Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe Microsoft Defender XDR-services kunnen worden geïntegreerd met Microsoft Sentinel, hetzij in de Microsoft Defender-portal of in Azure Portal.
Als u na 1 juli 2025 voor het eerst onboarding hebt uitgevoerd bij Microsoft Sentinel met machtigingen van een abonnementseigenaar of beheerder van gebruikerstoegang, wordt uw werkruimte automatisch toegevoegd aan de Defender-portal. In dergelijke gevallen gebruikt u Microsoft Sentinel alleen in de Defender-portal, waarbij uw gegevens rechtstreeks kunnen worden geïntegreerd met Defender XDR-servicegegevens voor geïntegreerde beveiligingsbewerkingen.
Als u anders Azure Portal gebruikt naast of in plaats van de Defender-portal, integreert u Microsoft Defender XDR met Microsoft Sentinel. Als u de services integreert, worden alle Defender XDR-incidenten en geavanceerde opsporingsgebeurtenissen in Microsoft Sentinel gestreamd en worden de incidenten en gebeurtenissen gesynchroniseerd tussen de Azure- en Microsoft Defender-portals.
Incidenten van Defender XDR bevatten alle bijbehorende waarschuwingen, entiteiten en relevante informatie, zodat u voldoende context krijgt om triage en voorlopig onderzoek uit te voeren in Microsoft Sentinel. In Microsoft Sentinel blijven incidenten bidirectioneel gesynchroniseerd met Defender XDR, zodat u kunt profiteren van de voordelen van beide portals in uw incidentonderzoek.
Microsoft Sentinel en Defender XDR
Gebruik een van de volgende methoden om Microsoft Sentinel te integreren met Microsoft Defender XDR-services:
Opname van Microsoft Defender XDR-servicegegevens in Microsoft Sentinel en bekijk Microsoft Sentinel-gegevens in Azure Portal. Schakel de Defender XDR-connector in Microsoft Sentinel in.
Integreer Microsoft Sentinel en Defender XDR rechtstreeks in de Microsoft Defender-portal. In dit geval bekijkt u Microsoft Sentinel-gegevens rechtstreeks met de rest van uw Defender-incidenten, waarschuwingen, beveiligingsproblemen en andere beveiligingsgegevens. Hiervoor moet u Microsoft Sentinel onboarden naar de Defender-portal.
Selecteer het juiste tabblad om te zien hoe de Microsoft Sentinel-integratie met Defender XDR eruitziet, afhankelijk van de integratiemethode die u gebruikt.
In de volgende afbeelding ziet u hoe de XDR-oplossing van Microsoft naadloos kan worden geïntegreerd met Microsoft Sentinel in de Microsoft Defender-portal.
In dit diagram:
- Inzichten uit signalen in uw hele organisatie voeren microsoft Defender XDR en Microsoft Defender voor Cloud in.
- Microsoft Sentinel biedt ondersteuning voor omgevingen met meerdere clouds en kan worden geïntegreerd met apps en partners van derden.
- Microsoft Sentinel-gegevens worden samen met de gegevens van uw organisatie opgenomen in de Microsoft Defender-portal.
- SecOps-teams kunnen vervolgens bedreigingen analyseren en erop reageren die zijn geïdentificeerd door Microsoft Sentinel en Microsoft Defender XDR in de Microsoft Defender-portal.
Incidentcorrelatie en waarschuwingen
Met de integratie van Defender XDR met Microsoft Sentinel zijn Defender XDR-incidenten zichtbaar en beheerbaar vanuit Microsoft Sentinel. Hiermee krijgt u een primaire incidentwachtrij in de hele organisatie. Bekijk en correleer Defender XDR-incidenten samen met incidenten van al uw andere cloud- en on-premises systemen. Tegelijkertijd kunt u met deze integratie profiteren van de unieke sterke punten en mogelijkheden van Defender XDR voor diepgaande onderzoeken en een Defender-specifieke ervaring in het Microsoft 365-ecosysteem.
