Microsoft Defender XDR-integratie met Microsoft Sentinel

Met de microsoft Defender XDR-incidentintegratie van Microsoft Sentinel kunt u alle Microsoft Defender XDR-incidenten streamen naar Microsoft Sentinel en deze gesynchroniseerd houden tussen beide portals. Incidenten van Microsoft Defender XDR bevatten alle bijbehorende waarschuwingen, entiteiten en relevante informatie, zodat u voldoende context krijgt om triage en voorlopig onderzoek uit te voeren in Microsoft Sentinel. In Sentinel blijven incidenten bidirectioneel gesynchroniseerd met Microsoft Defender XDR, zodat u kunt profiteren van de voordelen van beide portals in uw incidentonderzoek.

Deze integratie biedt Microsoft 365-beveiligingsincidenten de zichtbaarheid die moet worden beheerd vanuit Microsoft Sentinel, als onderdeel van de primaire incidentwachtrij in de hele organisatie, zodat u Microsoft 365-incidenten samen met die van al uw andere cloud- en on-premises systemen kunt zien en correleren. Tegelijkertijd kunt u profiteren van de unieke sterke punten en mogelijkheden van Microsoft Defender XDR voor diepgaande onderzoeken en een Microsoft 365-specifieke ervaring in het Microsoft 365-ecosysteem. Microsoft Defender XDR verrijkt en groepeert waarschuwingen van meerdere Microsoft 365-producten, waardoor de incidentwachtrij van de SOC wordt verkleind en de tijd wordt verkort die moet worden opgelost. De onderdeelservices die deel uitmaken van de Microsoft Defender XDR-stack zijn:

  • Microsoft Defender voor Eindpunt
  • Microsoft Defender for Identity
  • Microsoft Defender voor Office 365
  • Microsoft Defender voor Cloud-apps
  • Microsoft Defender voor Cloud (preview)

Andere services waarvan de waarschuwingen worden verzameld door Microsoft Defender XDR zijn onder andere:

  • Microsoft Purview-preventie van gegevensverlies (meer informatie)
  • Microsoft Entra ID Protection (meer informatie)

Naast het verzamelen van waarschuwingen van deze onderdelen en andere services genereert Microsoft Defender XDR zelf waarschuwingen. Er worden incidenten gemaakt op basis van al deze waarschuwingen en verzonden naar Microsoft Sentinel.

Belangrijk

De Microsoft Defender XDR-connector is nu algemeen beschikbaar.

Veelvoorkomende gebruikstoepassingen en scenario's

  • Met één klik maakt u verbinding met Microsoft Defender XDR-incidenten, inclusief alle waarschuwingen en entiteiten van Microsoft Defender XDR-onderdelen, in Microsoft Sentinel.

  • Bidirectionele synchronisatie tussen Sentinel- en Microsoft Defender XDR-incidenten op status, eigenaar en sluitingsreden.

  • Toepassing van Microsoft Defender XDR-waarschuwingsgroeperings- en verrijkingsmogelijkheden in Microsoft Sentinel, waardoor de tijd wordt verkort om dit op te lossen.

  • Dieptekoppeling tussen een Microsoft Sentinel-incident en het parallelle Microsoft Defender XDR-incident om onderzoeken in beide portals mogelijk te maken.

Verbinding maken naar Microsoft Defender XDR

Installeer de Microsoft Defender XDR-oplossing voor Microsoft Sentinel en schakel de Microsoft Defender XDR-gegevensconnector in om incidenten en waarschuwingen te verzamelen. Microsoft Defender XDR-incidenten worden weergegeven in de wachtrij voor Microsoft Sentinel-incidenten, met Microsoft Defender XDR in het veld Productnaam , kort nadat ze zijn gegenereerd in Microsoft Defender XDR.

  • Het kan tot 10 minuten duren voordat een incident wordt gegenereerd in Microsoft Defender XDR tot de tijd dat het in Microsoft Sentinel wordt weergegeven.

  • Waarschuwingen en incidenten van Microsoft Defender XDR (die items die de tabellen SecurityAlert en SecurityIncident vullen) worden kosteloos opgenomen en gesynchroniseerd met Microsoft Sentinel. Voor alle andere gegevenstypen van afzonderlijke Defender-onderdelen (zoals DeviceInfo, DeviceFileEvents, EmailEvents, enzovoort), worden er kosten in rekening gebracht voor opname.

Zodra de Integratie van Microsoft Defender XDR is verbonden, worden de connectors voor alle geïntegreerde onderdelen en services (Defender for Endpoint, Defender for Identity, Defender voor Office 365, Defender voor Cloud Apps, Microsoft Entra ID Protection) automatisch op de achtergrond verbonden als ze nog niet waren. Als er onderdeellicenties zijn aangeschaft nadat Microsoft Defender XDR is verbonden, stromen de waarschuwingen en incidenten van het nieuwe product nog steeds naar Microsoft Sentinel zonder extra configuratie of kosten.

Microsoft Defender XDR-incidenten en regels voor het maken van microsoft-incidenten

  • Incidenten die worden gegenereerd door Microsoft Defender XDR, op basis van waarschuwingen die afkomstig zijn van Microsoft 365-beveiligingsproducten, worden gemaakt met behulp van aangepaste Microsoft Defender XDR-logica.

