Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel

O conector Microsoft Defender XDR do Microsoft Sentinel com integração de incidentes permite transmitir todos os incidentes e alertas do Microsoft Defender XDR para o Microsoft Sentinel e mantém os incidentes sincronizados entre ambos os portais. Os incidentes do Microsoft Defender XDR incluem todos os seus alertas, entidades e outras informações relevantes. Eles também incluem alertas dos serviços de componentes do Microsoft Defender XDR Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365 e Microsoft Defender for Cloud Apps, bem como alertas de outros serviços, como Microsoft Purview Data Loss Prevention e Microsoft Entra ID Protection. O conector Microsoft Defender XDR também traz incidentes do Microsoft Defender for Cloud, embora para sincronizar alertas e entidades desses incidentes, você deve habilitar o conector Microsoft Defender for Cloud, caso contrário, seus incidentes do Microsoft Defender for Cloud aparecerão vazios. Saiba mais sobre os conectores disponíveis para o Microsoft Defender for Cloud.

O conector também permite transmitir eventos de caça avançados de todos os componentes do Defender acima para o Microsoft Sentinel, permitindo que você copie as consultas de caça avançadas desses componentes do Defender para o Microsoft Sentinel, enriqueça os alertas do Sentinel com os dados brutos de eventos dos componentes do Defender para fornecer informações adicionais e armazene os logs com maior retenção no Log Analytics.

Para obter mais informações sobre integração de incidentes e coleta avançada de eventos de caça, consulte Integração do Microsoft Defender XDR com o Microsoft Sentinel.

O conector Microsoft Defender XDR agora está disponível para o público em geral.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Pré-requisitos

• Você deve ter uma licença válida para o Microsoft Defender XDR, conforme descrito nos pré-requisitos do Microsoft Defender XDR.

• O usuário deve receber as funções de Administrador Global ou Administrador de Segurança no locatário do qual você deseja transmitir os logs.

• O usuário deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel.

• Para fazer alterações nas configurações do conector, o usuário deve ser membro do mesmo locatário do Microsoft Entra ao qual seu espaço de trabalho do Microsoft Sentinel está associado.

• Instale a solução para o Microsoft Defender XDR a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Pré-requisitos para sincronização do Ative Directory via MDI

• Seu locatário deve estar integrado ao Microsoft Defender for Identity.

• Você deve ter o sensor MDI instalado.

Conectar-se ao Microsoft Defender XDR

No Microsoft Sentinel, selecione Conectores de dados, selecione Microsoft Defender XDR na galeria e selecione Abrir página do conector.

A seção Configuração tem três partes:

1. Connect incidents and alerts permite a integração básica entre o Microsoft Defender XDR e o Microsoft Sentinel, sincronizando incidentes e seus alertas entre as duas plataformas.

2. As entidades Connect permitem a integração de identidades de usuário do Ative Directory local no Microsoft Sentinel por meio do Microsoft Defender for Identity.

3. Os eventos Connect permitem a coleta de eventos de caça avançados brutos dos componentes do Defender.

Estes são explicados mais pormenorizadamente a seguir. Consulte Integração do Microsoft Defender XDR com o Microsoft Sentinel para obter mais informações.

Conecte incidentes e alertas

Para ingerir e sincronizar incidentes do Microsoft Defender XDR, com todos os seus alertas, para a fila de incidentes do Microsoft Sentinel:

1. Marque a caixa de seleção Desativar todas as regras de criação de incidentes da Microsoft para esses produtos. Recomendado, para evitar a duplicação de incidentes.
   (Esta caixa de seleção não aparecerá quando o conector XDR do Microsoft Defender estiver conectado.)

2. Selecione o botão Conectar incidentes & alertas .

Nota

Quando você habilita o conector Microsoft Defender XDR, todos os conectores dos componentes do Microsoft Defender XDR (os mencionados no início deste artigo) são conectados automaticamente em segundo plano. Para desconectar um dos conectores dos componentes, você deve primeiro desconectar o conector XDR do Microsoft Defender.

Para consultar dados de incidentes do Microsoft Defender XDR, use a seguinte instrução na janela de consulta:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

Conectar entidades

Use o Microsoft Defender for Identity para sincronizar entidades de usuário do Ative Directory local com o Microsoft Sentinel.

Verifique se você atendeu aos pré-requisitos para sincronizar usuários do Ative Directory local por meio do Microsoft Defender for Identity (MDI).

1. Selecione o link Ir para a página de configuração da UEBA.

2. Na página Configuração do comportamento da entidade, se você ainda não tiver habilitado o UEBA, na parte superior da página, mova a alternância para Ativado.

