Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel
O conector Microsoft Defender XDR do Microsoft Sentinel com integração de incidentes permite transmitir todos os incidentes e alertas do Microsoft Defender XDR para o Microsoft Sentinel e mantém os incidentes sincronizados entre ambos os portais. Os incidentes do Microsoft Defender XDR incluem todos os alertas, as entidades e outras informações relevantes. Eles também incluem alertas dos serviços de componentes do Microsoft Defender XDR, Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365 e Microsoft Defender for Cloud Apps, bem como alertas de outros serviços, como Microsoft Purview Data Loss Prevention e Microsoft Entra ID Protection. O conector XDR do Microsoft Defender também traz incidentes do Microsoft Defender para Nuvem, embora para sincronizar alertas e entidades desses incidentes, você deve habilitar o conector do Microsoft Defender para Nuvem, caso contrário, seus incidentes do Microsoft Defender para Nuvem aparecerão vazios. Saiba mais sobre os conectores disponíveis para o Microsoft Defender for Cloud.
O conector também permite transmitir eventos de busca avançada de todos os componentes do Defender acima para o Microsoft Sentinel, possibilitando copiar essas consultas de busca avançada do componente do Defender para o Microsoft Sentinel, enriquecer os alertas do Sentinel com os dados de eventos brutos dos componentes do Defender a fim de fornecer insights adicionais e armazenar os logs com maior retenção no Log Analytics.
Para obter mais informações sobre integração de incidentes e coleta de eventos de busca avançada, consulte Integração do Microsoft Defender XDR com o Microsoft Sentinel.
O conector XDR do Microsoft Defender agora está disponível para o público em geral.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
Você deve ter uma licença válida para o Microsoft Defender XDR, conforme descrito nos pré-requisitos do Microsoft Defender XDR.
Ao seu usuário, devem ser atribuídas as funções de Administrador global ou de Administrador de segurança no locatário do qual você deseja transmitir os logs.
Seu usuário deve ter precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Para fazer as alterações nas configurações do conector, o usuário deve ser membro do mesmo locatário do Microsoft Entra ao qual o workspace do Microsoft Sentinel está associado.
Instale a solução para o Microsoft Defender XDR a partir do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Pré-requisitos para sincronização do Active Directory via MDI
Seu locatário deve ser integrado ao Microsoft Defender para Identidade.
Você deve ter o sensor MDI instalado.
Conectar-se ao Microsoft Defender XDR
No Microsoft Sentinel, selecione Conectores de dados, selecione Microsoft Defender XDR na galeria e selecione Abrir página do conector.
A seção Configuração tem três partes:
O Connect Incidents and Alerts permite a integração básica entre o Microsoft Defender XDR e o Microsoft Sentinel, sincronizando incidentes e seus alertas entre as duas plataformas.
A conexão de entidades permite a integração de identidades de usuário Active Directory local ao Microsoft Sentinel por meio de Microsoft Defender para Identidade.
Os eventos de conexão permitem a coleção de eventos de busca avançados brutos de componentes do Defender.
Isso é explicado com mais detalhes abaixo. Consulte Integração do Microsoft Defender XDR com o Microsoft Sentinel para obter mais informações.
Conectar incidentes e alertas
Para ingerir e sincronizar incidentes XDR do Microsoft Defender, com todos os seus alertas, para a fila de incidentes do Microsoft Sentinel:
Para evitar duplicação de incidentes, marque a caixa de seleção rotulada como Desativar todas as regras de criação de incidentes da Microsoft para esses produtos. Recomendável.
(Essa caixa de seleção não aparecerá quando o conector XDR do Microsoft Defender estiver conectado.)Selecione o botão Conectar incidentes e alertas .
Observação
Quando você habilita o conector XDR do Microsoft Defender, todos os conectores dos componentes do Microsoft Defender XDR (os mencionados no início deste artigo) são conectados automaticamente em segundo plano. Para desconectar um dos conectores dos componentes, você deve primeiro desconectar o conector XDR do Microsoft Defender.
Para consultar dados de incidente XDR do Microsoft Defender, use a seguinte instrução na janela de consulta:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Conectar entidades
Use o Microsoft Defender para Identidade para sincronizar entidades de usuário do seu Active Directory local com o Microsoft Sentinel.
Verifique se você cumpriu os pré-requisitos para sincronizar Active Directory local usuários por meio de Microsoft Defender para Identidade (MDI).
Selecione o link da página de configuração do UEBA.
Na página de configuração de comportamento da entidade, se você ainda não tiver habilitado o UEBA, na parte superior da página, mova a alternância para Ativar.
Marque a caixa Active Directory (versão prévia) e selecione Aplicar.
Eventos de conexão
Se você quiser coletar eventos de busca avançada do Microsoft Defender para Ponto de Extremidade ou Microsoft Defender para Office 365, os tipos de eventos a seguir poderão ser coletados de suas tabelas de busca avançada correspondentes.
Marque as caixas de seleção das tabelas com os tipos de evento que você deseja coletar:
- Defender para Ponto de Extremidade
- Defender para Office 365
- Defender para Identidade
- Defender for Cloud Apps
- Alertas do Defender
Nome da tabela Tipo de eventos DeviceInfo Informações do computador, incluindo informações do SO DeviceNetworkInfo Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e Mac, bem como redes e domínios conectados DeviceProcessEvents Criação de processos e eventos relacionados DeviceNetworkEvents Conexão de rede e eventos relacionados DeviceFileEvents Criação de arquivo, modificação e outros eventos do sistema de arquivos DeviceRegistryEvents Criação e modificação de entradas do Registro DeviceLogonEvents Entradas e outros eventos de autenticação em dispositivos DeviceImageLoadEvents Eventos de carregamento da DLL DeviceEvents Vários tipos de evento, incluindo aqueles disparados por controles de segurança, como o Windows Defender Antivírus e o Exploit Protection DeviceFileCertificateInfo Informações de certificado de arquivos assinados obtidas de eventos de verificação de certificado em pontos de extremidade Clique em Aplicar Alterações.
Para consultar as tabelas de busca avançadas em Log Analytics, insira o nome da tabela na lista acima na janela de consulta.
Verificar ingestão de dados
O grafo de dados na página do conector indica que você está ingerindo dados. Você observará que ele mostra uma linha para incidentes, alertas e eventos, e a linha de eventos é uma agregação do volume do evento em todas as tabelas habilitadas. Depois de habilitar o conector, você poderá usar as consultas KQL a seguir para gerar grafos mais específicos.
Use a seguinte consulta KQL para um gráfico dos incidentes XDR do Microsoft Defender de entrada:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Use a seguinte consulta KQL para gerar um grafo de volume de evento para uma única tabela (altere a tabela DeviceEvents para a tabela necessária de sua escolha):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Na guia Próximas etapas, você encontrará algumas pastas de trabalho úteis, consultas de exemplo e modelos de regra de análise que foram incluídos. Você pode executá-los no local ou modificá-los e salvá-los.
Próximas etapas
Neste documento, você aprendeu como integrar incidentes XDR do Microsoft Defender e dados de eventos de busca avançada dos serviços de componentes do Microsoft Defender no Microsoft Sentinel, usando o conector XDR do Microsoft Defender. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Saiba como obter visibilidade dos seus dados e possíveis ameaças.
- Introdução à detecção de ameaças com o Microsoft Sentinel.