Połączenie danych z usługi Microsoft Defender XDR do usługi Microsoft Sentinel

Łącznik XDR usługi Microsoft Defender w usłudze Microsoft Sentinel z integracją zdarzeń umożliwia przesyłanie strumieniowe wszystkich zdarzeń i alertów usługi Microsoft Defender XDR do usługi Microsoft Sentinel oraz synchronizowanie zdarzeń między obydwoma portalami. Zdarzenia XDR w usłudze Microsoft Defender obejmują wszystkie swoje alerty, jednostki i inne istotne informacje. Obejmują one również alerty z usług składników usługi Microsoft Defender XDR Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity, Ochrona usługi Office 365 w usłudze Microsoft Defender iMicrosoft Defender dla Chmury Apps, a także alerty z innych usług, takich jak Ochrona przed utratą danych w Microsoft Purview i Ochrona tożsamości Microsoft Entra. Łącznik XDR usługi Microsoft Defender przenosi również zdarzenia z Microsoft Defender dla Chmury, chociaż w celu zsynchronizowania alertów i jednostek z tych zdarzeń należy włączyć łącznik Microsoft Defender dla Chmury, w przeciwnym razie Microsoft Defender dla Chmury zdarzenia będą wyświetlane puste. Dowiedz się więcej o dostępnych łącznikach dla Microsoft Defender dla Chmury.

Łącznik umożliwia również przesyłanie strumieniowe zaawansowanych zdarzeń wyszukiwania zagrożeń ze wszystkich powyższych składników usługi Defender do usługi Microsoft Sentinel, co umożliwia kopiowanie zaawansowanych zapytań dotyczących wyszukiwania zagrożeń tych składników usługi Defender do usługi Microsoft Sentinel, wzbogacanie alertów usługi Sentinel o nieprzetworzone dane zdarzeń składników usługi Defender w celu zapewnienia dodatkowych szczegółowych informacji i przechowywanie dzienników ze zwiększonym przechowywaniem w usłudze Log Analytics.

Aby uzyskać więcej informacji na temat integracji zdarzeń i zaawansowanej kolekcji zdarzeń wyszukiwania zagrożeń, zobacz Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel.

Łącznik XDR usługi Microsoft Defender jest teraz ogólnie dostępny.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Wymagania wstępne

• Musisz mieć ważną licencję dla usługi Microsoft Defender XDR, zgodnie z opisem w artykule Wymagania wstępne XDR w usłudze Microsoft Defender.

• Użytkownik musi mieć przypisaną rolę Global Administracja istrator lub Security Administracja istrator w dzierżawie, z której chcesz przesyłać strumieniowo dzienniki.

• Użytkownik musi mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

• Aby wprowadzić zmiany w ustawieniach łącznika, użytkownik musi być członkiem tej samej dzierżawy firmy Microsoft Entra, z którą jest skojarzony obszar roboczy usługi Microsoft Sentinel.

• Zainstaluj rozwiązanie dla usługi Microsoft Defender XDR z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Wymagania wstępne dotyczące synchronizacji usługi Active Directory za pośrednictwem rozwiązania MDI

• Dzierżawa musi być dołączona do usługi Microsoft Defender for Identity.

• Musisz mieć zainstalowany czujnik MDI.

Połączenie do usługi Microsoft Defender XDR

W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych, wybierz pozycję Microsoft Defender XDR z galerii i wybierz pozycję Otwórz łącznik.

Sekcja Konfiguracja zawiera trzy części:

1. Połączenie zdarzeń i alertów Umożliwia podstawową integrację między usługą Microsoft Defender XDR i usługą Microsoft Sentinel, synchronizowaniem zdarzeń i alertami między dwiema platformami.

2. Jednostki Połączenie umożliwia integrację tożsamości użytkowników lokalna usługa Active Directory z usługą Microsoft Sentinel za pośrednictwem usługi Microsoft Defender for Identity.

