Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica as diferenças entre alertas ingeridos através de conectores autónomos e alertas ingeridos através do conector de Deteção e Resposta Alargada (XDR) no Microsoft Sentinel.
Os conectores autónomos ingerem alertas diretamente dos produtos de segurança originais, enquanto o conector XDR ingere alertas através do pipeline Microsoft Defender XDR. Isto inclui conectores como Microsoft Defender para Office 365, Microsoft Defender para Endpoint, Microsoft Defender para Identidade, Gestão de Direitos de Informação (IRM), Prevenção de Perda de Dados (DLP), Microsoft Defender para Cloud (MDC) e Microsoft Defender for Cloud Apps (MDA).
Estas diferenças podem afetar os mapeamentos de campos, o comportamento dos campos derivados, a estrutura do esquema e a ingestão de alertas, o que pode afetar as consultas, as regras analíticas e os livros existentes. Reveja estas diferenças antes de migrar para o conector XDR.
Para obter o esquema de alerta completo, veja Referência do esquema de alertas de segurança.
Comportamento de CompromisedEntity
O campo CompromisedEntity é tratado de forma diferente em todos os produtos quando os alertas são ingeridos através do conector XDR.
| Produto | Valor equivalente de CompromisedEntity em alertas XDR |
|---|---|
| Microsoft Defender para Endpoint (MDE) | O dispositivo em que "LeadingHost": true nas entidades de alerta JSON |
| Microsoft Entra ID (Identity Protection) | Sempre definido para o UPN do utilizador |
| Microsoft Defender para Identidade (MDI) | Cadeia fixa "CompromisedEntity" |
Nota
No MDE alertas, o CompromisedEntity é derivado do dispositivo em que "LeadingHost": true. Em alguns alertas, este campo pode não ser preenchido.
Nos alertas de MDI, o CompromisedEntity não representa um anfitrião ou utilizador e é sempre a cadeia "CompromisedEntity"literal .
Alterações ao mapeamento de campos
Alguns campos são renomeados ou utilizam conjuntos de valores diferentes em alertas do conector XDR.
| Produto | Campo/propriedade legado | Comportamento XDR |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Mapeado para ExtendedProperties.Category |
| Microsoft Defender para o Office (MDO) | ExtendedProperties.Status | Utiliza um conjunto de valores diferente do legado |
| Microsoft Defender para o Office (MDO) | ExtendedProperties.InvestigationName | Não disponível |
Transformações estruturais de esquemas (MDI)
Por vezes, o conector de Microsoft Defender para Identidade autónomo (MDI) utilizava entidades de marcador de posição para armazenar informações adicionais. No conector XDR, estas informações são dobradas em propriedades na resourceAccessEvents coleção.
| Entidade/propriedade legada | Representação XDR |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId já não é necessário porque é "idêntico à entidade Anfitrião na qual ResourceAccessInfo está definido.
Filtragem de ingestão de alertas
Alguns alertas disponíveis através de conectores autónomos não são ingeridos através do conector XDR.
| Produto | Comportamento de filtragem |
|---|---|
| Microsoft Defender para Cloud (MDC) | Os alertas de gravidade informativa não são ingeridos |
| Microsoft Entra ID | Por predefinição, os alertas abaixo de Gravidade elevada não são ingeridos; os clientes podem configurar a ingestão para incluir todas as gravidades |
Comportamento de âmbito (Microsoft Defender para a Cloud)
Microsoft Defender para alertas da Cloud utilizam âmbitos diferentes quando ingeridos através do conector XDR.
| Âmbito do conector autónomo | Âmbito do conector XDR |
|---|---|
| Nível de subscrição | Nível do locatário |
Nota
Todos os alertas MDC estão disponíveis na área de trabalho primária do inquilino. Os alertas são confinados de acordo com os âmbitos de subscrição do MDC no Defender XDR.