel Perburuan tingkat lanjut DeviceInfo, DeviceFileEvents, EmailEvents, dan sebagainya, penyerapan dikenakan biaya.
Untuk informasi selengkapnya, lihat Merencanakan biaya dan memahami harga dan penagihan Microsoft Azure Sentinel.
Saat konektor Defender XDR diaktifkan, pemberitahuan yang dibuat oleh produk terintegrasi Defender XDR dikirim ke Defender XDR dan dikelompokkan ke dalam insiden. Baik pemberitahuan maupun insiden mengalir ke Microsoft Azure Sentinel melalui konektor Defender XDR.
Pengecualian untuk proses ini Defender untuk Cloud. Anda memiliki opsi untuk mengaktifkan pemberitahuan Defender untuk Cloud berbasis penyewa untuk menerima semua pemberitahuan dan insiden melalui Defender XDR, atau menyimpan pemberitahuan berbasis langganan dan mempromosikannya ke insiden dalam Microsoft Sentinel di portal Azure.
Untuk opsi yang tersedia dan informasi selengkapnya, lihat:
Untuk menghindari pembuatan insiden duplikat untuk pemberitahuan yang sama, pengaturan aturan pembuatan insiden Microsoft dinonaktifkan untuk produk terintegrasi Defender XDR saat menghubungkan Defender XDR. Produk terintegrasi Defender XDR mencakup Microsoft Defender untuk Identitas, Microsoft Defender untuk Office 365, dan banyak lagi. Selain itu, aturan pembuatan insiden Microsoft tidak didukung di portal Defender karena portal Defender memiliki mesin pembuatan insidennya sendiri. Perubahan ini memiliki potensi dampak berikut:
Pemfilteran pemberitahuan. Aturan pembuatan insiden Microsoft Sentinel memungkinkan Anda memfilter pemberitahuan yang akan digunakan untuk membuat insiden. Dengan aturan ini dinonaktifkan, pertahankan kemampuan pemfilteran pemberitahuan dengan mengonfigurasi penyetelan pemberitahuan di portal Pertahanan Microsoft, atau dengan menggunakan aturan otomatisasi untuk menekan atau menutup insiden yang tidak Anda inginkan.
Judul insiden. Setelah mengaktifkan konektor Defender XDR, Anda tidak dapat lagi menentukan judul insiden. Mesin korelasi Defender XDR memimpin pembuatan insiden dan secara otomatis memberi nama insiden yang dibuatnya. Perubahan ini bertanggung jawab untuk memengaruhi aturan otomatisasi apa pun yang Anda buat yang menggunakan nama insiden sebagai kondisi. Untuk menghindari jebakan ini, gunakan kriteria selain nama insiden sebagai kondisi untuk memicu aturan otomatisasi. Sebaiknya gunakan tag.
Aturan analitik terjadwal. Jika Anda menggunakan aturan pembuatan insiden Microsoft Sentinel untuk solusi atau produk keamanan Microsoft lainnya yang tidak diintegrasikan ke dalam Defender XDR, seperti Manajemen Risiko Orang Dalam Microsoft Purview, dan Anda berencana untuk onboarding ke portal Defender, ganti aturan pembuatan insiden Anda dengan aturan analitik terjadwal.
Insiden Defender XDR muncul dalam antrean insiden Microsoft Sentinel dengan nama produk Microsoft Defender XDR, dan dengan detail dan fungsionalitas serupa dengan insiden Microsoft Azure Sentinel lainnya. Setiap insiden berisi tautan kembali ke insiden paralel di portal Pertahanan Microsoft.
Saat insiden berevolusi di Defender XDR, dan lebih banyak pemberitahuan atau entitas ditambahkan ke dalamnya, insiden Microsoft Azure Sentinel akan diperbarui sesuai.
Perubahan yang dilakukan pada status, alasan penutupan, atau penugasan insiden Defender XDR, baik di Defender XDR atau Microsoft Sentinel, demikian juga pembaruan dalam antrean insiden lainnya. Sinkronisasi terjadi di kedua portal segera setelah perubahan pada insiden diterapkan, tanpa penundaan. Refresh mungkin diperlukan untuk melihat perubahan terbaru.
