Compartilhar via


Integração do Microsoft Defender XDR com o Microsoft Sentinel

Integre o Microsoft Defender XDR ao Microsoft Sentinel para transmitir todos os incidentes do Defender XDR e eventos avançados de busca focada no Microsoft Sentinel, além de manter os incidentes e eventos sincronizados entre os dois portais. Os incidentes do Defender XDR incluem entidades, informações relevantes e alertas associados, fornecendo a você contexto suficiente para executar uma triagem e uma investigação preliminar no Microsoft Sentinel. Uma vez no Microsoft Sentinel, os incidentes permanecem sincronizados com o Defender XDR bidirecionalmente, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes.

Importante

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Correlação entre incidentes e alertas

A integração confere aos incidentes de segurança do Defender XDR uma visibilidade a ser gerenciada de dentro do Microsoft Sentinel, como parte da fila de espera principal de incidentes em toda a organização. Veja e correlacione os incidentes do Defender XDR junto com os incidentes de todos os seus outros sistemas, locais e na nuvem. Ao mesmo tempo, essa integração permite que você aproveite as vantagens e os recursos exclusivos do Defender XDR para obter investigações detalhadas e uma experiência específica para o Defender em todo o ecossistema do Microsoft 365. O Defender XDR enriquece e agrupa os alertas de vários produtos do Microsoft Defender, tanto ao reduzir o tamanho da fila de espera de incidentes do SOC quanto ao diminuir o tempo necessário para a resolução. Os alertas dos seguintes produtos e serviços do Microsoft Defender também estão incluídos na integração do Defender XDR ao Microsoft Sentinel:

  • Microsoft Defender para ponto de extremidade
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Gerenciamento de Vulnerabilidades do Microsoft Defender

Outros serviços cujos alertas são coletados pelo Defender XDR incluem:

  • Prevenção contra Perda de Dados do Microsoft Purview (Saiba mais)
  • Microsoft Entra ID Protection (Saiba mais)

O conector do Defender XDR também inclui incidentes do Microsoft Defender para Nuvem. Para também sincronizar os alertas e entidades desses incidentes, você precisa habilitar o conector do Microsoft Defender para Nuvem. Caso contrário, os incidentes do Microsoft Defender para Nuvem parecerão vazios. Para obter mais informações, veja Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR.

Além de coletar alertas desses componentes e de outros serviços, o Defender XDR gera seus próprios alertas. Ele cria incidentes de todos esses alertas e os envia ao Microsoft Sentinel.

Cenários e casos de uso comuns

Pense em integrar o Defender XDR ao Microsoft Sentinel para os seguintes cenários e casos de uso:

  • Integre o Microsoft Sentinel à plataforma de operações de segurança unificada no portal do Microsoft Defender. Habilitar o conector do Defender XDR é um pré-requisito. Para obter mais informações, confira Conectar o Microsoft Sentinel ao Microsoft Defender XDR.

  • Habilite a conexão dos incidentes do Defender XDR com um clique no Microsoft Sentinel, incluindo todos os alertas e entidades dos componentes do Defender XDR.

  • Permita a sincronização bidirecional entre os incidentes do Microsoft Sentinel e do Defender XDR com relação ao status, ao proprietário e ao motivo do fechamento.

  • Aplique os recursos de agrupamento e enriquecimento de alertas do Defender XDR ao Microsoft Sentinel, reduzindo, assim, o tempo necessário para a resolução.

  • Facilite as investigações em ambos os portais por meio de vinculações profundas, dentro do contexto, entre um incidente do Microsoft Sentinel e o respectivo incidente paralelo do Defender XDR.

Para obter mais informações sobre os recursos de integração entre o Microsoft Sentinel e o Defender XDR na plataforma de operações de segurança unificada, confira Microsoft Sentinel no portal do Microsoft Defender.

Conectando-se ao Microsoft Defender XDR

Instale a solução Microsoft Defender XDR para Microsoft Sentinel no Hub de conteúdo. Em seguida, habilite o conector de dados do Microsoft Defender XDR para coletar incidentes e alertas. Para obter mais informações, confira Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.

Para integrar o Microsoft Sentinel à plataforma de operações de segurança unificada no portal do Defender, confira Conectar o Microsoft Sentinel ao Microsoft Defender XDR.

Após você ter habilitado os alertas e a coleta de incidentes no conector de dados do Defender XDR, os incidentes do Defender XDR irão aparecer na fila de espera de incidentes do Microsoft Sentinel logo após serem gerados no Defender XDR. Nesses incidentes, o campo Nome do produto do alerta contém Microsoft Defender XDR ou o nome do serviço de um dos componentes do Defender.

  • Pode haver uma demora de até 10 minutos entre o momento em que um incidente é gerado no Defender XDR e o momento em que aparece no Microsoft Sentinel.

