Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel

Łącznik XDR usługi Microsoft Defender dla usługi Microsoft Sentinel umożliwia przesyłanie strumieniowe wszystkich zdarzeń, alertów i zaawansowanych zdarzeń wyszukiwania zagrożeń w usłudze Microsoft Sentinel w usłudze Microsoft Defender. Ten łącznik zachowuje synchronizację zdarzeń między obydwoma portalami. Zdarzenia XDR w usłudze Microsoft Defender obejmują alerty, jednostki i inne istotne informacje ze wszystkich produktów i usług Microsoft Defender. Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel.

Konektor XDR usługi Defender, zwłaszcza funkcja integracji incydentów, jest podstawą ujednoliconych działań zabezpieczających w portalu usługi Microsoft Defender. Łącznik danych XDR usługi Defender jest automatycznie połączony podczas dołączania usługi Microsoft Sentinel do portalu usługi Defender.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Przed rozpoczęciem musisz mieć odpowiednie licencje, dostęp i skonfigurowane zasoby opisane w tej sekcji.

• Musisz mieć ważną licencję dla usługi Microsoft Defender XDR, zgodnie z opisem w artykule Wymagania wstępne XDR w usłudze Microsoft Defender.
• Użytkownik musi mieć rolę Administratora zabezpieczeń w dzierżawie, z której chcesz przesyłać dzienniki, lub równoważne uprawnienia.
• Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
• Aby wprowadzić zmiany w ustawieniach łącznika, Twoje konto musi należeć do tej samej dzierżawy usługi Microsoft Entra, z którą jest skojarzony obszar roboczy usługi Microsoft Sentinel.
• Jeśli pracujesz w portalu Azure, zainstaluj rozwiązanie dla usługi Microsoft Defender XDR z Centrum Zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią. Jeśli pracujesz w portalu usługi Defender, to rozwiązanie jest instalowane automatycznie.
• Udziel dostępu do usługi Microsoft Sentinel zgodnie z potrzebami organizacji. Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.

W przypadku lokalna usługa Active Directory synchronizacji za pośrednictwem usługi Microsoft Defender for Identity:

• Dzierżawa musi być dołączona do usługi Microsoft Defender for Identity.
• Musisz mieć zainstalowany czujnik usługi Microsoft Defender for Identity.

Aby uzyskać więcej informacji, zobacz Wdrażanie usługi Microsoft Defender for Identity.

Nawiązywanie połączenia z usługą Microsoft Defender XDR

W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz pozycję Microsoft Defender XDR na stronie galerii i Otwórz stronę łącznika.

Sekcja Konfiguracja zawiera trzy części:

1. Łączenie zdarzeń i alertów umożliwia podstawową integrację między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, synchronizowaniem zdarzeń i alertami między dwiema platformami.

2. Połącz jednostki umożliwia integrację lokalnych tożsamości użytkowników Active Directory z usługą Microsoft Sentinel za pośrednictwem usługi Microsoft Defender for Identity.

3. Zdarzenie łączenia umożliwia zbieranie nieprzetworzonych zaawansowanych zdarzeń wyszukiwania ze składników programu Defender.

Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel.

Łączenie zdarzeń i alertów

Aby pozyskiwać i synchronizować zdarzenia XDR usługi Microsoft Defender ze wszystkimi alertami w kolejce zdarzeń usługi Microsoft Sentinel, wykonaj następujące kroki.

1. Zaznacz pole wyboru z etykietą Wyłącz wszystkie reguły tworzenia zdarzeń firmy Microsoft dla tych produktów. Zalecane, aby uniknąć duplikowania zdarzeń. To pole wyboru nie jest wyświetlane po nawiązaniu połączenia łącznika XDR usługi Microsoft Defender.

2. Wybierz przycisk Połącz zdarzenia i alerty .

3. Sprawdź, czy usługa Microsoft Sentinel zbiera dane zdarzenia XDR w usłudze Microsoft Defender. W dziale Dzienniki usługi Microsoft Sentinel w portalu Azure wykonaj następującą instrukcję w oknie zapytania:

      SecurityIncident
      | where ProviderName == "Microsoft XDR"
   

Po włączeniu łącznika XDR usługi Microsoft Defender wszystkie łączniki składników usługi Microsoft Defender, które były wcześniej połączone, są automatycznie odłączane w tle. Mimo że nadal pojawiają się połączone, żadne dane nie przepływają przez nie.

Łączenie jednostek

Użyj usługi Microsoft Defender for Identity, aby zsynchronizować jednostki użytkowników z lokalna usługa Active Directory z usługą Microsoft Sentinel.

1. Wybierz link Przejdź do strony konfiguracji UEBA .

2. Jeśli na stronie Konfiguracja zachowania jednostki nie włączono analizy UEBA, w górnej części strony przenieś przełącznik do pozycji Włączone.

3. Zaznacz pole wyboru Active Directory (wersja zapoznawcza) i wybierz pozycję Zastosuj.

   

Łączenie zdarzeń

Jeśli chcesz zebrać zaawansowane zdarzenia wyszukiwania zagrożeń z Ochrona punktu końcowego w usłudze Microsoft Defender lub Ochrona usługi Office 365 w usłudze Microsoft Defender, z odpowiednich zaawansowanych tabel wyszukiwania zagrożeń można zbierać następujące typy zdarzeń.

