Integração do Microsoft Defender XDR com o Microsoft Sentinel

  • Artigo

A integração de incidentes do Microsoft Defender XDR do Microsoft Sentinel permite transmitir todos os incidentes do Microsoft Defender XDR para o Microsoft Sentinel e mantê-los sincronizados entre os dois portais. Os incidentes do Microsoft Defender XDR incluem todos os alertas, entidades e informações relevantes associados, fornecendo contexto suficiente para realizar triagem e investigação preliminar no Microsoft Sentinel. Uma vez no Sentinel, os incidentes permanecerão sincronizados bidirecionalmente com o Microsoft Defender XDR, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes.

Essa integração dá aos incidentes de segurança do Microsoft 365 a visibilidade a ser gerenciada de dentro do Microsoft Sentinel, como parte da fila de incidentes principal em toda a organização, para que você possa ver – e correlacionar – os incidentes do Microsoft 365 juntamente com os de todos os seus outros sistemas locais e na nuvem. Ao mesmo tempo, ele permite que você aproveite os pontos fortes e os recursos exclusivos do Microsoft Defender XDR para investigações aprofundadas e uma experiência específica do Microsoft 365 em todo o ecossistema do Microsoft 365. O Microsoft Defender XDR enriquece e agrupa alertas de vários produtos Microsoft 365, reduzindo o tamanho da fila de incidentes do SOC e encurtando o tempo de resolução. Os serviços de componente que fazem parte da pilha do Microsoft Defender XDR são:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para identidade
  • Microsoft Defender para Office 365
  • Aplicativos do Microsoft Defender para Nuvem
  • Microsoft Defender para Cloud

Outros serviços cujos alertas são coletados pelo Microsoft Defender XDR incluem:

  • Microsoft Purview Data Loss Prevention (Saiba mais)
  • Proteção de ID do Microsoft Entra (Saiba mais)

Além de coletar alertas desses componentes e outros serviços, o Microsoft Defender XDR gera alertas próprios. Ele cria incidentes a partir de todos esses alertas e os envia para o Microsoft Sentinel.

Casos e cenários de utilização comuns

  • A integração do Microsoft Sentinel à plataforma unificada de operações de segurança no portal Microsoft Defender, da qual habilitar a integração do Microsoft Defender XDR é um passo inicial necessário.

  • Conexão com um clique de incidentes do Microsoft Defender XDR, incluindo todos os alertas e entidades dos componentes do Microsoft Defender XDR, ao Microsoft Sentinel.

  • Sincronização bidirecional entre incidentes do Sentinel e do Microsoft Defender XDR sobre status, proprietário e motivo de fechamento.

  • Aplicação dos recursos de agrupamento e enriquecimento de alertas do Microsoft Defender XDR no Microsoft Sentinel, reduzindo assim o tempo de resolução.

  • Link profundo no contexto entre um incidente do Microsoft Sentinel e seu incidente paralelo do Microsoft Defender XDR, para facilitar as investigações em ambos os portais.

Conectando-se ao Microsoft Defender XDR

("Incidentes do Microsoft Defender XDR e regras de criação de incidentes da Microsoft" redireciona aqui.)

Instale a solução Microsoft Defender XDR para Microsoft Sentinel e habilite o conector de dados Microsoft Defender XDR para coletar incidentes e alertas. Os incidentes do Microsoft Defender XDR aparecem na fila de incidentes do Microsoft Sentinel, com o Microsoft Defender XDR (ou um dos nomes dos serviços de componentes) no campo Nome do produto Alerta, logo após serem gerados no Microsoft Defender XDR.

  • Pode levar até 10 minutos desde o momento em que um incidente é gerado no Microsoft Defender XDR até o momento em que ele aparece no Microsoft Sentinel.

  • Os alertas e incidentes do Microsoft Defender XDR (os itens que preenchem as tabelas SecurityAlert e SecurityIncident) são ingeridos e sincronizados com o Microsoft Sentinel gratuitamente. Para todos os outros tipos de dados de componentes individuais do Defender (como as tabelas de caça avançadas DeviceInfo, DeviceFileEvents, EmailEvents e assim por diante), a ingestão será cobrada.

  • Quando o conector Microsoft Defender XDR estiver habilitado, os alertas criados por seus serviços componentes (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps, Microsoft Entra ID Protection) serão enviados para o Microsoft Defender XDR e agrupados em incidentes. Os alertas e os incidentes fluirão para o Microsoft Sentinel através do conector XDR do Microsoft Defender. Se você tiver ativado qualquer um dos conectores de componentes individuais antes, eles parecerão permanecer conectados, embora nenhum dado esteja fluindo através deles.

