Integração do Microsoft Defender XDR com o Microsoft Sentinel

  • Artigo

A integração de incidentes do Microsoft Defender XDR do Microsoft Sentinel permite transmitir todos os incidentes do Microsoft Defender XDR para o Microsoft Sentinel e mantê-los sincronizados entre os dois portais. Os incidentes do Microsoft Defender XDR incluem alertas, entidades e informações relevantes associados, fornecendo a você contexto suficiente para executar uma triagem e uma investigação preliminares no Microsoft Sentinel. Uma vez no Sentinel, os incidentes permanecerão sincronizados de modo bidirecional com o Microsoft Defender XDR, permitindo aproveitar os benefícios dos portais em sua investigação de incidentes.

Essa integração fornece aos incidentes de segurança do Microsoft 365 uma visibilidade a ser gerenciada dentro do Microsoft Sentinel como parte da fila de incidentes primários em toda a organização. Desse modo, é possível ver e correlacionar incidentes do Microsoft 365 em conjunto com outras nuvens e outros sistemas locais. Ao mesmo tempo, ele permite aproveitar as vantagens e os recursos exclusivos do Microsoft Defender XDR para obter investigações detalhadas, bem como uma experiência específica do Microsoft 365 em todo o ecossistema do Microsoft 365. O Microsoft Defender XDR agrupa e enriquece alertas de vários produtos do Microsoft 365, reduzindo o tamanho da fila de incidentes do SOC e diminuindo o tempo de resolução. Os serviços de componentes que fazem parte da pilha do Microsoft Defender XDR são:

  • Microsoft Defender para ponto de extremidade
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Nuvem

Outros serviços cujos alertas são coletados pelo Microsoft Defender XDR incluem:

  • Prevenção contra Perda de Dados do Microsoft Purview (Saiba mais)
  • Microsoft Entra ID Protection (Saiba mais)

Além de coletar alertas desses componentes e de outros serviços, o Microsoft Defender XDR gera alertas próprios. Ele cria incidentes de todos esses alertas e os envia ao Microsoft Sentinel.

Cenários e casos de uso comuns

  • A integração do Microsoft Sentinel à plataforma unificada de operações de segurança no portal Microsoft Defender, da qual habilitar a integração do Microsoft Defender XDR é uma etapa inicial necessária.

  • Conexão de incidentes do Microsoft Defender XDR com um clique, incluindo todos os alertas e entidades dos componentes do Microsoft Defender XDR no Microsoft Sentinel.

  • Sincronização bidirecional entre incidentes do Sentinel e do Microsoft Defender XDR sobre o status, o proprietário e o motivo de fechamento.

  • Aplicativo dos recursos de agrupamento e enriquecimento de alertas do Microsoft Defender XDR no Microsoft Sentinel, reduzindo assim o tempo de resolução.

  • Link profundo no contexto entre um incidente do Microsoft Sentinel e o respectivo incidente paralelo do Microsoft Defender XDR para facilitar investigações nos dois portais.

Conectando-se ao Microsoft Defender XDR

("Incidentes XDR do Microsoft Defender e regras de criação de incidentes da Microsoft" redireciona aqui.)

Instale a solução do Microsoft Defender XDR para o Microsoft Sentinel e habilite o conector de dados do Microsoft Defender XDR para coletar incidentes e alertas. Os incidentes do Microsoft Defender XDR aparecem na fila de incidentes do Microsoft Sentinel, com Microsoft Defender XDR (ou um dos nomes dos serviços de componentes) no campo Nome do produto de alerta, logo após serem gerados no Microsoft Defender XDR.

  • Pode levar até 10 minutos do momento em que um incidente é gerado no Microsoft Defender XDR até o momento em que ele é exibido no Microsoft Sentinel.

  • Os alertas e os incidentes do Microsoft Defender XDR (os itens que preenchem as tabelas SecurityAlert e SecurityIncident) são ingeridos e sincronizados com o Microsoft Sentinel sem nenhum custo. Para todos os outros tipos de dados de componentes individuais do Defender (como as tabelas Procura avançadaDeviceInfo, DeviceFileEvents, EmailEvents e assim por diante), a ingestão será cobrada.

  • Quando o conector Microsoft Defender XDR estiver habilitado, os alertas criados por seus serviços de componentes (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps, Microsoft Entra ID Protection) serão enviados ao Microsoft Defender XDR e agrupados em incidentes. Tanto os alertas quanto os incidentes fluirão para o Microsoft Sentinel por meio do conector Microsoft Defender XDR. Se você tiver habilitado qualquer um dos conectores de componentes individuais anteriormente, eles parecerão permanecer conectados, embora nenhum dado flua através deles.