1. Zaznacz pola wyboru tabel z typami zdarzeń, które chcesz zebrać:

   Microsoft Defender dla punktu końcowego

   Nazwa tabeli	Typ zdarzeń
   Informacje o urządzeniu	Informacje o maszynie, w tym informacje o systemie operacyjnym
   DeviceNetworkInfo	Właściwości sieci urządzeń, w tym kart fizycznych, adresów IP i MAC, a także połączonych sieci i domen
   DeviceProcessEvents	Tworzenie procesów i powiązane zdarzenia
   DeviceNetworkEvents	Połączenie sieciowe i powiązane zdarzenia
   DeviceFileEvents	Tworzenie, modyfikowanie i inne zdarzenia systemu plików
   DeviceRegistryEvents	Tworzenie i modyfikowanie wpisów rejestru
   DeviceLogonEvents	Logowania i inne zdarzenia uwierzytelniania na urządzeniach
   DeviceImageLoadEvents	Zdarzenia ładowania bibliotek DLL
   DeviceEvents	Wiele typów zdarzeń, w tym zdarzenia wyzwalane przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Windows Defender i ochrona przed programami wykorzystującym luki w zabezpieczeniach
   DeviceFileCertificateInfo	Informacje o certyfikacie podpisanych plików uzyskanych ze zdarzeń weryfikacji certyfikatu w punktach końcowych

   Defender dla usługi Office 365

   Nazwa tabeli	Typ zdarzeń
   Informacje o załączniku e-maila	Informacje o plikach dołączonych do wiadomości e-mail
   WydarzeniaEmail	Zdarzenia poczty e-mail platformy Microsoft 365, w tym dostarczanie wiadomości e-mail i blokowanie zdarzeń
   ZdarzeniaPoDostarczeniuEmaila	Zdarzenia zabezpieczeń, które występują po zakończeniu dostarczania, po dostarczeniu wiadomości e-mail do skrzynki pocztowej adresata
   EmailUrlInfo	Informacje o adresach URL wiadomości e-mail
   UrlClickEvents	Zdarzenia z udziałem kliknięć, wybranych lub żądanych adresów URL w Ochrona usługi Office 365 w usłudze Microsoft Defender

   Defender for Identity

   Nazwa tabeli	Typ zdarzeń
   IdentityDirectoryEvents	Różne zdarzenia związane z tożsamością, takie jak zmiany haseł, wygasanie haseł i zmiany głównej nazwy użytkownika (UPN), przechwycone z kontrolera domeny lokalna usługa Active Directory Obejmuje również zdarzenia systemowe na kontrolerze domeny
   IdentityLogonEvents	Działania uwierzytelniania wykonywane za pośrednictwem lokalna usługa Active Directory, przechwycone przez usługę Microsoft Defender for Identity Działania uwierzytelniania związane z usługą Microsoft Usługi online przechwytywane przez aplikacje Microsoft Defender dla Chmury
   IdentityQueryEvents	Informacje o zapytaniach wykonywanych względem obiektów usługi Active Directory, takich jak użytkownicy, grupy, urządzenia i domeny

   Defender for Cloud Apps

   Nazwa tabeli	Typ zdarzeń
   CloudAppEvents	Informacje o działaniach w różnych aplikacjach i usługach w chmurze objętych Microsoft Defender dla Chmury Apps

   Alerty usługi Defender

   Nazwa tabeli	Typ zdarzeń
   Informacje o alertach	Alerty z Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Cloud App Security i Microsoft Defender for Identity, w tym informacje o ważności i kategoryzacja zagrożeń
   AlertEvidence	Informacje o różnych jednostkach — plikach, adresach IP, adresach URL, użytkownikach, urządzeniach — skojarzonych z alertami ze składników XDR usługi Microsoft Defender

2. Wybierz pozycję Zastosuj zmiany.

Aby uruchomić zapytanie w zaawansowanych tabelach wyszukiwania zagrożeń w usłudze Log Analytics, wprowadź nazwę tabeli w oknie zapytania.

Weryfikowanie pozyskiwania danych

Wykres danych na stronie łącznika wskazuje, że dane są pozyskiwane. Zwróć uwagę, że pokazuje jeden wiersz dla zdarzeń, alertów i zdarzeń, a wiersz zdarzeń jest agregacją woluminu zdarzeń we wszystkich tabelach z włączoną obsługą. Po włączeniu łącznika użyj następujących zapytań KQL, aby wygenerować bardziej szczegółowe wykresy.

Użyj następującego zapytania KQL dla grafu przychodzących zdarzeń XDR w usłudze Microsoft Defender:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft XDR"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Użyj następującego zapytania KQL, aby wygenerować wykres liczby zdarzeń dla pojedynczej tabeli (zmień tabelę DeviceEvents na wymaganą tabelę).

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:

• let instrukcja
• operator where
• operator rozszerzający
• operator projektu
• operator union
• operator sortowania
• operator podsumowujący
• operator renderowania
• ago() , funkcja
• iff() , funkcja
• max() funkcja agregacji
• count() , funkcja agregacji

Aby uzyskać więcej informacji na temat języka KQL, zobacz Omówienie języka Kusto Query Language (KQL).

Inne zasoby:

• Szybki przewodnik po języku KQL
• Zasoby szkoleniowe dotyczące języka zapytań Kusto

Następny krok

W tym dokumencie przedstawiono sposób integrowania zdarzeń, alertów i zaawansowanych danych zdarzeń wyszukiwania zagrożeń w usłudze Microsoft Defender z usługami Microsoft Sentinel przy użyciu łącznika XDR usługi Microsoft Defender.

Aby używać usługi Microsoft Sentinel razem z usługą Defender XDR w portalu usługi Defender, zobacz Łączenie usługi Microsoft Sentinel z portalem usługi Microsoft Defender