Defender XDR verrijkt en groepeert waarschuwingen van meerdere Microsoft Defender-producten, waardoor de incidentwachtrij van de SOC wordt verkleind en de tijd wordt verkort om dit op te lossen. Waarschuwingen van de volgende Microsoft Defender-producten en -services zijn ook opgenomen in de integratie van Defender XDR met Microsoft Sentinel:
- Microsoft Defender voor Eindpunten
- Microsoft Defender for Identity
- Microsoft Defender voor Office 365
- Microsoft Defender voor Cloud-apps
Andere services waarvan de waarschuwingen worden verzameld door Defender XDR zijn onder andere:
- Microsoft Purview-preventie van gegevensverlies
- Microsoft Entra ID-beveiliging
- Microsoft Purview Intern risicobeheer
De Defender XDR-connector brengt ook incidenten van Microsoft Defender voor Cloud. Als u ook waarschuwingen en entiteiten van deze incidenten wilt synchroniseren, moet u de Defender voor Cloud-connector in Microsoft Sentinel inschakelen. Anders worden uw Defender voor Cloud incidenten leeg weergegeven. Zie Microsoft Defender voor Cloud incidenten opnemen met Microsoft Defender XDR-integratie voor meer informatie.
Naast het verzamelen van waarschuwingen van deze onderdelen en andere services genereert Defender XDR zelf waarschuwingen. Er worden incidenten gemaakt op basis van al deze waarschuwingen en verzonden naar Microsoft Sentinel.
Veelvoorkomende gebruikstoepassingen en scenario's
Overweeg om Defender XDR te integreren met Microsoft Sentinel voor de volgende use cases en scenario's:
Onboarding van Microsoft Sentinel naar de Microsoft Defender-portal.
Schakel met één klik verbinding van Defender XDR-incidenten in, inclusief alle waarschuwingen en entiteiten van Defender XDR-onderdelen, in Microsoft Sentinel.
Sta bidirectionele synchronisatie tussen Microsoft Sentinel en Defender XDR-incidenten toe op status, eigenaar en afsluitreden.
Pas Defender XDR-waarschuwingsgroepen en verrijkingsmogelijkheden toe in Microsoft Sentinel, waardoor minder tijd nodig is om op te lossen.
Vereenvoudig onderzoeken in beide portals met dieptekoppelingen tussen een Microsoft Sentinel-incident en het parallelle Defender XDR-incident.
Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Verbinding maken met Microsoft Defender XDR
Hoe u Defender XDR integreert, is afhankelijk van of u Microsoft Sentinel wilt onboarden naar de Defender-portal of wilt blijven werken in Azure Portal.
Integratie van Defender-portal
Als u Microsoft Sentinel onboardt naar de Defender-portal en een licentie hebt voor Defender XDR, wordt Microsoft Sentinel automatisch verbonden met Defender XDR. De gegevensconnector voor Defender XDR wordt automatisch voor u ingesteld. Alle gegevensconnectors voor de waarschuwingsproviders die zijn opgenomen in de Defender XDR-connector, worden verbroken. Dit omvat de volgende gegevensconnectors:
- Microsoft Defender voor Cloud Apps (waarschuwingen)
- Microsoft Defender voor Endpoint
- Microsoft Defender for Identity
- Microsoft Defender voor Office 365
- Microsoft Entra ID-beveiliging
Integratie van Azure Portal
Als u Defender XDR-gegevens wilt synchroniseren met Microsoft Sentinel in Azure Portal, moet u de Microsoft Defender XDR-connector in Microsoft Sentinel inschakelen. Wanneer u de connector inschakelt, worden alle Defender XDR-incidenten en -waarschuwingen naar Microsoft Sentinel verzonden en worden de incidenten gesynchroniseerd.
Installeer eerst de Microsoft Defender XDR-oplossing voor Microsoft Sentinel vanuit de Content Hub. Schakel vervolgens de Microsoft Defender XDR-gegevensconnector in om incidenten en waarschuwingen te verzamelen. Zie Connect data from Microsoft Defender XDR to Microsoft Sentinel (Verbinding maken met Microsoft Sentinel) voor meer informatie.
Nadat u waarschuwings- en incidentverzameling hebt ingeschakeld in de Defender XDR-gegevensconnector, worden Defender XDR-incidenten weergegeven in de wachtrij microsoft Sentinel-incidenten kort nadat ze zijn gegenereerd in Defender XDR. Het kan tot 10 minuten duren voordat een incident wordt gegenereerd in Defender XDR tot de tijd dat het in Microsoft Sentinel wordt weergegeven. In deze incidenten bevat het veld Waarschuwingsproductnaam Microsoft Defender XDR of een van de namen van de onderdeel Defender-services.
