Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra le differenze tra gli avvisi inseriti tramite connettori autonomi e avvisi inseriti tramite il connettore Di rilevamento e risposta estesa (XDR) in Microsoft Sentinel.
I connettori autonomi inseriscono avvisi direttamente dai prodotti di sicurezza originali, mentre il connettore XDR inserisce avvisi tramite la pipeline XDR di Microsoft Defender. Sono inclusi connettori come Microsoft Defender per Office 365, Microsoft Defender per endpoint, Microsoft Defender per identità, Information Rights Management (IRM), Prevenzione della perdita dei dati (DLP), Microsoft Defender for Cloud (MDC) e Microsoft Defender for Cloud Apps (MDA).
Queste differenze possono influire sui mapping dei campi, sul comportamento del campo derivato, sulla struttura dello schema e sull'inserimento di avvisi, che potrebbero influire sulle query esistenti, sulle regole analitiche e sulle cartelle di lavoro. Esaminare queste differenze prima di eseguire la migrazione al connettore XDR.
Per lo schema di avviso completo, vedere le informazioni di riferimento sullo schema degli avvisi di sicurezza.
Comportamento di CompromisedEntity
Il campo CompromisedEntity viene gestito in modo diverso tra i prodotti quando gli avvisi vengono inseriti tramite il connettore XDR.
| Prodotto | Valore equivalente di CompromisedEntity negli avvisi XDR |
|---|---|
| Microsoft Defender per endpoint (MDE) | Dispositivo in cui "LeadingHost": true nelle entità di avviso JSON |
| Microsoft Entra ID (Identity Protection) | Impostare sempre sull'UPN dell'utente |
| Microsoft Defender per identità (MDI) | Stringa fissa "CompromisedEntity" |
Annotazioni
Negli avvisi MDE CompromisedEntity deriva dal dispositivo in cui "LeadingHost": true. In alcuni avvisi, questo campo potrebbe non essere popolato.
Negli avvisi MDI CompromisedEntity non rappresenta un host o un utente ed è sempre la stringa "CompromisedEntity"letterale .
Modifiche al mapping dei campi
Alcuni campi vengono rinominati o usano set di valori diversi negli avvisi del connettore XDR.
| Prodotto | Campo/proprietà legacy | Comportamento XDR |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Mappato a ExtendedProperties.Category |
| Microsoft Defender per Office (MDO) | ExtendedProperties.Status | Usa un set di valori diverso da legacy |
| Microsoft Defender per Office (MDO) | ExtendedProperties.InvestigationName | Non disponibile |
Trasformazioni dello schema strutturale (MDI)
Il connettore autonomo Microsoft Defender per identità (MDI) talvolta usava entità segnaposto per archiviare informazioni aggiuntive. Nel connettore XDR queste informazioni vengono piegate in proprietà nella resourceAccessEvents raccolta.
| Entità/proprietà legacy | Rappresentazione XDR |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId non è più necessario perché è identico all'entità Host in cui è definito ResourceAccessInfo.
Filtro per l'inserimento di avvisi
Alcuni avvisi disponibili tramite connettori autonomi non vengono inseriti tramite il connettore XDR.
| Prodotto | Comportamento di filtro |
|---|---|
| Microsoft Defender for Cloud (MDC) | Gli avvisi di gravità informativa non vengono inseriti |
| Microsoft Entra ID | Per impostazione predefinita, gli avvisi sotto gravità elevata non vengono inseriti; i clienti possono configurare l'inserimento in modo da includere tutti i livelli di gravità |
Comportamento di definizione dell'ambito (Microsoft Defender for Cloud)
Gli avvisi di Microsoft Defender for Cloud usano un ambito diverso durante l'inserimento tramite il connettore XDR.
| Ambito del connettore autonomo | Ambito del connettore XDR |
|---|---|
| Livello di sottoscrizione | Livello tenant |
Annotazioni
Tutti gli avvisi MDC sono disponibili nell'area di lavoro primaria per il tenant. Gli avvisi sono definiti in base agli ambiti di sottoscrizione MDC all'interno di Defender XDR.