Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel

Artikel
06/26/2024
Van toepassing op:

Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Met de Microsoft Defender XDR-connector voor Microsoft Sentinel kunt u alle Microsoft Defender XDR-incidenten, waarschuwingen en geavanceerde opsporingsgebeurtenissen streamen naar Microsoft Sentinel. Met deze connector worden de incidenten gesynchroniseerd tussen beide portals. Microsoft Defender XDR-incidenten omvatten waarschuwingen, entiteiten en andere relevante informatie van alle Microsoft Defender-producten en -services. Zie Microsoft Defender XDR-integratie met Microsoft Sentinel voor meer informatie.

De Defender XDR-connector, met name de functie voor incidentintegratie, vormt de basis van het geïntegreerde platform voor beveiligingsbewerkingen. Als u Microsoft Sentinel onboardt naar de Microsoft Defender-portal, moet u deze connector eerst inschakelen met incidentintegratie.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Voordat u begint, moet u over de juiste licenties, toegang en geconfigureerde resources beschikken die in deze sectie worden beschreven.

U moet een geldige licentie voor Microsoft Defender XDR hebben, zoals beschreven in Microsoft Defender XDR-vereisten.
Uw gebruiker moet de rol Beveiligingsbeheerder hebben voor de tenant waaruit u de logboeken wilt streamen of de equivalente machtigingen.
U moet lees- en schrijfmachtigingen hebben voor uw Microsoft Sentinel-werkruimte.
Als u wijzigingen wilt aanbrengen in de connectorinstellingen, moet uw account lid zijn van dezelfde Microsoft Entra-tenant waaraan uw Microsoft Sentinel-werkruimte is gekoppeld.
Installeer de oplossing voor Microsoft Defender XDR vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.
Ververleent toegang tot Microsoft Sentinel, indien van toepassing op uw organisatie. Zie Rollen en machtigingen in Microsoft Sentinel voor meer informatie.

Voor on-premises Active Directory-synchronisatie via Microsoft Defender for Identity:

Uw tenant moet worden toegevoegd aan Microsoft Defender for Identity.
U moet de Microsoft Defender for Identity-sensor hebben geïnstalleerd.

Verbinding maken met Microsoft Defender XDR

Selecteer gegevensconnectors in Microsoft Sentinel. Selecteer Microsoft Defender XDR in de galerie en open de connectorpagina.

De sectie Configuratie bestaat uit drie onderdelen:

Verbind incidenten en waarschuwingen om de basisintegratie tussen Microsoft Defender XDR en Microsoft Sentinel mogelijk te maken, incidenten en hun waarschuwingen tussen de twee platforms te synchroniseren.
Entiteiten verbinden maakt de integratie van on-premises Active Directory-gebruikersidentiteiten mogelijk in Microsoft Sentinel via Microsoft Defender for Identity.
Met connect-gebeurtenissen kunt u onbewerkte geavanceerde opsporingsevenementen van Defender-onderdelen verzamelen.

Zie Microsoft Defender XDR-integratie met Microsoft Sentinel voor meer informatie.

Incidenten en waarschuwingen verbinden

Voer de volgende stappen uit om Microsoft Defender XDR-incidenten op te nemen en te synchroniseren met al hun waarschuwingen naar uw Wachtrij voor Microsoft Sentinel-incidenten.

Markeer het selectievakje met het label Alle regels voor het maken van microsoft-incidenten voor deze producten uitschakelen. Aanbevolen om duplicatie van incidenten te voorkomen. Dit selectievakje wordt niet weergegeven zodra de Microsoft Defender XDR-connector is verbonden.
Selecteer de knop Incidenten verbinden en waarschuwingen .
Controleer of Microsoft Sentinel incidentgegevens van Microsoft Defender XDR verzamelt. Voer in Microsoft Sentinel-logboeken in Azure Portal de volgende instructie uit in het queryvenster:
```
   SecurityIncident
   |    where ProviderName == "Microsoft 365 Defender"
```

Wanneer u de Microsoft Defender XDR-connector inschakelt, worden de connectors van Microsoft Defender-onderdelen die eerder waren verbonden automatisch op de achtergrond verbroken. Hoewel ze verbonden blijven , stromen er geen gegevens door.

Entiteiten verbinden

Gebruik Microsoft Defender for Identity om gebruikersentiteiten vanuit uw on-premises Active Directory te synchroniseren met Microsoft Sentinel.

Selecteer de koppeling Naar de UEBA-configuratiepagina gaan.
Als u UEBA niet hebt ingeschakeld op de pagina voor de configuratie van entiteitsgedrag, verplaatst u de wisselknop naar Aan boven aan de pagina.
Schakel het selectievakje Active Directory (preview) in en selecteer Toepassen.

Gebeurtenissen verbinden

Als u geavanceerde opsporingsevenementen van Microsoft Defender voor Eindpunt of Microsoft Defender voor Office 365 wilt verzamelen, kunnen de volgende soorten gebeurtenissen worden verzameld uit de bijbehorende geavanceerde opsporingstabellen.