  • Microsoft-regels voor het maken van incidenten in Microsoft Sentinel maken ook incidenten op basis van dezelfde waarschuwingen, met behulp van (een andere) aangepaste Microsoft Sentinel-logica.

  • Het gebruik van beide mechanismen wordt volledig ondersteund en kan worden gebruikt om de overgang naar de nieuwe logica voor het maken van microsoft Defender XDR-incidenten te vergemakkelijken. Als u dit doet, worden er echter dubbele incidenten voor dezelfde waarschuwingen gemaakt.

  • Om dubbele incidenten voor dezelfde waarschuwingen te voorkomen, raden we klanten aan om alle regels voor het maken van Microsoft Defender XDR-producten (Defender for Endpoint, Defender for Identity, Defender voor Office 365, Defender voor Cloud Apps en Microsoft Entra ID Protection) uit te schakelen bij het verbinden van Microsoft Defender XDR. U kunt dit doen door het maken van incidenten uit te schakelen op de connectorpagina. Houd er rekening mee dat als u dit doet, filters die zijn toegepast door de regels voor het maken van incidenten, niet worden toegepast op Microsoft Defender XDR-incidentintegratie.

Werken met Microsoft Defender XDR-incidenten in Microsoft Sentinel en bidirectionele synchronisatie

Microsoft Defender XDR-incidenten worden weergegeven in de wachtrij met Microsoft Sentinel-incidenten met de productnaam Microsoft Defender XDR en met vergelijkbare details en functionaliteit voor andere Sentinel-incidenten. Elk incident bevat een koppeling naar het parallelle incident in de Microsoft Defender-portal.

Naarmate het incident zich verder ontwikkelt in Microsoft Defender XDR en er meer waarschuwingen of entiteiten aan worden toegevoegd, wordt het Microsoft Sentinel-incident dienovereenkomstig bijgewerkt.

Wijzigingen die zijn aangebracht in de status, de reden van sluiting of de toewijzing van een Microsoft Defender XDR-incident, in Microsoft Defender XDR of Microsoft Sentinel, worden eveneens bijgewerkt in de wachtrij voor incidenten van de andere. De synchronisatie vindt plaats in beide portals onmiddellijk nadat de wijziging in het incident is toegepast, zonder vertraging. Mogelijk is een vernieuwing vereist om de meest recente wijzigingen te zien.

In Microsoft Defender XDR kunnen alle waarschuwingen van het ene incident worden overgebracht naar een ander incident, waardoor de incidenten worden samengevoegd. Wanneer deze samenvoeging plaatsvindt, weerspiegelen de Microsoft Sentinel-incidenten de wijzigingen. Eén incident bevat alle waarschuwingen van zowel oorspronkelijke incidenten als het andere incident wordt automatisch gesloten, met een tag 'omgeleid'.

Notitie

Incidenten in Microsoft Sentinel kunnen maximaal 150 waarschuwingen bevatten. Microsoft Defender XDR-incidenten kunnen meer dan dit hebben. Als een Microsoft Defender XDR-incident met meer dan 150 waarschuwingen wordt gesynchroniseerd met Microsoft Sentinel, wordt het Sentinel-incident weergegeven als '150+'-waarschuwingen en wordt er een koppeling naar het parallelle incident in Microsoft Defender XDR weergegeven, waar u de volledige set waarschuwingen ziet.

Verzameling geavanceerde opsporingsevenementen

Met de Microsoft Defender XDR-connector kunt u ook geavanceerde opsporingsgebeurtenissen, een type onbewerkte gebeurtenisgegevens, streamen vanuit Microsoft Defender XDR en de bijbehorende onderdeelservices naar Microsoft Sentinel. U kunt nu (vanaf april 2022) geavanceerde opsporingsgebeurtenissen verzamelen van alle Microsoft Defender XDR-onderdelen en ze rechtstreeks streamen naar speciaal gebouwde tabellen in uw Microsoft Sentinel-werkruimte. Deze tabellen zijn gebaseerd op hetzelfde schema dat wordt gebruikt in de Microsoft Defender-portal, zodat u volledige toegang hebt tot de volledige set geavanceerde opsporingsevenementen en waarmee u het volgende kunt doen:

  • Kopieer eenvoudig uw bestaande Microsoft Defender voor Eindpunt/Office 365/Identity/Cloud Apps geavanceerde opsporingsquery's naar Microsoft Sentinel.

  • Gebruik de onbewerkte gebeurtenislogboeken om meer inzicht te krijgen in uw waarschuwingen, opsporing en onderzoek en deze gebeurtenissen te correleren met gebeurtenissen uit andere gegevensbronnen in Microsoft Sentinel.

  • Sla de logboeken op met een verhoogde retentie, behalve de standaardretentie van Microsoft Defender XDR's of de bijbehorende onderdelen van 30 dagen. U kunt dit doen door de retentie van uw werkruimte te configureren of door retentie per tabel in Log Analytics te configureren.

Volgende stappen

In dit document hebt u geleerd hoe u kunt profiteren van het gebruik van Microsoft Defender XDR in combinatie met Microsoft Sentinel, met behulp van de Microsoft Defender XDR-connector.