Partilhar via

Integração do Microsoft Defender XDR com o Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel with Defender XDR in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo descreve como os serviços do Microsoft Defender XDR se integram ao Microsoft Sentinel, seja no portal do Microsoft Defender ou no portal do Azure.

Os incidentes do Defender XDR incluem todos os alertas, entidades e informações relevantes associados, fornecendo contexto suficiente para realizar triagem e investigação preliminar no Microsoft Sentinel. Uma vez no Microsoft Sentinel, os incidentes permanecem sincronizados bidirecionalmente com o Defender XDR, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes.

Microsoft Sentinel e Defender XDR

Use um dos seguintes métodos para integrar o Microsoft Sentinel com os serviços do Microsoft Defender XDR:

  • Ingerir dados do serviço Microsoft Defender XDR no Microsoft Sentinel e exibir dados do Microsoft Sentinel no portal do Azure. Habilite o conector XDR do Defender no Microsoft Sentinel.

  • Integre o Microsoft Sentinel e o Defender XDR diretamente no portal do Microsoft Defender. Nesse caso, exiba os dados do Microsoft Sentinel diretamente com o restante dos incidentes, alertas, vulnerabilidades e outros dados de segurança do Defender. Para fazer isso, você deve integrar o Microsoft Sentinel ao portal do Defender.

Selecione a guia apropriada para ver como é a integração do Microsoft Sentinel com o Defender XDR, dependendo do método de integração usado.

A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel no portal do Microsoft Defender.

Diagrama de uma arquitetura Microsoft Sentinel e Microsoft Defender XDR no portal Microsoft Defender.

Neste diagrama:

  • Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
  • O Microsoft Sentinel fornece suporte para ambientes multicloud e integra-se com aplicativos e parceiros de terceiros.
  • Os dados do Microsoft Sentinel são ingeridos juntamente com os dados da sua organização no portal do Microsoft Defender.
  • As equipes do SecOps podem analisar e responder a ameaças identificadas pelo Microsoft Sentinel e pelo Microsoft Defender XDR no portal do Microsoft Defender.

Correlação de incidentes e alertas

Com a integração do Defender XDR com o Microsoft Sentinel, os incidentes do Defender XDR são visíveis e gerenciáveis a partir do Microsoft Sentinel. Isso oferece uma fila de incidentes principal em toda a organização. Veja e correlacione incidentes do Defender XDR juntamente com incidentes de todos os seus outros sistemas locais e na nuvem. Ao mesmo tempo, essa integração permite que você aproveite os pontos fortes e os recursos exclusivos do Defender XDR para investigações aprofundadas e uma experiência específica do Defender em todo o ecossistema do Microsoft 365.

O Defender XDR enriquece e agrupa alertas de vários produtos Microsoft Defender, reduzindo o tamanho da fila de incidentes do SOC e encurtando o tempo de resolução. Os alertas dos seguintes produtos e serviços do Microsoft Defender também estão incluídos na integração do Defender XDR com o Microsoft Sentinel:

Outros serviços cujos alertas são coletados pelo Defender XDR incluem:

O conector Defender XDR também importa incidentes do Microsoft Defender for Cloud. Para sincronizar alertas e entidades desses incidentes também, você deve habilitar o conector do Defender for Cloud no Microsoft Sentinel. Caso contrário, os incidentes do Defender para Nuvem parecerão vazios. Para obter mais informações, consulte Ingestão de incidentes do Microsoft Defender for Cloud com a integração do Microsoft Defender XDR.

Além de coletar alertas desses componentes e outros serviços, o Defender XDR gera alertas próprios. Ele cria incidentes a partir de todos esses alertas e os envia para o Microsoft Sentinel.

Casos e cenários de utilização comuns

Considere integrar o Defender XDR com o Microsoft Sentinel para os seguintes casos de uso e cenários:

  • Integre o Microsoft Sentinel ao portal Microsoft Defender.

  • Permitir conexão com um clique dos incidentes do Defender XDR, incluindo todos os alertas e entidades dos componentes do Defender XDR, para o Microsoft Sentinel.

  • Permita a sincronização bidirecional entre incidentes do Microsoft Sentinel e do Defender XDR em relação a estado, proprietário e motivo de encerramento.

