Подключение данных из Microsoft 365 Defender к Microsoft Sentinel

Примечание

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Соединитель Microsoft 365 Defender в Microsoft Sentinel с интеграцией инцидентов позволяет выполнять потоковую передачу всех инцидентов и оповещений из Microsoft 365 Defender в Microsoft Sentinel, а также синхронизировать инциденты между обоими порталами. Microsoft 365 Defender инциденты включают все оповещения, сущности и другую важную информацию, а также группируются и обогащаются оповещениями из служб компонентов Microsoft 365 Defender Microsoft Defender для конечной точки. Microsoft Defender для удостоверений, Microsoft Defender для Office 365 и Microsoft Defender for Cloud Apps, а также оповещения от других служб, таких как Защита от потери данных Microsoft Purview (DLP) и Защита идентификации Azure Active Directory (AADIP).

Соединитель также позволяет выполнять потоковую передачу событий расширенной охоты из всех указанных выше компонентов Defender в Microsoft Sentinel, позволяя копировать расширенные запросы охоты этих компонентов Defender в Microsoft Sentinel, обогащать оповещения Sentinel необработанными данными о событиях компонентов Defender, чтобы предоставлять дополнительные аналитические сведения, а также сохранять журналы с увеличенным хранением в Log Analytics.

Дополнительные сведения об интеграции инцидентов и сборе событий расширенной охоты см. в статье Интеграция Microsoft 365 Defender с Microsoft Sentinel.

Важно!

Соединитель Microsoft 365 Defender теперь общедоступен!

Предварительные требования

  • Для Microsoft 365 Defender необходимо иметь действительную лицензию, как описано в разделе Предварительные требования для Microsoft 365 Defender.

  • Пользователю необходимо назначить роли глобального администратора или администратора безопасности на клиенте, с которого требуется выполнять потоковую передачу журналов.

  • У вашего пользователя должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.

  • Чтобы внести изменения в параметры соединителя, пользователь должен быть членом того же клиента Azure Active Directory, с которым связана рабочая область Microsoft Sentinel.

Предварительные требования для синхронизации Active Directory с помощью MDI

  • Клиент должен быть подключен к Microsoft Defender для удостоверений.

  • Должен быть установлен датчик MDI.

Подключение к Microsoft 365 Defender

В Microsoft Sentinel выберите Соединители данных, выберите Microsoft 365 Defender в коллекции и выберите Открыть страницу соединителя.

Раздел Конфигурация состоит из трех частей:

  1. Подключение инцидентов и оповещений: обеспечивает базовую интеграцию между Microsoft 365 Defender и Microsoft Sentinel, синхронизируя инциденты и оповещения между двумя платформами.

  2. Подключение сущностей: обеспечивает интеграцию локальных удостоверений пользователей Active Directory и Microsoft Sentinel с помощью Microsoft Defender для удостоверений.

  3. События подключения: позволяет собирать необработанные расширенные события охоты от компонентов Defender.

Ниже они описаны более подробно. Дополнительные сведения см. в статье Интеграция Microsoft 365 Defender с Microsoft Sentinel.

Подключение инцидентов и оповещений

Нажмите кнопку Подключить инциденты и оповещения, чтобы подключить инциденты Microsoft 365 Defender к очереди инцидентов Microsoft Sentinel.

Чтобы избежать дублирования инцидентов, рекомендуется установить флажок Отключить все правила создания инцидентов Майкрософт для этих продуктов (рекомендуется).

Примечание

При включении соединителя Microsoft 365 Defender все соединители компонентов Microsoft 365 Defender (упомянутые в начале этой статьи) автоматически подключаются в фоновом режиме. Чтобы отключить один из соединителей компонентов, сначала необходимо отключить соединитель Microsoft 365 Defender.

Чтобы запросить данные об инциденте Microsoft 365 Defender, используйте следующую инструкцию в окне запроса:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

Подключение сущностей

Используйте Microsoft Defender для удостоверений, чтобы синхронизировать удостоверения пользователей из локальной службы Active Directory с Microsoft Sentinel.

Убедитесь, что выполнены необходимые условия для синхронизации пользователей локальной службы Active Directory с помощью Microsoft Defender для удостоверений (MDI).

  1. Перейдите по ссылке на страницу конфигурации UEBA.

  2. На странице Конфигурация поведения сущностей, если вы еще не включили UEBA, в верхней части страницы переместите переключатель в положение Вкл.

  3. Установите флажок Active Directory (предварительная версия) и нажмите кнопку Применить.

    Снимок экрана: страница конфигурации UEBA для подключения сущностей пользователей к Sentinel.

Подключение событий

  1. Если вы хотите собирать события расширенной охоты с помощью Microsoft Defender для конечной точки или Microsoft Defender для Office 365, можно собирать следующие типы событий из соответствующих таблиц расширенной охоты.

    1. Установите флажки для таблиц с типами событий, которые вы хотите собирать:

      Имя таблицы Тип событий
      DeviceInfo Сведения о компьютере, включая сведения об ОС
      DeviceNetworkInfo Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены
      DeviceProcessEvents Создание процесса и связанные события
      DeviceNetworkEvents Сетевое подключение и связанные события
      DeviceFileEvents Создание, изменение файла и другие события файловой системы
      DeviceRegistryEvents Создание и изменение записей реестра
      DeviceLogonEvents Входы и другие события проверки подлинности на устройствах
      DeviceImageLoadEvents Загружаются события DDL
      DeviceEvents Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов
      DeviceFileCertificateInfo Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках
    2. Щелкните Применить изменения.

    3. Чтобы запросить дополнительные таблицы охоты в Log Analytics, введите имя таблицы из списка выше в окне запроса.

Подтверждение приема данных

Граф данных на странице соединителя указывает на то, что вы принимаете данные. Вы заметите, что отображается по одной строке для инцидентов, оповещений и событий, а строка событий — это совокупное количество событий во всех включенных таблицах. После включения соединителя можно использовать следующие запросы KQL для создания более конкретных графов.

Используйте следующий запрос KQL для графа входящих инцидентов Microsoft 365 Defender:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Используйте следующий запрос KQL для создания графа количества событий для одной таблицы (измените таблицу DeviceEvents на нужную таблицу по своему усмотрению):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

На вкладке Дальнейшие действия вы найдете некоторые полезные книги, примеры запросов и шаблоны правил аналитики, которые были добавлены. Их можно запустить немедленно или изменить и сохранить.

Дальнейшие действия

В этом документе вы узнали, как интегрировать Microsoft 365 Defender инциденты и данные о событиях расширенной охоты из служб компонентов Microsoft Defender в Microsoft Sentinel с помощью соединителя Microsoft 365 Defender. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: