Microsoft Defender XDR-integrering med Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Integrera Microsoft Defender XDR med Microsoft Sentinel för att strömma alla Defender XDR-incidenter och avancerade jakthändelser till Microsoft Sentinel och hålla incidenterna och händelserna synkroniserade mellan Azure- och Microsoft Defender-portalerna. Incidenter från Defender XDR omfattar alla associerade aviseringar, entiteter och relevant information, vilket ger dig tillräckligt med kontext för att utföra en triage- och förundersökning i Microsoft Sentinel. Väl i Microsoft Sentinel är incidenter fortfarande dubbelriktade synkroniserade med Defender XDR, så att du kan dra nytta av fördelarna med båda portalerna i din incidentundersökning.

Du kan också registrera Microsoft Sentinel med Defender XDR till den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen. Den enhetliga säkerhetsdriftsplattformen sammanför alla funktioner i Microsoft Sentinel, Defender XDR och generativ AI som skapats specifikt för cybersäkerhet. Mer information finns i följande resurser:

• Blogginlägg: Allmän tillgänglighet för Microsofts plattform för enhetliga säkerhetsåtgärder
• Microsoft Sentinel i Microsoft Defender-portalen
• Microsoft Copilot i Microsoft Defender

Microsoft Sentinel och Defender XDR

Använd någon av följande metoder för att integrera Microsoft Sentinel med Microsoft Defender XDR-tjänster:

• Mata in Microsoft Defender XDR-tjänstdata i Microsoft Sentinel och visa Microsoft Sentinel-data i Azure-portalen. Aktivera Defender XDR-anslutningsappen i Microsoft Sentinel.

• Integrera Microsoft Sentinel och Defender XDR i en enda enhetlig säkerhetsåtgärdsplattform i Microsoft Defender-portalen. I det här fallet kan du visa Microsoft Sentinel-data direkt i Microsoft Defender-portalen med resten av dina Defender-incidenter, aviseringar, sårbarheter och andra säkerhetsdata. Aktivera Defender XDR-anslutningsappen i Microsoft Sentinel och registrera Microsoft Sentinel till en enhetlig driftplattform i Defender-portalen.

Välj lämplig flik för att se hur Microsoft Sentinel-integreringen med Defender XDR ser ut beroende på vilken integrationsmetod du använder.

Azure-portalen

Följande bild visar hur Microsofts XDR-lösning sömlöst integreras med Microsoft Sentinel.

I det här diagrammet:

• Insikter från signaler i hela organisationen matas in i Microsoft Defender XDR och Microsoft Defender för molnet.
• Microsoft Defender XDR och Microsoft Defender för molnet skickar SIEM-loggdata via Microsoft Sentinel-anslutningsappar.
• SecOps-team kan sedan analysera och svara på hot som identifierats i Microsoft Sentinel och Microsoft Defender XDR.
• Microsoft Sentinel tillhandahåller stöd för miljöer med flera moln och integreras med appar och partner från tredje part.

Defender-portalen

Följande bild visar hur Microsofts XDR-lösning sömlöst integreras med Microsoft Sentinel med den enhetliga säkerhetsåtgärdsplattformen.

I det här diagrammet:

• Insikter från signaler i hela organisationen matas in i Microsoft Defender XDR och Microsoft Defender för molnet.
• Microsoft Sentinel tillhandahåller stöd för miljöer med flera moln och integreras med appar och partner från tredje part.
• Microsoft Sentinel-data matas in tillsammans med organisationens data i Microsoft Defender-portalen.
• SecOps-team kan sedan analysera och svara på hot som identifierats av Microsoft Sentinel och Microsoft Defender XDR i Microsoft Defender-portalen.

Incidentkorrelation och aviseringar

Med integreringen av Defender XDR med Microsoft Sentinel är Defender XDR-incidenter synliga och hanterbara inifrån Microsoft Sentinel. Detta ger dig en primär incidentkö i hela organisationen. Se och korrelera Defender XDR-incidenter tillsammans med incidenter från alla dina andra moln- och lokala system. Samtidigt kan du med den här integreringen dra nytta av de unika styrkorna och funktionerna i Defender XDR för djupgående undersökningar och en Defender-specifik upplevelse i Microsoft 365-ekosystemet.

Defender XDR berikar och grupperar aviseringar från flera Microsoft Defender-produkter, vilket både minskar storleken på SOC:s incidentkö och förkortar tiden för att lösa problemet. Aviseringar från följande Microsoft Defender-produkter och -tjänster ingår också i integreringen av Defender XDR till Microsoft Sentinel:

• Microsoft Defender för slutpunkter
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender för Cloud Apps
• Microsoft Defender – hantering av säkerhetsrisker

Andra tjänster vars aviseringar samlas in av Defender XDR är:

• Microsoft Purview Data Loss Prevention (Läs mer)
• Microsoft Entra ID Protection (läs mer)

Defender XDR-anslutningsappen innehåller även incidenter från Microsoft Defender för molnet. Om du vill synkronisera aviseringar och entiteter från dessa incidenter måste du även aktivera Defender for Cloud-anslutningsappen i Microsoft Sentinel. Annars visas dina Defender for Cloud-incidenter tomma. Mer information finns i Mata in Microsoft Defender för moln-incidenter med Microsoft Defender XDR-integrering.

