Connessione dati da Microsoft Defender XDR a Microsoft Sentinel
Il connettore Microsoft Defender XDR di Microsoft Sentinel con integrazione degli eventi imprevisti consente di trasmettere tutti gli eventi imprevisti e gli avvisi di Microsoft Defender XDR in Microsoft Sentinel e mantenere sincronizzati gli eventi imprevisti tra entrambi i portali. Gli eventi imprevisti di Microsoft Defender XDR includono tutti gli avvisi, le entità e altre informazioni pertinenti. Includono anche avvisi dei servizi componenti di Microsoft Defender XDR Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365 e Microsoft Defender per il cloud App, nonché avvisi provenienti da altri servizi, ad esempio Prevenzione della perdita dei dati Microsoft Purview e Microsoft Entra ID Protection. Il connettore Microsoft Defender XDR genera anche eventi imprevisti da Microsoft Defender per il cloud, anche se per sincronizzare avvisi ed entità da questi eventi imprevisti, è necessario abilitare il connettore Microsoft Defender per il cloud; in caso contrario, Microsoft Defender per il cloud eventi imprevisti verranno visualizzati vuoti. Altre informazioni sui connettori disponibili per Microsoft Defender per il cloud.
Il connettore consente anche di trasmettere eventi di ricerca avanzata da tutti i componenti di Defender precedenti in Microsoft Sentinel, consentendo di copiare le query di ricerca avanzata dei componenti di Defender in Microsoft Sentinel, arricchire gli avvisi di Sentinel con i dati non elaborati dei componenti di Defender per fornire informazioni aggiuntive e archiviare i log con una maggiore conservazione in Log Analytics.
Per altre informazioni sull'integrazione degli eventi imprevisti e sulla raccolta di eventi di ricerca avanzata, vedere Integrazione di Microsoft Defender XDR con Microsoft Sentinel.
Il connettore Microsoft Defender XDR è ora disponibile a livello generale.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Prerequisiti
È necessario avere una licenza valida per Microsoft Defender XDR, come descritto in Prerequisiti di Microsoft Defender XDR.
All'utente devono essere assegnati i ruoli del Amministrazione istrator globale o del Amministrazione istrator di sicurezza nel tenant da cui si vogliono trasmettere i log.
L'utente deve disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
Per apportare modifiche alle impostazioni del connettore, l'utente deve essere membro dello stesso tenant di Microsoft Entra a cui è associata l'area di lavoro di Microsoft Sentinel.
Installare la soluzione per Microsoft Defender XDR dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Prerequisiti per la sincronizzazione di Active Directory tramite MDI
È necessario eseguire l'onboarding del tenant in Microsoft Defender per identità.
È necessario che sia installato il sensore MDI.
Connessione a Microsoft Defender XDR
In Microsoft Sentinel selezionare Connettori dati, selezionare Microsoft Defender XDR dalla raccolta e selezionare Apri connettore pagina.
La sezione Configurazione include tre parti:
Connessione eventi imprevisti e avvisi abilita l'integrazione di base tra Microsoft Defender XDR e Microsoft Sentinel, sincronizzando gli eventi imprevisti e i relativi avvisi tra le due piattaforme.
Connessione entità consente l'integrazione delle identità utente di Active Directory locale in Microsoft Sentinel tramite Microsoft Defender per identità.
eventi Connessione abilita la raccolta di eventi di ricerca avanzata non elaborati dai componenti di Defender.
Queste informazioni sono descritte in modo più dettagliato di seguito. Per altre informazioni, vedere Integrazione di Microsoft Defender XDR con Microsoft Sentinel .
Connessione eventi imprevisti e avvisi
Per inserire e sincronizzare gli eventi imprevisti di Microsoft Defender XDR, con tutti i relativi avvisi, alla coda degli eventi imprevisti di Microsoft Sentinel:
Contrassegnare la casella di controllo Con l'etichetta Disattiva tutte le regole di creazione di eventi imprevisti Microsoft per questi prodotti. Consigliato, per evitare la duplicazione di eventi imprevisti.