3. Marque a caixa de seleção Ative Directory (Visualização) e selecione Aplicar.

   

Conectar eventos

Se você quiser coletar eventos de caça avançada do Microsoft Defender for Endpoint ou do Microsoft Defender for Office 365, os seguintes tipos de eventos podem ser coletados de suas tabelas de caça avançadas correspondentes.

1. Marque as caixas de seleção das tabelas com os tipos de evento que deseja coletar:

   Defender para Endpoint

   Nome da tabela	Tipo de eventos
   DeviceInfo	Informações da máquina, incluindo informações do SO
   DeviceNetworkInfo	Propriedades de rede de dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes conectadas e domínios
   DeviceProcessEvents	Criação de processos e eventos relacionados
   DeviceNetworkEvents	Conexão de rede e eventos relacionados
   DeviceFileEvents	Criação, modificação e outros eventos do sistema de arquivos
   DeviceRegistryEvents	Criação e modificação de entradas de registo
   DeviceLogonEvents	Entradas e outros eventos de autenticação em dispositivos
   DeviceImageLoadEvents	Eventos de carregamento de DLL
   DeviceEvents	Vários tipos de eventos, incluindo eventos acionados por controles de segurança, como o Windows Defender Antivírus e a proteção contra exploração
   DeviceFileCertificateInfo	Informações de certificado de arquivos assinados obtidos de eventos de verificação de certificado em pontos finais

   Defender para Office 365

   Nome da tabela	Tipo de eventos
   EmailAttachmentInfo	Informações sobre arquivos anexados a e-mails
   EmailEvents	Eventos de email do Microsoft 365, incluindo eventos de entrega e bloqueio de email
   Endereço electrónicoPostDeliveryEvents	Eventos de segurança que ocorrem após a entrega, depois que o Microsoft 365 entregou os emails na caixa de correio do destinatário
   EmailUrlInfo	Informações sobre URLs em e-mails

   Defensor da Identidade

   Nome da tabela	Tipo de eventos
   IdentityDirectoryEvents	Vários eventos relacionados à identidade, como alterações de senha, expirações de senha e alterações de nome principal do usuário (UPN), capturados de um controlador de domínio do Ative Directory local Também inclui eventos do sistema no controlador de domínio
   IdentityInfo	Informações sobre contas de usuário obtidas de vários serviços, incluindo o Microsoft Entra ID
   IdentityLogonEvents	Atividades de autenticação feitas por meio do Ative Directory local, conforme capturado pelo Microsoft Defender for Identity Atividades de autenticação relacionadas aos serviços online da Microsoft, conforme capturadas pelo Microsoft Defender for Cloud Apps
   IdentityQueryEvents	Informações sobre consultas realizadas em objetos do Ative Directory, como usuários, grupos, dispositivos e domínios

   Defender para aplicativos na nuvem

   Nome da tabela	Tipo de eventos
   CloudAppEvents	Informações sobre atividades em vários aplicativos e serviços de nuvem cobertos pelo Microsoft Defender for Cloud Apps

   Alertas do Defender

   Nome da tabela	Tipo de eventos
   AlertInfo	Informações sobre alertas de componentes do Microsoft Defender XDR
   AlertEvidence	Informações sobre várias entidades - arquivos, endereços IP, URLs, usuários, dispositivos - associadas a alertas de componentes do Microsoft Defender XDR

2. Clique em Aplicar alterações.

3. Para consultar as tabelas de caça avançadas no Log Analytics, insira o nome da tabela na lista acima na janela de consulta.

Verificar a ingestão de dados

O gráfico de dados na página do conector indica que você está ingerindo dados. Você notará que ele mostra uma linha cada para incidentes, alertas e eventos, e a linha de eventos é uma agregação do volume de eventos em todas as tabelas habilitadas. Depois de ativar o conector, você pode usar as seguintes consultas KQL para gerar gráficos mais específicos.

Use a seguinte consulta KQL para obter um gráfico dos incidentes de entrada do Microsoft Defender XDR:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Use a seguinte consulta KQL para gerar um gráfico do volume de eventos para uma única tabela (altere a tabela DeviceEvents para a tabela necessária de sua escolha):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Na guia Próximas etapas, você encontrará algumas pastas de trabalho úteis, consultas de exemplo e modelos de regras de análise que foram incluídos. Você pode executá-los no local ou modificá-los e salvá-los.

Próximos passos

Neste documento, você aprendeu como integrar incidentes do Microsoft Defender XDR e dados de eventos de caça avançada dos serviços de componentes do Microsoft Defender no Microsoft Sentinel, usando o conector Microsoft Defender XDR. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.