3. zdarzenia Połączenie umożliwia zbieranie nieprzetworzonych zaawansowanych zdarzeń wyszukiwania zagrożeń ze składników usługi Defender.

Zostały one wyjaśnione bardziej szczegółowo poniżej. Aby uzyskać więcej informacji, zobacz Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel .

Połączenie zdarzeń i alertów

Aby pozyskiwać i synchronizować zdarzenia XDR w usłudze Microsoft Defender ze wszystkimi alertami, do kolejki zdarzeń usługi Microsoft Sentinel:

1. Zaznacz pole wyboru z etykietą Wyłącz wszystkie reguły tworzenia zdarzeń firmy Microsoft dla tych produktów. Zalecane, aby uniknąć duplikowania zdarzeń.
   (To pole wyboru nie będzie wyświetlane po nawiązaniu połączenia łącznika XDR usługi Microsoft Defender).

2. Wybierz przycisk Połączenie zdarzenia i alerty.

Uwaga

Po włączeniu łącznika XDR usługi Microsoft Defender wszystkie łączniki składników XDR usługi Microsoft Defender (wymienione na początku tego artykułu) są automatycznie połączone w tle. Aby odłączyć jeden z łączników składników, należy najpierw odłączyć łącznik XDR usługi Microsoft Defender.

Aby wysłać zapytanie do danych zdarzenia XDR w usłudze Microsoft Defender, użyj następującej instrukcji w oknie zapytania:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

Jednostki Połączenie

Użyj usługi Microsoft Defender for Identity, aby zsynchronizować jednostki użytkowników z lokalna usługa Active Directory z usługą Microsoft Sentinel.

Sprawdź, czy spełniono wymagania wstępne dotyczące synchronizowania użytkowników lokalna usługa Active Directory za pośrednictwem usługi Microsoft Defender for Identity (MDI).

1. Wybierz link Przejdź do strony konfiguracji UEBA.

2. Na stronie Konfiguracja zachowania jednostki, jeśli jeszcze nie włączono analizy UEBA, w górnej części strony przenieś przełącznik do pozycji Włączone.

3. Zaznacz pole wyboru Active Directory (wersja zapoznawcza) i wybierz pozycję Zastosuj.

   

zdarzenia Połączenie

Jeśli chcesz zebrać zaawansowane zdarzenia wyszukiwania zagrożeń z Ochrona punktu końcowego w usłudze Microsoft Defender lub Ochrona usługi Office 365 w usłudze Microsoft Defender, z odpowiednich zaawansowanych tabel wyszukiwania zagrożeń można zbierać następujące typy zdarzeń.

1. Zaznacz pola wyboru tabel z typami zdarzeń, które chcesz zebrać:

   Defender for Endpoint

   Nazwa tabeli	Typ zdarzeń
   Deviceinfo	Informacje o maszynie, w tym informacje o systemie operacyjnym
   DeviceNetworkInfo	Właściwości sieci urządzeń, w tym kart fizycznych, adresów IP i MAC, a także połączonych sieci i domen
   DeviceProcessEvents	Tworzenie procesów i powiązane zdarzenia
   DeviceNetworkEvents	Połączenie sieciowe i powiązane zdarzenia
   DeviceFileEvents	Tworzenie, modyfikowanie i inne zdarzenia systemu plików
   DeviceRegistryEvents	Tworzenie i modyfikowanie wpisów rejestru
   DeviceLogonEvents	Logowania i inne zdarzenia uwierzytelniania na urządzeniach
   DeviceImageLoadEvents	Zdarzenia ładowania bibliotek DLL
   DeviceEvents	Wiele typów zdarzeń, w tym zdarzenia wyzwalane przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Windows Defender i ochrona przed programami wykorzystującym luki w zabezpieczeniach
   DeviceFileCertificateInfo	Informacje o certyfikacie podpisanych plików uzyskanych ze zdarzeń weryfikacji certyfikatu w punktach końcowych