Questa casella di controllo non verrà visualizzata dopo la connessione del connettore XDR di Microsoft Defender.Selezionare il pulsante Connessione eventi imprevisti e avvisi.
Nota
Quando si abilita il connettore Microsoft Defender XDR, tutti i connettori dei componenti di Microsoft Defender XDR (quelli indicati all'inizio di questo articolo) vengono connessi automaticamente in background. Per disconnettere uno dei connettori dei componenti, è necessario prima disconnettere il connettore Microsoft Defender XDR.
Per eseguire query sui dati degli eventi imprevisti di Microsoft Defender XDR, usare l'istruzione seguente nella finestra di query:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Connessione entità
Usare Microsoft Defender per identità per sincronizzare le entità utente dal Active Directory locale a Microsoft Sentinel.
Verificare di aver soddisfatto i prerequisiti per la sincronizzazione di Active Directory locale utenti tramite Microsoft Defender per identità (MDI).
Selezionare il collegamento Vai alla pagina di configurazione UEBA.
Nella pagina Configurazione comportamento entità, se ueba non è ancora stato abilitato, quindi nella parte superiore della pagina spostare l'interruttore su Sì.
Contrassegnare la casella di controllo Active Directory (anteprima) e selezionare Applica.
Connetti gli eventi
Se si desidera raccogliere eventi di ricerca avanzata da Microsoft Defender per endpoint o Microsoft Defender per Office 365, è possibile raccogliere i tipi di eventi seguenti dalle tabelle di ricerca avanzate corrispondenti.
Contrassegnare le caselle di controllo delle tabelle con i tipi di evento da raccogliere:
- Defender per endpoint
- Defender per Office 365
- Defender per identità
- app Defender per il cloud
- Avvisi di Defender
Nome tabella Tipo di eventi Deviceinfo Informazioni sul computer, incluse quelle sul sistema operativo DeviceNetworkInfo Proprietà di rete dei dispositivi, inclusi schede fisiche, indirizzi IP e MAC, nonché reti e domini connessi DeviceProcessEvents Creazione di processi ed eventi correlati DeviceNetworkEvents Connessione di rete ed eventi correlati DeviceFileEvents Creazione, modifica di file e altri eventi del file system DeviceRegistryEvents Creazione e modifica di voci del Registro di sistema DeviceLogonEvents Accessi e altri eventi di autenticazione nei dispositivi DeviceImageLoadEvents Eventi di caricamento DLL DeviceEvents Eventi di vario tipo, inclusi gli eventi attivati da controlli di sicurezza, ad esempio Antivirus Windows Defender e Protezione dagli exploit DeviceFileCertificateInfo Informazioni sui certificati dei file firmati ottenute dagli eventi di verifica dei certificati negli endpoint Fare clic su Applica modifiche.
Per eseguire query sulle tabelle di ricerca avanzate in Log Analytics, immettere il nome della tabella dall'elenco precedente nella finestra di query.
Verificare l'inserimento dati
Il grafico dei dati nella pagina del connettore indica che si stanno inseriscendo dati. Si noterà che mostra una riga per eventi imprevisti, avvisi ed eventi e la riga degli eventi è un'aggregazione del volume di eventi in tutte le tabelle abilitate. Dopo aver abilitato il connettore, è possibile usare le query KQL seguenti per generare grafici più specifici.
Usare la query KQL seguente per un grafico degli eventi imprevisti XDR di Microsoft Defender in ingresso:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Usare la query KQL seguente per generare un grafico del volume di eventi per una singola tabella (modificare la tabella DeviceEvents nella tabella richiesta della scelta):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Nella scheda Passaggi successivi sono disponibili alcune cartelle di lavoro utili, query di esempio e modelli di regole di analisi inclusi. È possibile eseguirli sul posto o modificarli e salvarli.
Passaggi successivi
In questo documento si è appreso come integrare gli eventi imprevisti di Microsoft Defender XDR e i dati degli eventi di ricerca avanzata dai servizi componenti di Microsoft Defender in Microsoft Sentinel usando il connettore Microsoft Defender XDR. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.