    A exceção a este processo é o Microsoft Defender for Cloud. Embora sua integração com o Microsoft Defender XDR signifique que você recebe incidentes do Defender for Cloud por meio do Defender XDR, você também precisa ter um conector do Microsoft Defender for Cloud habilitado para receber alertas do Defender for Cloud. Para obter as opções disponíveis e mais informações, consulte Ingerir incidentes do Microsoft Defender for Cloud com a integração do Microsoft Defender XDR.

  • Da mesma forma, para evitar a criação de incidentes duplicados para os mesmos alertas, as regras de criação de incidentes da Microsoft serão desativadas para produtos integrados ao Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps e Microsoft Entra ID Protection) ao conectar o Microsoft Defender XDR. Isso ocorre porque o Defender XDR tem suas próprias regras de criação de incidentes. Esta alteração tem os seguintes impactos potenciais:

    • As regras de criação de incidentes do Microsoft Sentinel permitiam filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, você pode preservar o recurso de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir (fechar) incidentes que você não queria criar.

    • Não é mais possível predeterminar os títulos dos incidentes, já que o mecanismo de correlação XDR do Microsoft Defender preside a criação de incidentes e nomeia automaticamente os incidentes criados. Essa alteração pode afetar quaisquer regras de automação criadas que usem o nome do incidente como condição. Para evitar essa armadilha, use critérios diferentes do nome do incidente (recomendamos o uso de tags) como condições para acionar regras de automação.

Trabalhando com incidentes do Microsoft Defender XDR no Microsoft Sentinel e sincronização bidirecional

Os incidentes do Microsoft Defender XDR aparecerão na fila de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR e com detalhes e funcionalidades semelhantes a quaisquer outros incidentes do Sentinel. Cada incidente contém um link para o incidente paralelo no Portal do Microsoft Defender.

À medida que o incidente evolui no Microsoft Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel será atualizado de acordo.

As alterações feitas no status, motivo de fechamento ou atribuição de um incidente do Microsoft Defender XDR, no Microsoft Defender XDR ou no Microsoft Sentinel, também serão atualizadas de acordo com a fila de incidentes do outro. A sincronização ocorrerá em ambos os portais imediatamente após a alteração do incidente ser aplicada, sem atraso. Pode ser necessária uma atualização para ver as alterações mais recentes.

No Microsoft Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem dos incidentes. Quando essa mesclagem acontecer, os incidentes do Microsoft Sentinel refletirão as alterações. Um incidente conterá todos os alertas de ambos os incidentes originais, e o outro incidente será automaticamente fechado, com uma tag de "redirecionado" adicionada.

Nota

Os incidentes no Microsoft Sentinel podem conter um máximo de 150 alertas. Os incidentes do Microsoft Defender XDR podem ter mais do que isso. Se um incidente do Microsoft Defender XDR com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Sentinel será exibido como tendo alertas "150+" e fornecerá um link para o incidente paralelo no Microsoft Defender XDR, onde você verá o conjunto completo de alertas.

Coleção avançada de eventos de caça

O conector Microsoft Defender XDR também permite transmitir eventos de caça avançados - um tipo de dados brutos de eventos - do Microsoft Defender XDR e seus serviços de componentes para o Microsoft Sentinel. Agora você pode (a partir de abril de 2022) coletar eventos de caça avançados de todos os componentes do Microsoft Defender XDR e transmiti-los diretamente para tabelas criadas especificamente em seu espaço de trabalho do Microsoft Sentinel. Essas tabelas são criadas no mesmo esquema usado no Portal do Microsoft Defender, oferecendo acesso completo ao conjunto completo de eventos de caça avançada e permitindo que você faça o seguinte:

  • Copie facilmente suas consultas de busca avançadas existentes do Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps para o Microsoft Sentinel.

  • Use os logs de eventos brutos para fornecer mais informações sobre seus alertas, caça e investigação e correlacione esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.

  • Armazene os logs com maior retenção, além da retenção padrão de 30 dias do Microsoft Defender XDR ou de seus componentes. Você pode fazer isso configurando a retenção do seu espaço de trabalho ou configurando a retenção por tabela no Log Analytics.

Próximos passos

Neste documento, você aprendeu como se beneficiar do uso do Microsoft Defender XDR junto com o Microsoft Sentinel, usando o conector Microsoft Defender XDR.