Förutom att samla in aviseringar från dessa komponenter och andra tjänster genererar Defender XDR egna aviseringar. Den skapar incidenter från alla dessa aviseringar och skickar dem till Microsoft Sentinel.

Vanliga användningsfall och scenarier

Överväg att integrera Defender XDR med Microsoft Sentinel för följande användningsfall och scenarier:

• Registrera Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Det är en förutsättning att du aktiverar Defender XDR-anslutningsappen.

• Aktivera en klickning av Defender XDR-incidenter, inklusive alla aviseringar och entiteter från Defender XDR-komponenter, till Microsoft Sentinel.

• Tillåt dubbelriktad synkronisering mellan Microsoft Sentinel- och Defender XDR-incidenter för status, ägare och stängningsorsak.

• Använd funktionerna för att gruppera och berika Defender XDR-aviseringar i Microsoft Sentinel, vilket minskar tiden för att lösa problemet.

• Underlätta undersökningar i båda portalerna med djupgående länkar i kontexten mellan en Microsoft Sentinel-incident och dess parallella Defender XDR-incident.

Mer information om funktionerna i Microsoft Sentinel-integreringen med Defender XDR i den enhetliga säkerhetsåtgärdsplattformen finns i Microsoft Sentinel i Microsoft Defender-portalen.

Ansluta till Microsoft Defender XDR

Aktivera Microsoft Defender XDR-anslutningsappen i Microsoft Sentinel för att skicka alla Defender XDR-incidenter och aviseringsinformation till Microsoft Sentinel och hålla incidenterna synkroniserade.

• Installera först Microsoft Defender XDR-lösningen för Microsoft Sentinel från innehållshubben. Aktivera sedan Microsoft Defender XDR-dataanslutningen för att samla in incidenter och aviseringar. Mer information finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.

• När du har aktiverat aviserings- och incidentinsamling i Defender XDR-dataanslutningsappen visas Defender XDR-incidenter i Microsoft Sentinel-incidentkön kort efter att de har genererats i Defender XDR. Det kan ta upp till 10 minuter från det att en incident genereras i Defender XDR till den tidpunkt då den visas i Microsoft Sentinel. I dessa incidenter innehåller fältet Aviseringsproduktnamn Microsoft Defender XDR eller något av komponentens Defender-tjänsters namn.

• Information om hur du registrerar din Microsoft Sentinel-arbetsyta på den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen finns i Ansluta Microsoft Sentinel till Microsoft Defender XDR.

Inmatningskostnader

Aviseringar och incidenter från Defender XDR, inklusive objekt som fyller i tabellerna SecurityAlert och SecurityIncident , matas in i och synkroniseras utan kostnad med Microsoft Sentinel. För alla andra datatyper från enskilda Defender-komponenter, till exempel Avancerade jakttabeller DeviceInfo, DeviceFileEvents, EmailEvents och så vidare, debiteras inmatning. Mer information finns i Planera kostnader och förstå priser och fakturering för Microsoft Sentinel.

Datainmatningsbeteende

När Defender XDR-anslutningsappen är aktiverad skickas aviseringar som skapats av Defender XDR-integrerade produkter till Defender XDR och grupperas i incidenter. Både aviseringarna och incidenterna flödar till Microsoft Sentinel via Defender XDR-anslutningsappen. Undantaget till den här processen är Defender för molnet. Du har möjlighet att aktivera klientbaserade Defender for Cloud-aviseringar för att ta emot alla aviseringar och incidenter via Defender XDR, eller behålla prenumerationsbaserade aviseringar och befordra dem till incidenter i Microsoft Sentinel i Azure-portalen. Tillgängliga alternativ och mer information finns i följande artiklar:

• Microsoft Defender för molnet i Microsoft Defender-portalen
• Mata in Microsoft Defender för molnincidenter med Microsoft Defender XDR-integrering

Regler för skapande av Microsoft-incidenter

För att undvika att skapa dubblettincidenter för samma aviseringar inaktiveras inställningen För att skapa Microsoft-incidentregler för Defender XDR-integrerade produkter när du ansluter Defender XDR. Defender XDR-integrerade produkter omfattar Microsoft Defender za identitet, Microsoft Defender za Office 365 med mera. Dessutom stöds inte Microsofts regler för incidentskapande i den enhetliga säkerhetsåtgärdsplattformen. Defender XDR har egna regler för att skapa incidenter. Den här ändringen har följande potentiella effekter:

• Med Microsoft Sentinels regler för incidentskapande kunde du filtrera de aviseringar som skulle användas för att skapa incidenter. När dessa regler är inaktiverade bevarar du funktionen för aviseringsfiltrering genom att konfigurera aviseringsjustering i Microsoft Defender-portalen eller genom att använda automatiseringsregler för att förhindra eller stänga incidenter som du inte vill använda.