   Ochrona usługi Office 365 w usłudze Defender

   Nazwa tabeli	Typ zdarzeń
   EmailAttachmentInfo	Informacje o plikach dołączonych do wiadomości e-mail
   EmailEvents	Zdarzenia poczty e-mail platformy Microsoft 365, w tym dostarczanie wiadomości e-mail i blokowanie zdarzeń
   EmailPostDeliveryEvents	Zdarzenia zabezpieczeń, które występują po zakończeniu dostarczania, po dostarczeniu wiadomości e-mail do skrzynki pocztowej adresata przez usługę Microsoft 365
   EmailUrlInfo	Informacje o adresach URL wiadomości e-mail

   Defender for Identity

   Nazwa tabeli	Typ zdarzeń
   IdentityDirectoryEvents	Różne zdarzenia związane z tożsamością, takie jak zmiany haseł, wygasanie haseł i zmiany głównej nazwy użytkownika (UPN), przechwycone z kontrolera domeny lokalna usługa Active Directory Obejmuje również zdarzenia systemowe na kontrolerze domeny
   IdentityInfo	Informacje o kontach użytkowników uzyskanych z różnych usług, w tym identyfikatora Firmy Microsoft Entra
   IdentityLogonEvents	Działania uwierzytelniania wykonywane za pośrednictwem lokalna usługa Active Directory, przechwycone przez usługę Microsoft Defender for Identity Działania uwierzytelniania związane z usługą Microsoft Usługi online przechwytywane przez aplikacje Microsoft Defender dla Chmury
   IdentityQueryEvents	Informacje o zapytaniach wykonywanych względem obiektów usługi Active Directory, takich jak użytkownicy, grupy, urządzenia i domeny

   aplikacje Defender dla Chmury

   Nazwa tabeli	Typ zdarzeń
   CloudAppEvents	Informacje o działaniach w różnych aplikacjach i usługach w chmurze objętych Microsoft Defender dla Chmury Apps

   Alerty usługi Defender

   Nazwa tabeli	Typ zdarzeń
   Informacje o alertach	Informacje o alertach ze składników XDR w usłudze Microsoft Defender
   AlertEvidence	Informacje o różnych jednostkach — plikach, adresach IP, adresach URL, użytkownikach, urządzeniach — skojarzonych z alertami ze składników XDR usługi Microsoft Defender

2. Kliknij pozycję Zastosuj zmiany.

3. Aby wysłać zapytanie do zaawansowanych tabel wyszukiwania zagrożeń w usłudze Log Analytics, wprowadź nazwę tabeli z powyższej listy w oknie zapytania.

Weryfikowanie pozyskiwania danych

Wykres danych na stronie łącznika wskazuje, że dane są pozyskiwane. Zauważysz, że pokazuje jeden wiersz dla zdarzeń, alertów i zdarzeń, a wiersz zdarzeń jest agregacją woluminu zdarzeń we wszystkich tabelach z włączoną obsługą. Po włączeniu łącznika można użyć następujących zapytań KQL do generowania bardziej szczegółowych grafów.

Użyj następującego zapytania KQL dla grafu przychodzących zdarzeń XDR w usłudze Microsoft Defender:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Użyj następującego zapytania KQL, aby wygenerować wykres woluminu zdarzeń dla pojedynczej tabeli (zmień tabelę DeviceEvents na wymaganą tabelę wybranej tabeli):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Na karcie Następne kroki znajdziesz kilka przydatnych skoroszytów, przykładowych zapytań i szablonów reguł analizy, które zostały uwzględnione. Można je uruchamiać na miejscu lub modyfikować i zapisywać.

Następne kroki

W tym dokumencie przedstawiono sposób integrowania zdarzeń XDR usługi Microsoft Defender oraz zaawansowanych danych zdarzeń wyszukiwania zagrożeń z usług składników usługi Microsoft Defender w usłudze Microsoft Sentinel przy użyciu łącznika XDR usługi Microsoft Defender. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.