Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra le differenze tra gli avvisi inseriti tramite connettori autonomi e gli avvisi inseriti tramite il connettore XDR (Extended Detection and Response) in Microsoft Sentinel.
I connettori autonomi inseriiscono gli avvisi direttamente dai prodotti di sicurezza originali, mentre il connettore XDR inserisce gli avvisi tramite la pipeline Microsoft Defender XDR. Sono inclusi connettori come Microsoft Defender per Office 365, Microsoft Defender per endpoint, Microsoft Defender per identità, Information Rights Management (IRM), Prevenzione della perdita dei dati (DLP), Microsoft Defender per cloud (MDC) e Microsoft Defender for Cloud Apps (MDA).
Queste differenze possono influire sui mapping dei campi, sul comportamento dei campi derivati, sulla struttura dello schema e sull'inserimento di avvisi, che potrebbero influire sulle query, le regole di analisi e le cartelle di lavoro esistenti. Esaminare queste differenze prima di eseguire la migrazione al connettore XDR.
Per lo schema di avviso completo, vedere Informazioni di riferimento sullo schema degli avvisi di sicurezza.
Comportamento di CompromisedEntity
Il campo CompromisedEntity viene gestito in modo diverso tra i prodotti quando vengono inseriti avvisi tramite il connettore XDR.
| Prodotto | Valore equivalente di CompromisedEntity negli avvisi XDR |
|---|---|
| Microsoft Defender per endpoint (MDE) | Dispositivo in cui "LeadingHost": true sono presenti le entità di avviso JSON |
| Microsoft Entra ID (Identity Protection) | Impostare sempre sull'UPN dell'utente |
| Microsoft Defender per identità (MDI) | Stringa fissa "CompromisedEntity" |
Nota
In MDE avvisi, CompromisedEntity deriva dal dispositivo in cui "LeadingHost": true. In alcuni avvisi, questo campo potrebbe non essere popolato.
Negli avvisi MDI, CompromisedEntity non rappresenta un host o un utente ed è sempre la stringa "CompromisedEntity"letterale .
Modifiche al mapping dei campi
Alcuni campi vengono rinominati o usano set di valori diversi negli avvisi del connettore XDR.
| Prodotto | Campo/proprietà legacy | Comportamento XDR |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Mappato a ExtendedProperties.Category |
| Microsoft Defender per Office (MDO) | ExtendedProperties.Status | Usa un set di valori diverso da legacy |
| Microsoft Defender per Office (MDO) | ExtendedProperties.InvestigationName | Non disponibile |
Trasformazioni dello schema strutturale (MDI)
Il connettore Microsoft Defender per identità autonomo (MDI) a volte usava entità segnaposto per archiviare informazioni aggiuntive. Nel connettore XDR queste informazioni vengono suddivise in proprietà nella resourceAccessEvents raccolta.
| Entità/proprietà legacy | Rappresentazione XDR |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId non è più necessario perché è "identico all'entità host in cui è definito ResourceAccessInfo.
Filtro dell'inserimento degli avvisi
Alcuni avvisi disponibili tramite connettori autonomi non vengono inseriti tramite il connettore XDR.
| Prodotto | Comportamento dei filtri |
|---|---|
| Microsoft Defender per il cloud (MDC) | Gli avvisi di gravità informativa non vengono inseriti |
| Microsoft Entra ID | Per impostazione predefinita, gli avvisi inferiori a Gravità elevata non vengono inseriti; i clienti possono configurare l'inserimento per includere tutte le gravità |
Comportamento di ambito (Microsoft Defender per il cloud)
Microsoft Defender per gli avvisi cloud usano un ambito diverso quando vengono inseriti tramite il connettore XDR.
| Ambito connettore autonomo | Ambito del connettore XDR |
|---|---|
| Livello di sottoscrizione | Livello tenant |
Nota
Tutti gli avvisi MDC sono disponibili nell'area di lavoro primaria per il tenant. L'ambito degli avvisi è in base agli ambiti di sottoscrizione MDC all'interno di Defender XDR.