    A exceção a este processo é o Microsoft Defender para Nuvem. Embora sua integração com o Microsoft Defender XDR signifique que você recebe incidentes do Defender for Cloud por meio do Defender XDR, você também precisa ter um conector do Microsoft Defender para Nuvem habilitado para receber alertas do Defender for Cloud . Para obter as opções disponíveis e obter mais informações, veja Ingerir incidentes do Microsoft Defender para Nuvem com integração do Microsoft Defender XDR.

  • Da mesma forma, para evitar a criação de incidentes duplicados para os mesmos alertas, as regras de criação de incidentes da Microsoft serão desativadas para produtos integrados ao Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps e Proteção de ID Microsoft Entra) ao conectar o Microsoft Defender XDR. Isso ocorre porque o Defender XDR possui suas próprias regras de criação de incidentes. Essa alteração tem os seguintes impactos potenciais:

    • As regras de criação de incidentes do Microsoft Sentinel permitiram filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, você pode preservar a capacidade de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir (fechar) incidentes que você não deseja que sejam criados.

    • Você não pode mais predeterminar os títulos dos incidentes, pois o mecanismo de correlação Microsoft Defender XDR preside a criação de incidentes e nomeia automaticamente os incidentes que cria. Essa alteração poderá afetar quaisquer regras de automação que você criou que usam o nome do incidente como condição. Para evitar essa armadilha, use critérios diferentes do nome do incidente (recomendamos o uso de tags) como condições para acionar regras de automação.

Como trabalhar com incidentes do Microsoft Defender XDR no Microsoft Sentinel e na sincronização bidirecional

Os incidentes do Microsoft Defender XDR aparecerão na fila de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR, juntamente com detalhes e funcionalidades semelhantes aos de qualquer outro incidente do Sentinel. Cada incidente contém um link para outro incidente paralelo no portal do Microsoft Defender XDR.

Conforme o incidente evolui no Microsoft Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel será atualizado de acordo.

As alterações feitas no status, no motivo de fechamento ou na atribuição de um incidente do Microsoft 365, do Microsoft Defender XDR ou do Microsoft Sentinel, serão atualizadas do mesmo modo na fila de incidentes correspondente. A sincronização ocorrerá nos dois portais de modo imediato após a aplicação da alteração do incidente, sem atraso. Talvez seja necessário executar uma atualização para conferir as alterações mais recentes.

No Microsoft Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem dos incidentes. Quando essa mesclagem ocorrer, os incidentes do Microsoft Sentinel refletirão as alterações. Um incidente conterá todos os alertas dos incidentes originais, além disso, outro incidente será fechado de modo automático com a marca "redirecionado" adicionada.

Observação

Os incidentes do Microsoft Sentinel podem conter no máximo 150 alertas. Os incidentes do Microsoft Defender XDR podem ter um número maior do que esse. Caso um incidente do Microsoft Defender XDR com mais de 150 alertas seja sincronizado com o Microsoft Sentinel, o incidente do Sentinel será exibido como tendo “150+” alertas e fornecerá um link para o incidente paralelo no Microsoft Defender XDR, onde você verá o conjunto completo de alertas.

Coleção avançada de eventos de busca

O conector do Microsoft Defender XDR também permite transmitir eventos de busca avançada, um tipo de dados de eventos brutos, do Microsoft Defender XDR e os respectivos serviços de componentes para o Microsoft Sentinel. Agora você pode (a partir de abril de 2022) coletar eventos de busca avançada de todos os componentes do Microsoft Defender XDR e transmiti-los diretamente para tabelas com finalidade específica em seu workspace do Microsoft Sentinel. Essas tabelas são criadas no mesmo esquema usado no portal do Microsoft Defender XDR, fornecendo a você acesso completo ao conjunto integral de eventos de busca avançada, bem como permitindo executar o seguinte:

  • Copie facilmente para o Microsoft Sentinel as suas consultas de busca avançada existentes do Microsoft Defender para Ponto de Extremidade/Office 365/Identidade/Aplicativos de nuvem.

  • Usar logs de eventos brutos para fornecer mais insights sobre alertas, buscas e investigações, bem como correlacionar esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.

  • Armazene os logs com maior retenção, além da retenção padrão de 30 dias do Microsoft Defender XDR ou de seus componentes. Você pode fazer isso configurando a retenção do workspace ou configurando a retenção por tabela no Log Analytics.

Próximas etapas

Nesse documento, você aprendeu como se beneficiar do uso do Microsoft Defender XDR em conjunto com o Microsoft Sentinel, usando o conector do Microsoft Defender XDR.