Microsoft Defender XDR-integrering med Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Integrera Microsoft Defender XDR med Microsoft Sentinel för att strömma alla Defender XDR-incidenter och avancerade jakthändelser till Microsoft Sentinel och hålla incidenterna och händelserna synkroniserade mellan båda portalerna. Incidenter från Defender XDR omfattar alla associerade aviseringar, entiteter och relevant information, vilket ger dig tillräckligt med kontext för att utföra en triage- och förundersökning i Microsoft Sentinel. Väl i Microsoft Sentinel är incidenter fortfarande dubbelriktade synkroniserade med Defender XDR, så att du kan dra nytta av fördelarna med båda portalerna i din incidentundersökning.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Incidentkorrelation och aviseringar

Integreringen ger Defender XDR-säkerhetsincidenter den synlighet som ska hanteras inifrån Microsoft Sentinel, som en del av den primära incidentkön i hela organisationen. Se och korrelera Defender XDR-incidenter tillsammans med incidenter från alla dina andra moln- och lokala system. Samtidigt kan du med den här integreringen dra nytta av de unika styrkorna och funktionerna i Defender XDR för djupgående undersökningar och en Defender-specifik upplevelse i Microsoft 365-ekosystemet. Defender XDR berikar och grupperar aviseringar från flera Microsoft Defender-produkter, vilket både minskar storleken på SOC:s incidentkö och förkortar tiden för att lösa problemet. Aviseringar från följande Microsoft Defender-produkter och -tjänster ingår också i integreringen av Defender XDR till Microsoft Sentinel:

• Microsoft Defender för slutpunkter
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender för Cloud Apps
• Microsoft Defender – hantering av säkerhetsrisker

Andra tjänster vars aviseringar samlas in av Defender XDR är:

• Microsoft Purview Data Loss Prevention (Läs mer)
• Microsoft Entra ID Protection (läs mer)

Defender XDR-anslutningsappen innehåller även incidenter från Microsoft Defender för molnet. Om du vill synkronisera aviseringar och entiteter från dessa incidenter måste du även aktivera Microsoft Defender for Cloud-anslutningsappen. Annars visas dina Microsoft Defender for Cloud-incidenter tomma. Mer information finns i Mata in Microsoft Defender för moln-incidenter med Microsoft Defender XDR-integrering.

Förutom att samla in aviseringar från dessa komponenter och andra tjänster genererar Defender XDR egna aviseringar. Den skapar incidenter från alla dessa aviseringar och skickar dem till Microsoft Sentinel.

Vanliga användningsfall och scenarier

Överväg att integrera Defender XDR med Microsoft Sentinel för följande användningsfall och scenarier:

• Registrera Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Det är en förutsättning att du aktiverar Defender XDR-anslutningsappen. Mer information finns i Ansluta Microsoft Sentinel till Microsoft Defender XDR.

• Aktivera en klickning av Defender XDR-incidenter, inklusive alla aviseringar och entiteter från Defender XDR-komponenter, till Microsoft Sentinel.

• Tillåt dubbelriktad synkronisering mellan Microsoft Sentinel- och Defender XDR-incidenter för status, ägare och stängningsorsak.

• Använd funktionerna för att gruppera och berika Defender XDR-aviseringar i Microsoft Sentinel, vilket minskar tiden för att lösa problemet.

• Underlätta undersökningar i båda portalerna med djupgående länkar i kontexten mellan en Microsoft Sentinel-incident och dess parallella Defender XDR-incident.

Mer information om funktionerna i Microsoft Sentinel-integreringen med Defender XDR i den enhetliga säkerhetsåtgärdsplattformen finns i Microsoft Sentinel i Microsoft Defender-portalen.

Ansluta till Microsoft Defender XDR

Installera Microsoft Defender XDR-lösningen för Microsoft Sentinel från innehållshubben. Aktivera sedan Microsoft Defender XDR-dataanslutningen för att samla in incidenter och aviseringar. Mer information finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.

Information om hur du registrerar Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen finns i Ansluta Microsoft Sentinel till Microsoft Defender XDR.

När du har aktiverat aviserings- och incidentinsamling i Defender XDR-dataanslutningsappen visas Defender XDR-incidenter i Microsoft Sentinel-incidentkön kort efter att de har genererats i Defender XDR. I dessa incidenter innehåller fältet AviseringsproduktnamnMicrosoft Defender XDR eller något av komponentens Defender-tjänsters namn.

• Det kan ta upp till 10 minuter från det att en incident genereras i Defender XDR till den tidpunkt då den visas i Microsoft Sentinel.

• Aviseringar och incidenter från Defender XDR (de objekt som fyller i tabellerna SecurityAlert och SecurityIncident ) matas in i och synkroniseras utan kostnad med Microsoft Sentinel. För alla andra datatyper från enskilda Defender-komponenter (till exempel avancerade jakttabeller DeviceInfo, DeviceFileEvents, EmailEvents och så vidare) debiteras inmatning.

• När Defender XDR-anslutningsappen är aktiverad skickas aviseringar som skapats av Defender XDR-integrerade produkter till Defender XDR och grupperas i incidenter. Både aviseringarna och incidenterna flödar till Microsoft Sentinel via Defender XDR-anslutningsappen. Om du har aktiverat någon av de enskilda komponentanslutningarna i förväg verkar de förbli anslutna, men inga data flödar genom dem.