Di Defender XDR, semua pemberitahuan dari satu insiden dapat ditransfer ke insiden lain, yang mengakibatkan insiden digabungkan. Ketika penggabungan ini terjadi, insiden Microsoft Sentinel mencerminkan perubahan. Satu insiden berisi semua pemberitahuan dari kedua insiden asli, dan insiden lainnya secara otomatis ditutup, dengan tag "dialihkan" ditambahkan.
Catatan
Insiden di Microsoft Azure Sentinel dapat berisi maksimum 150 pemberitahuan. Insiden Defender XDR dapat memiliki lebih dari ini. Jika insiden Defender XDR dengan lebih dari 150 pemberitahuan disinkronkan ke Microsoft Azure Sentinel, insiden Microsoft Azure Sentinel menunjukkan memiliki pemberitahuan "150+" dan menyediakan tautan ke insiden paralel di Defender XDR tempat Anda melihat serangkaian pemberitahuan lengkap.
Konektor Defender XDR juga memungkinkan Anda melakukan streaming peristiwa perburuan tingkat lanjut—jenis data peristiwa mentah—dari Defender XDR dan layanan komponennya ke Microsoft Sentinel. Kumpulkan peristiwa perburuan tingkat lanjut dari semua komponen Defender XDR, dan streaming langsung ke tabel yang dibuat khusus di ruang kerja Microsoft Azure Sentinel Anda. Tabel ini dibangun pada skema yang sama yang digunakan di portal Defender yang memberi Anda akses lengkap ke serangkaian peristiwa perburuan tingkat lanjut, dan memungkinkan tugas-tugas berikut:
Salin dengan mudah kueri berburu tingkat lanjut Pertahanan Microsoft untuk Titik Akhir/Office 365/Identitas/Aplikasi Cloud Anda ke dalam Microsoft Sentinel.
Menggunakan log peristiwa mentah untuk memberikan wawasan lebih lanjut untuk pemberitahuan, perburuan, dan investigasi, serta mengaitkan peristiwa ini dengan peristiwa dari sumber daya lain di Microsoft Azure Sentinel.
Simpan log dengan retensi yang ditingkatkan, di luar retensi default Defender XDR atau komponennya selama 30 hari. Anda dapat melakukannya dengan mengonfigurasi retensi ruang kerja atau dengan mengonfigurasi retensi per-tabel di Analitik Log.
Dalam dokumen ini, Anda mempelajari manfaat mengaktifkan konektor Defender XDR di Microsoft Sentinel.
Pelatihan
Modul
Menyambungkan Microsoft Defender XDR ke Microsoft Azure Sentinel - Training
Menyambungkan Microsoft Defender XDR ke Microsoft Azure Sentinel
Sertifikasi
Bersertifikat Microsoft: Rekan Analis Operasi Keamanan - Certifications
Selidiki, cari, dan mitigasi ancaman menggunakan Microsoft Sentinel, Microsoft Defender untuk Cloud, dan Pertahanan Microsoft 365.
Dokumentasi
Menyambungkan data Microsoft Defender XDR ke Microsoft Azure Sentinel
Pelajari cara menyerap insiden, pemberitahuan, dan data peristiwa mentah dari Microsoft Defender XDR ke Microsoft Sentinel.
Microsoft Sentinel di portal Microsoft Defender
Pelajari tentang pengalaman Microsoft Azure Sentinel saat Anda melakukan onboarding Microsoft Azure Sentinel ke portal Pertahanan Microsoft.
Menyerap insiden Microsoft Defender untuk Cloud dengan integrasi Microsoft Defender XDR
Pelajari cara menggunakan integrasi Microsoft Defender untuk Cloud dengan Microsoft Defender XDR memungkinkan Anda menyerap insiden Microsoft Defender untuk Cloud melalui Pertahanan Microsoft XDR. Ini memungkinkan Anda menambahkan insiden Defender untuk Cloud ke antrean insiden Microsoft Azure Sentinel sambil menerapkan kekuatan Defender XDR dengan lancar untuk membantu menyelidiki semua insiden keamanan beban kerja cloud Anda.
