Подключение соединителя XDR в Microsoft Defender

  • 6 мин

Соединитель расширенного обнаружения и ответа Microsoft Defender (XDR) с интеграцией инцидентов позволяет передавать все инциденты и оповещения XDR в Microsoft Sentinel. Соединитель сохраняет синхронизацию инцидентов между обоими порталами. Инциденты XDR в Microsoft Defender включают все их оповещения, сущности и другие важные сведения. Они группируются вместе и обогащены оповещениями служб компонентов Microsoft Defender XDR, Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365и Microsoft Defender для облака приложения. Подключение соединителя XDR в Microsoft Defender является необходимым условием для настройки единой платформы операций безопасности или унифицированных сведений безопасности и управления событиями (SIEM) и XDR в XDR в Microsoft Defender XDR.

Соединитель также позволяет выполнять потоковую передачу дополнительных событий охоты из всех перечисленных выше компонентов в Microsoft Sentinel. Это позволяет копировать расширенные запросы на охоту в формате Defender в Microsoft Sentinel, обогащать оповещения Sentinel необработанными данными о событиях компонентов Defender, чтобы предоставить дополнительные аналитические сведения и дольше хранить журналы в Log Analytics.

Чтобы развернуть соединитель, выполните указанные ниже действия.

  1. В меню навигации слева Microsoft Sentinel разверните узел "Конфигурация " и выберите соединители данных.

  2. Выберите соединитель XDR в Microsoft Defender.

  3. Нажмите кнопку "Открыть соединитель" на панели предварительного просмотра.

  4. На вкладке "Инструкции" просмотрите предварительные требования , чтобы убедиться, что у вас есть необходимые разрешения и лицензии.

  5. Затем в разделе "Конфигурация" нажмите кнопку "Подключить инциденты и оповещения".

Снимок экрана конфигурации соединителя данных XDR Defender.

Примечание.

Если снять флажок Отключить все правила создания инцидентов Майкрософт для этих продуктов. Рекомендуемый флажок может получить дублирование в очереди инцидентов.

Можно также подключить (аналитику поведения пользователей и сущностей) сущности и журналы событий UEBA из определенных продуктов.

  1. Выберите разделы "Подключить сущности" и "Подключить события".

  2. Для событий установите флажки типов событий, которые вы хотите собрать, и нажмите кнопку "Применить изменения".