Opnamekosten
Waarschuwingen en incidenten van Defender XDR, inclusief items die de tabellen SecurityAlert en SecurityIncident vullen, worden kosteloos opgenomen in en gesynchroniseerd met Microsoft Sentinel. Voor alle andere gegevenstypen van afzonderlijke Defender-onderdelen, zoals de Geavanceerde opsporingstabellenDeviceInfo, DeviceFileEvents, EmailEvents, enzovoort, worden gegevensopname in rekening gebracht.
Zie Kosten plannen en inzicht in prijzen en facturering van Microsoft Sentinel voor meer informatie.
Gedrag van gegevensopname
Waarschuwingen die door Defender XDR geïntegreerde producten zijn gemaakt, worden verzonden naar Defender XDR en gegroepeerd in incidenten. Zowel de waarschuwingen als de incidenten stromen naar Microsoft Sentinel via de Defender XDR-connector.
De uitzondering op dit proces is Defender voor Cloud. U hebt de mogelijkheid om tenantgebaseerde Defender voor Cloud-waarschuwingen in te schakelen voor het ontvangen van alle waarschuwingen en incidenten via Defender XDR, of om waarschuwingen op basis van abonnementen te behouden en deze te promoveren naar incidenten in Microsoft Sentinel in Azure Portal.
Zie voor de beschikbare opties en meer informatie:
- Microsoft Defender voor Cloud in de Microsoft Defender-portal
- Microsoft Defender voor Cloud-incidenten opnemen met Microsoft Defender XDR-integratie
Regels voor het aanmaken van Microsoft-incidenten
Om dubbele incidenten voor dezelfde waarschuwingen te voorkomen, wordt de instelling voor het maken van regels voor Microsoft-incidenten uitgeschakeld voor defender XDR-geïntegreerde producten bij het verbinden van Defender XDR. Defender XDR-geïntegreerde producten omvatten Microsoft Defender for Identity, Microsoft Defender voor Office 365 en meer. Bovendien worden regels voor het maken van microsoft-incidenten niet ondersteund in de Defender-portal, omdat de Defender-portal een eigen engine voor het maken van incidenten heeft. Deze wijziging heeft de volgende mogelijke gevolgen:
Waarschuwingsfiltering. Met de regels voor het maken van incidenten van Microsoft Sentinel kunt u de waarschuwingen filteren die worden gebruikt voor het maken van incidenten. Als deze regels zijn uitgeschakeld, behoudt u de mogelijkheid voor waarschuwingsfiltering door het afstemmen van waarschuwingen in de Microsoft Defender-portal te configureren of door automatiseringsregels te gebruiken om incidenten te onderdrukken of te sluiten die u niet wilt.
Incidenttitels. Als de Defender XDR-connector is ingeschakeld, kunt u de titels van incidenten niet meer vooraf bepalen. De Defender XDR-correlatie-engine beheert de creatie van incidenten en noemt automatisch de incidenten die deze creëert. Deze wijziging kan van invloed zijn op automatiseringsregels die u hebt gemaakt die de naam van het incident als voorwaarde gebruiken. Gebruik andere criteria dan de naam van het incident als voorwaarden voor het activeren van automatiseringsregels om deze valkuil te voorkomen. We raden u aan tags te gebruiken.
Geplande analyseregels. Als u de regels voor het maken van incidenten van Microsoft Sentinel gebruikt voor andere Microsoft-beveiligingsoplossingen of -producten die niet zijn geïntegreerd in Defender XDR, zoals Microsoft Purview Intern risicobeheer, en u van plan bent om onboarding uit te voeren in de Defender-portal, vervangt u uw regels voor het maken van incidenten door geplande analyseregels.
Werken met Microsoft Defender XDR-incidenten in Microsoft Sentinel en bidirectionele synchronisatie
Defender XDR-incidenten worden weergegeven in de wachtrij met Microsoft Sentinel-incidenten met de productnaam Microsoft Defender XDR en met vergelijkbare details en functionaliteit voor andere Microsoft Sentinel-incidenten. Elk incident bevat een koppeling naar het parallelle incident in de Microsoft Defender-portal.
Naarmate het incident zich ontwikkelt in Defender XDR en er meer waarschuwingen of entiteiten aan worden toegevoegd, wordt het Microsoft Sentinel-incident dienovereenkomstig bijgewerkt.