Markeer de selectievakjes van de tabellen met de gebeurtenistypen die u wilt verzamelen:

Tabelnaam	Type gebeurtenissen
DeviceInfo	Computergegevens, inclusief besturingssysteemgegevens
DeviceNetworkInfo	Netwerkeigenschappen van apparaten, waaronder fysieke adapters, IP- en MAC-adressen, evenals verbonden netwerken en domeinen
DeviceProcessEvents	Proces maken en gerelateerde gebeurtenissen
DeviceNetworkEvents	Netwerkverbinding en gerelateerde gebeurtenissen
DeviceFileEvents	Gebeurtenissen voor het maken, wijzigen en andere bestandssysteem
DeviceRegistryEvents	Registervermeldingen maken en wijzigen
DeviceLogonEvents	Aanmeldingen en andere verificatiegebeurtenissen op apparaten
DeviceImageLoadEvents	DLL-laadbeurtenissen
DeviceEvents	Meerdere gebeurtenistypen, waaronder gebeurtenissen die worden geactiveerd door beveiligingscontroles zoals Windows Defender Antivirus en misbruikbeveiliging
DeviceFileCertificateInfo	Certificaatgegevens van ondertekende bestanden die zijn verkregen uit certificaatverificatie-gebeurtenissen op eindpunten

Tabelnaam	Type gebeurtenissen
EmailAttachmentInfo	Informatie over bestanden die zijn toegevoegd aan e-mailberichten
EmailEvents	Microsoft 365-e-mailevenementen, waaronder e-mailbezorging en blokkeringsevenementen
EmailPostDeliveryEvents	Beveiligingsgebeurtenissen die na de bezorging plaatsvinden, nadat Microsoft 365 de e-mailberichten aan het postvak van de geadresseerde heeft bezorgd
EmailUrlInfo	Informatie over URL's in e-mailberichten
UrlClickEvents	Gebeurtenissen met URL's waarop op Microsoft Defender voor Office 365 is geklikt, geselecteerd of aangevraagd

Tabelnaam	Type gebeurtenissen
IdentityDirectoryEvents	Verschillende identiteitsgebeurtenissen, zoals wachtwoordwijzigingen, wachtwoordverlooptijd en UPN-wijzigingen (User Principal Name), vastgelegd vanaf een on-premises Active Directory-domeincontroller Bevat ook systeemevenementen op de domeincontroller
IdentityLogonEvents	Verificatieactiviteiten die zijn gemaakt via uw on-premises Active Directory, zoals vastgelegd door Microsoft Defender for Identity Verificatieactiviteiten met betrekking tot Microsoft onlineservices, zoals vastgelegd door Microsoft Defender voor Cloud-apps
IdentityQueryEvents	Informatie over query's die worden uitgevoerd op Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen

Tabelnaam	Type gebeurtenissen
CloudAppEvents	Informatie over activiteiten in verschillende cloud-apps en -services die worden gedekt door Microsoft Defender voor Cloud Apps

Tabelnaam	Type gebeurtenissen
AlertInfo	Waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Cloud App Security en Microsoft Defender for Identity, waaronder ernstgegevens en bedreigingscategorisatie
Waarschuwingsdeelheid	Informatie over verschillende entiteiten - bestanden, IP-adressen, URL's, gebruikers, apparaten - gekoppeld aan waarschuwingen van Microsoft Defender XDR-onderdelen

Selecteer Wijzigingen toepassen.

Als u een query wilt uitvoeren in de geavanceerde opsporingstabellen in Log Analytics, voert u de tabelnaam in het queryvenster in.

Gegevensopname controleren

De gegevensgrafiek op de connectorpagina geeft aan dat u gegevens opneemt. U ziet dat er één regel wordt weergegeven voor incidenten, waarschuwingen en gebeurtenissen. De gebeurtenisregel is een aggregatie van het gebeurtenisvolume in alle ingeschakelde tabellen. Nadat u de connector hebt ingeschakeld, gebruikt u de volgende KQL-query's om specifiekere grafieken te genereren.

Gebruik de volgende KQL-query voor een grafiek van de binnenkomende Microsoft Defender XDR-incidenten:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Gebruik de volgende KQL-query om een grafiek van het gebeurtenisvolume voor één tabel te genereren (wijzig de tabel DeviceEvents in de vereiste tabel van uw keuze):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Defender XDR-incidenten, waarschuwingen en geavanceerde opsporingsgebeurtenisgegevens van Microsoft Defender-services integreert in Microsoft Sentinel met behulp van de Microsoft Defender XDR-connector.

Als u Microsoft Sentinel wilt gebruiken dat is geïntegreerd met Defender XDR in het geïntegreerde platform voor beveiligingsbewerkingen, raadpleegt u Microsoft Sentinel verbinden met Microsoft Defender XDR.

Delen via