  • Aplique os recursos de agrupamento e enriquecimento de alertas do Defender XDR no Microsoft Sentinel, reduzindo assim o tempo de resolução.

  • Facilite investigações através de ambos os portais com links profundos contextuais entre um incidente do Microsoft Sentinel e o incidente associado do Defender XDR.

Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Conectando-se ao Microsoft Defender XDR

A forma como você integra o Defender XDR depende se você planeja integrar o Microsoft Sentinel ao portal do Defender ou continuar a trabalhar no portal do Azure.

Integração com o portal Defender

Se você integrar o Microsoft Sentinel ao portal do Defender e estiver licenciado para o Defender XDR, o Microsoft Sentinel será automaticamente conectado ao Defender XDR. O conector de dados para o Defender XDR é configurado automaticamente para você. Todos os conectores de dados para os provedores de alertas incluídos no conector XDR do Defender são desconectados. Isso inclui os seguintes conectores de dados:

  • Microsoft Defender for Cloud Apps (alertas)
  • Microsoft Defender para Endpoint
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
  • Proteção do Microsoft Entra ID

Integração do portal do Azure

Se quiser sincronizar dados do Defender XDR com o Microsoft Sentinel no portal do Azure, habilite o conector XDR do Microsoft Defender no Microsoft Sentinel. Quando você ativar o conector, ele enviará todas as informações de incidentes e alertas do Defender XDR para o Microsoft Sentinel e manterá os incidentes sincronizados.

  • Primeiro, instale a solução Microsoft Defender XDR para Microsoft Sentinel a partir do hub de conteúdo. Em seguida, habilite o conector de dados XDR do Microsoft Defender para coletar incidentes e alertas. Para obter mais informações, consulte Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.

  • Depois de habilitar a coleta de alertas e incidentes no conector de dados do Defender XDR, os incidentes do Defender XDR aparecem na fila de incidentes do Microsoft Sentinel logo após serem gerados no Defender XDR. Pode levar até 10 minutos desde o momento em que um incidente é gerado no Defender XDR até o momento em que ele aparece no Microsoft Sentinel. Nesses incidentes, o campo nome do produto de alerta contém Microsoft Defender XDR ou um dos nomes dos serviços Defender do componente.

Custos de ingestão

Os alertas e incidentes do Defender XDR, incluindo itens que preenchem as tabelas SecurityAlert e SecurityIncident, são ingeridos e sincronizados com o Microsoft Sentinel gratuitamente. Para todos os outros tipos de dados de componentes individuais do Defender, como as tabelas de caça avançada, DeviceInfo, DeviceFileEvents, EmailEvents e assim por diante, a ingestão é cobrada.

Para obter mais informações, consulte Planejar custos e entender preços e cobrança do Microsoft Sentinel.

Comportamento de ingestão de dados

Os alertas criados pelos produtos integrados ao Defender XDR são enviados para o Defender XDR e agrupados em incidentes. Os alertas e os incidentes fluem para o Microsoft Sentinel através do conector XDR do Defender.

A exceção a este processo é o Defender for Cloud. Você tem a opção de habilitar alertas do Defender for Cloud baseados em locatários para receber todos os alertas e incidentes por meio do Defender XDR ou manter alertas baseados em assinatura e promovê-los a incidentes no Microsoft Sentinel no portal do Azure.

Para obter as opções disponíveis e mais informações, consulte:

Regras de criação de incidentes da Microsoft

Para evitar a criação de incidentes duplicados para os mesmos alertas, a configuração de regras de criação de incidentes da Microsoft é desativada para produtos integrados ao Defender XDR ao conectar o Defender XDR. Os produtos integrados ao Defender XDR incluem o Microsoft Defender for Identity, o Microsoft Defender for Office 365 e muito mais. Além disso, as regras de criação de incidentes da Microsoft não são suportadas no portal do Defender porque o portal do Defender tem seu próprio mecanismo de criação de incidentes. Esta alteração tem os seguintes impactos potenciais:

  • Filtragem de alertas As regras de criação de incidentes do Microsoft Sentinel permitiam filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, preserve o recurso de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir ou fechar incidentes que você não deseja.