Wijzigingen die zijn aangebracht in bepaalde velden of kenmerken van een Defender XDR-incident, in Defender XDR of Microsoft Sentinel, worden dienovereenkomstig bijgewerkt in de wachtrij voor incidenten van het andere systeem. De synchronisatie vindt plaats in beide portals direct nadat de wijziging in het incident is toegepast, zonder vertraging. Mogelijk is een vernieuwing vereist om de meest recente wijzigingen te zien.
De volgende velden worden 'zoals is' gesynchroniseerd tussen incidenten in de Defender-portal en in Microsoft Sentinel in Azure Portal:
- Titel
- Beschrijving
- ProductName
- Ernstigheid
- Aangepaste tags
- AanvullendeGegevens
- Opmerkingen (alleen nieuw)
- Laatst gewijzigd door
De volgende velden worden tijdens de synchronisatie getransformeerd zodat hun waarden voldoen aan het schema van elk platform:
| Veld | Waarde in de Defender-portal | Waarde in Microsoft Sentinel |
|---|---|---|
| Status | ||
| Actief | Nieuw | |
|
Classificatie/ Classificatiereden |
||
| Terecht positief/ elke |
Terecht positief/ Verdachte activiteit |
|
| Fout-positief/ elke |
Fout-positief/ Onnauwkeurige gegevens |
|
| Niet van toepassing. | Fout-positief/ Onnauwkeurige waarschuwingslogica |
|
| Goedaardig positief/ Informatieve verwachte activiteit |
Goedaardig positief/ Verdacht, maar verwacht |
|
| Niet ingesteld | Onbepaald |
In Defender XDR kunnen alle waarschuwingen van het ene incident worden overgebracht naar een ander incident, waardoor de incidenten worden samengevoegd. Wanneer deze samenvoeging plaatsvindt, weerspiegelen de Microsoft Sentinel-incidenten de wijzigingen. Eén incident bevat alle waarschuwingen van zowel oorspronkelijke incidenten als het andere incident wordt automatisch gesloten, met een tag 'omgeleid'.
Notitie
Incidenten in Microsoft Sentinel kunnen maximaal 150 waarschuwingen bevatten. Defender XDR-incidenten kunnen meer dan dit hebben. Als een Defender XDR-incident met meer dan 150 waarschuwingen wordt gesynchroniseerd met Microsoft Sentinel, wordt het Microsoft Sentinel-incident weergegeven met waarschuwingen van '150+' en wordt er een koppeling naar het parallelle incident in Defender XDR weergegeven, waar u de volledige set waarschuwingen ziet.
Verzameling geavanceerde opsporingsevenementen
Met de Defender XDR-connector kunt u ook geavanceerde opsporingsgebeurtenissen, een type onbewerkte gebeurtenisgegevens, streamen vanuit Defender XDR en de bijbehorende onderdeelservices naar Microsoft Sentinel. Verzamel geavanceerde opsporingsgebeurtenissen van alle Defender XDR-onderdelen en stream ze rechtstreeks naar speciaal gebouwde tabellen in uw Microsoft Sentinel-werkruimte. Deze tabellen zijn gebaseerd op hetzelfde schema dat wordt gebruikt in de Defender-portal, zodat u volledige toegang hebt tot de volledige set geavanceerde opsporingsevenementen en de volgende taken kunt uitvoeren:
Kopieer eenvoudig uw bestaande Microsoft Defender voor Eindpunt/Office 365/Identity/Cloud Apps geavanceerde opsporingsquery's naar Microsoft Sentinel.
Gebruik de onbewerkte gebeurtenislogboeken om meer inzicht te krijgen in uw waarschuwingen, opsporing en onderzoek en deze gebeurtenissen te correleren met gebeurtenissen uit andere gegevensbronnen in Microsoft Sentinel.
Sla de logboeken op met een verhoogde retentie, behalve de standaardretentie van Defender XDR van 30 dagen. U kunt dit doen door de retentie van uw werkruimte te configureren of door retentie per tabel in Log Analytics te configureren.
Gerelateerde inhoud
In dit document hebt u de voordelen geleerd van het inschakelen van de Defender XDR-connector in Microsoft Sentinel.
- Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel
- Als u Microsoft Sentinel in de Defender-portal wilt gebruiken, zie Microsoft Sentinel verbinden met de Microsoft Defender-portal.
- Controleer de beschikbaarheid van verschillende Microsoft Defender XDR-gegevenstypen in de verschillende Microsoft 365- en Azure-clouds.