  Undantaget för den här processen är Microsoft Defender för molnet. Även om dess integrering med Defender XDR innebär att du får Defender for Cloud-incidenter via Defender XDR, måste du också ha en Microsoft Defender för moln-anslutning aktiverad för att kunna ta emot Defender for Cloud-aviseringar. Tillgängliga alternativ och mer information finns i följande artiklar:

  • Microsoft Defender för molnet i Microsoft Defender-portalen
  • Mata in Microsoft Defender för molnincidenter med Microsoft Defender XDR-integrering

• För att undvika att skapa dubblettincidenter för samma aviseringar inaktiveras inställningen för att skapa Microsoft-incidentregler för Defender XDR-integrerade produkter när du ansluter Defender XDR. Det beror på att Defender XDR har egna regler för att skapa incidenter. Den här ändringen har följande potentiella effekter:

  • Med Microsoft Sentinels regler för incidentskapande kunde du filtrera de aviseringar som skulle användas för att skapa incidenter. Med dessa regler inaktiverade kan du bevara funktionen för aviseringsfiltrering genom att konfigurera aviseringsjustering i Microsoft Defender-portalen eller genom att använda automatiseringsregler för att förhindra (stänga) incidenter som du inte vill använda.

  • Du kan inte längre förbestäma rubrikerna för incidenter eftersom Defender XDR-korrelationsmotorn leder skapandet av incidenter och automatiskt namnger de incidenter som skapas. Den här ändringen kan påverka alla automatiseringsregler som du har skapat och som använder incidentnamnet som ett villkor. Undvik den här fallgropen genom att använda andra kriterier än incidentnamnet som villkor för att utlösa automatiseringsregler. Vi rekommenderar att du använder taggar.

Arbeta med Microsoft Defender XDR-incidenter i Microsoft Sentinel och dubbelriktad synkronisering

Defender XDR-incidenter visas i Microsoft Sentinel-incidentkön med produktnamnet Microsoft Defender XDR och med liknande information och funktioner som andra Microsoft Sentinel-incidenter. Varje incident innehåller en länk tillbaka till den parallella incidenten i Microsoft Defender-portalen.

När incidenten utvecklas i Defender XDR, och fler aviseringar eller entiteter läggs till i den, uppdateras Microsoft Sentinel-incidenten i enlighet med detta.

Ändringar som gjorts i status, stängningsorsak eller tilldelning av en Defender XDR-incident, antingen i Defender XDR eller Microsoft Sentinel, uppdateras på samma sätt i den andras incidentkö. Synkroniseringen sker i båda portalerna omedelbart efter att ändringen av incidenten har tillämpats, utan fördröjning. En uppdatering kan krävas för att se de senaste ändringarna.

I Defender XDR kan alla aviseringar från en incident överföras till en annan, vilket resulterar i att incidenterna slås samman. När den här sammanfogningen sker återspeglar Microsoft Sentinel-incidenterna ändringarna. En incident innehåller alla aviseringar från båda de ursprungliga incidenterna och den andra incidenten stängs automatiskt, med taggen "omdirigerad" tillagd.

Kommentar

Incidenter i Microsoft Sentinel kan innehålla högst 150 aviseringar. Defender XDR-incidenter kan ha mer än så här. Om en Defender XDR-incident med fler än 150 aviseringar synkroniseras med Microsoft Sentinel visas Microsoft Sentinel-incidenten som "150+"-aviseringar och ger en länk till den parallella incidenten i Defender XDR där du ser hela uppsättningen av aviseringar.

Avancerad insamling av jakthändelser

Med Defender XDR-anslutningsappen kan du också strömma avancerade jakthändelser – en typ av rådata – från Defender XDR och dess komponenttjänster till Microsoft Sentinel. Samla in avancerade jakthändelser från alla Defender XDR-komponenter och strömma dem direkt till specialbyggda tabeller på din Microsoft Sentinel-arbetsyta. Dessa tabeller bygger på samma schema som används i Defender-portalen. Detta ger dig fullständig åtkomst till den fullständiga uppsättningen avancerade jakthändelser och gör att du kan utföra följande uppgifter:

• Kopiera enkelt dina befintliga Microsoft Defender za krajnju tačku/Office 365/Identity/Cloud Apps avancerade jaktfrågor till Microsoft Sentinel.

• Använd rådatahändelseloggarna för att ge ytterligare insikter om dina aviseringar, jakt och undersökning och korrelera dessa händelser med händelser från andra datakällor i Microsoft Sentinel.

• Lagra loggarna med ökad kvarhållning, utöver Defender XDR eller dess komponenters standardkvarhållning på 30 dagar. Du kan göra det genom att konfigurera kvarhållningen av din arbetsyta eller genom att konfigurera kvarhållning per tabell i Log Analytics.

Nästa steg

I det här dokumentet har du lärt dig fördelarna med att använda Defender XDR tillsammans med Microsoft Sentinel genom att aktivera Defender XDR-anslutningsappen i Microsoft Sentinel.

• Ansluta data från Microsoft Defender XDR till Microsoft Sentinel
• Information om hur du använder den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.
• Kontrollera tillgängligheten för olika Microsoft Defender XDR-datatyper i de olika Microsoft 365- och Azure-molnen.
• Skapa anpassade aviseringar och undersöka incidenter.