  • Títulos de incidentes. Com o conector XDR do Defender ativado, você não pode mais predeterminar os títulos dos incidentes. O mecanismo de correlação Defender XDR preside a criação de incidentes e nomeia automaticamente os incidentes criados. Essa alteração pode afetar quaisquer regras de automação criadas que usem o nome do incidente como condição. Para evitar essa armadilha, use critérios diferentes do nome do incidente como condições para acionar regras de automação. Recomendamos o uso de tags.

  • Regras de análise agendadas. Se você usa as regras de criação de incidentes do Microsoft Sentinel para outras soluções ou produtos de segurança da Microsoft não integrados ao Defender XDR, como o Microsoft Purview Insider Risk Management, e planeja integrar ao portal do Defender, substitua suas regras de criação de incidentes por regras de análise agendada.

Trabalhando com incidentes do Microsoft Defender XDR no Microsoft Sentinel e sincronização bidirecional

Os incidentes do Defender XDR aparecem na fila de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR e com detalhes e funcionalidades semelhantes a quaisquer outros incidentes do Microsoft Sentinel. Cada incidente contém um link para o incidente paralelo no portal do Microsoft Defender.

À medida que o incidente evolui no Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel é atualizado de acordo.

As alterações feitas em determinados campos ou atributos de um incidente do Defender XDR, no Defender XDR ou no Microsoft Sentinel, também são atualizadas de acordo com a fila de incidentes do outro. A sincronização ocorre em ambos os portais imediatamente após a alteração do incidente ser aplicada, sem atraso. Pode ser necessária uma atualização para ver as alterações mais recentes.

Os campos a seguir são sincronizados "como estão" entre incidentes no portal do Defender e no Microsoft Sentinel no portal do Azure:

  • Título
  • Descrição
  • Nome do Produto
  • Severidade
  • Tags personalizadas
  • Dados Adicionais
  • Comentários (apenas novos)
  • Última modificação por

Os campos a seguir são transformados durante a sincronização para que seus valores estejam em conformidade com o esquema de cada plataforma:

Campo Valor no portal do Defender Valor no Microsoft Sentinel
Situação
Ativo Novo
Classificação/
Motivo da classificação
Verdadeiro Positivo/
qualquer		 Verdadeiro Positivo/
Atividade suspeita
Falso Positivo/
qualquer		 Falso Positivo/
Dados imprecisos
N/A Falso Positivo/
Lógica de alerta imprecisa
Benigno Positivo
Atividade esperada informativa		 Benigno Positivo
Suspeito, mas esperado
Não definido Não determinado

No Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem dos incidentes. Quando essa mesclagem acontece, os incidentes do Microsoft Sentinel refletem as alterações. Um incidente contém todos os alertas de ambos os incidentes originais, e o outro incidente é fechado automaticamente, com uma tag de "redirecionado" adicionada.

Nota

Os incidentes no Microsoft Sentinel podem conter um máximo de 150 alertas. Os incidentes do Defender XDR podem ter mais do que isso. Se um incidente do Defender XDR com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Microsoft Sentinel mostrará como tendo alertas "150+" e fornecerá um link para o incidente paralelo no Defender XDR, onde você verá o conjunto completo de alertas.

Coleção avançada de eventos de caça

O conector Defender XDR também permite transmitir eventos de caça avançada — um tipo de dados brutos de eventos — do Defender XDR e os seus serviços componentes para o Microsoft Sentinel. Colete eventos de caça avançados de todos os componentes do Defender XDR e transmita-os diretamente para tabelas criadas especificamente em seu espaço de trabalho do Microsoft Sentinel. Essas tabelas são construídas no mesmo esquema usado no portal do Defender, oferecendo acesso completo ao conjunto completo de eventos de caça avançada e permitindo as seguintes tarefas:

  • Copie facilmente suas consultas de busca avançadas existentes do Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps para o Microsoft Sentinel.

  • Use os logs de eventos brutos para fornecer mais informações sobre seus alertas, caça e investigação e correlacione esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.

  • Armazene os logs com maior retenção, além da retenção padrão do Defender XDR de 30 dias. Você pode fazer isso configurando a retenção do seu espaço de trabalho ou configurando a retenção por tabela no Log Analytics.

Conteúdos relacionados

Neste documento, você aprendeu os benefícios de habilitar o conector XDR do Defender no Microsoft Sentinel.