  • Os alertas e os incidentes do Defender XDR (os itens que preenchem as tabelas SecurityAlert e SecurityIncident) são ingeridos e sincronizados com o Microsoft Sentinel sem nenhum custo. Para todos os outros tipos de dados de componentes individuais do Defender (como as tabelas Procura focada avançada, DeviceInfo, DeviceFileEvents, EmailEvents e assim por diante), a ingestão é cobrada.

  • Quando o conector do Defender XDR está habilitado, os alertas criados por produtos integrados ao Defender XDR são enviados para o Defender XDR e agrupados em incidentes. Tanto os alertas quanto os incidentes fluem para o Microsoft Sentinel por meio do conector do Defender XDR. Se você os tiver habilitado anteriormente, todos os conectores de componentes individuais parecerão estar conectados, embora nenhum dado flua através deles.

    A exceção a este processo é o Microsoft Defender para Nuvem. Embora a respectiva integração com o Defender XDR signifique que você receberá incidentes do Defender para Nuvem por meio do Defender XDR, você também precisa ter um conector do Microsoft Defender para Nuvem habilitado para receber alertas do Defender para Nuvem. Para obter as opções disponíveis e mais informações, confira os seguintes artigos:

  • Da mesma forma, para evitar a criação de incidentes duplicados para os mesmos alertas, a configuração de regras de criação de incidentes da Microsoft é desativada para os produtos integrados ao Defender XDR quando o Defender XDR é conectado. Isso ocorre porque o Defender XDR possui suas próprias regras de criação de incidentes. Essa alteração tem os seguintes impactos potenciais:

    • As regras de criação de incidentes do Microsoft Sentinel permitiram filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, você pode preservar a capacidade de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir (fechar) os incidentes que você não quer ver.

    • Você não pode mais predeterminar os títulos dos incidentes, já que o mecanismo de correlação do Defender XDR rege a criação de incidentes e nomeia automaticamente os incidentes que são criados. Essa alteração corre o risco de afetar quaisquer regras de automação que você criou e que usem o nome do incidente como uma condição. Para evitar essa cilada, use critérios que não sejam o nome do incidente como condições para disparar regras de automação. Recomendamos o uso de tags.

Como trabalhar com incidentes do Microsoft Defender XDR no Microsoft Sentinel e na sincronização bidirecional

Os incidentes do Defender XDR aparecem na fila de espera de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR, juntamente com detalhes e funcionalidades semelhantes aos de qualquer outro incidente do Microsoft Sentinel. Cada incidente contém um link para outro incidente paralelo no portal do Microsoft Defender XDR.

À medida que o incidente evolui no Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel é atualizado de acordo.

As alterações feitas no status, no motivo de fechamento ou na atribuição de um incidente do Defender XDR, seja no Defender XDR ou no Microsoft Sentinel, serão atualizadas da mesma forma na fila de espera de incidentes do outro recurso. A sincronização ocorrerá em ambos os portais imediatamente após a aplicação da alteração no incidente, sem nenhum atraso. Talvez seja necessário executar uma atualização para conferir as alterações mais recentes.

No Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem de incidentes. Quando essa mesclagem ocorrer, os incidentes do Microsoft Sentinel irão refletir as alterações. Um incidente conterá todos os alertas dos dois incidentes originais, e o outro incidente será fechado automaticamente com a tag "redirecionado" adicionada.

Observação

Os incidentes do Microsoft Sentinel podem conter no máximo 150 alertas. Os incidentes do Defender XDR podem ter mais do que isso. Se um incidente do Defender XDR com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Microsoft Sentinel mostrará "+150" alertas e fornecerá um link para o incidente paralelo no Defender XDR, onde você verá o conjunto completo de alertas.

Coleção avançada de eventos de busca

O conector do Defender XDR também permite que você transmita eventos de busca focada avançada — um tipo de dados brutos de eventos — do Defender XDR e os serviços que o compõem para o Microsoft Sentinel. Colete eventos de busca focada avançada de todos os componentes do Defender XDR e os transmita diretamente para tabelas desenvolvidas para essa finalidade no seu workspace do Microsoft Sentinel. Essas tabelas são criadas com o mesmo esquema usado no portal do Defender. Com isso, você recebe acesso total ao conjunto completo de eventos de busca focada avançada e pode executar as seguintes tarefas:

  • Copie facilmente para o Microsoft Sentinel as suas consultas de busca avançada existentes do Microsoft Defender para Ponto de Extremidade/Office 365/Identidade/Aplicativos de nuvem.

  • Usar logs de eventos brutos para fornecer mais insights sobre alertas, buscas e investigações, bem como correlacionar esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.

  • Armazenar os logs com retenção aumentada, além da retenção padrão de 30 dias do Defender XDR ou de seus componentes. Você pode fazer isso configurando a retenção do workspace ou configurando a retenção por tabela no Log Analytics.

Próximas etapas

Neste documento, você aprendeu as vantagens de usar o Defender XDR junto com o Microsoft Sentinel ao habilitar o conector do Defender XDR no Microsoft Sentinel.