• När du har aktiverat Defender XDR-anslutningsappen kan du inte längre förutbestäma rubrikerna för incidenter. Defender XDR-korrelationsmotorn leder skapandet av incidenter och namnger automatiskt de incidenter som skapas. Den här ändringen kan påverka alla automatiseringsregler som du har skapat och som använder incidentnamnet som ett villkor. Undvik den här fallgropen genom att använda andra kriterier än incidentnamnet som villkor för att utlösa automatiseringsregler. Vi rekommenderar att du använder taggar.

• Om du använder Microsoft Sentinels regler för incidentskapande för andra Microsoft-säkerhetslösningar eller produkter som inte är integrerade i Defender XDR, till exempel Microsoft Purview Insider Risk Management, och du planerar att registrera dig för den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen ersätter du reglerna för incidentskapande med schemalagda analysregler.

Arbeta med Microsoft Defender XDR-incidenter i Microsoft Sentinel och dubbelriktad synkronisering

Defender XDR-incidenter visas i Microsoft Sentinel-incidentkön med produktnamnet Microsoft Defender XDR och med liknande information och funktioner som andra Microsoft Sentinel-incidenter. Varje incident innehåller en länk tillbaka till den parallella incidenten i Microsoft Defender-portalen.

När incidenten utvecklas i Defender XDR, och fler aviseringar eller entiteter läggs till i den, uppdateras Microsoft Sentinel-incidenten i enlighet med detta.

Ändringar som gjorts i status, stängningsorsak eller tilldelning av en Defender XDR-incident, antingen i Defender XDR eller Microsoft Sentinel, uppdateras på samma sätt i den andras incidentkö. Synkroniseringen sker i båda portalerna omedelbart efter att ändringen av incidenten har tillämpats, utan fördröjning. En uppdatering kan krävas för att se de senaste ändringarna.

I Defender XDR kan alla aviseringar från en incident överföras till en annan, vilket resulterar i att incidenterna slås samman. När den här sammanfogningen sker återspeglar Microsoft Sentinel-incidenterna ändringarna. En incident innehåller alla aviseringar från båda de ursprungliga incidenterna och den andra incidenten stängs automatiskt, med taggen "omdirigerad" tillagd.

Kommentar

Incidenter i Microsoft Sentinel kan innehålla högst 150 aviseringar. Defender XDR-incidenter kan ha mer än så här. Om en Defender XDR-incident med fler än 150 aviseringar synkroniseras med Microsoft Sentinel visas Microsoft Sentinel-incidenten som "150+"-aviseringar och ger en länk till den parallella incidenten i Defender XDR där du ser hela uppsättningen av aviseringar.

Avancerad insamling av jakthändelser

Med Defender XDR-anslutningsappen kan du också strömma avancerade jakthändelser – en typ av rådata – från Defender XDR och dess komponenttjänster till Microsoft Sentinel. Samla in avancerade jakthändelser från alla Defender XDR-komponenter och strömma dem direkt till specialbyggda tabeller på din Microsoft Sentinel-arbetsyta. De här tabellerna bygger på samma schema som används i Defender-portalen, vilket ger dig fullständig åtkomst till den fullständiga uppsättningen avancerade jakthändelser och tillåter följande uppgifter:

• Kopiera enkelt dina befintliga Microsoft Defender za krajnju tačku/Office 365/Identity/Cloud Apps avancerade jaktfrågor till Microsoft Sentinel.

• Använd rådatahändelseloggarna för att ge ytterligare insikter om dina aviseringar, jakt och undersökning och korrelera dessa händelser med händelser från andra datakällor i Microsoft Sentinel.

• Lagra loggarna med ökad kvarhållning, utöver Defender XDR eller dess komponenters standardkvarhållning på 30 dagar. Du kan göra det genom att konfigurera kvarhållningen av din arbetsyta eller genom att konfigurera kvarhållning per tabell i Log Analytics.

Relaterat innehåll

I det här dokumentet har du lärt dig fördelarna med att aktivera Defender XDR-anslutningsappen i Microsoft Sentinel.

• Ansluta data från Microsoft Defender XDR till Microsoft Sentinel
• Information om hur du använder den enhetliga säkerhetsåtgärdsplattformen i Defender-portalen finns i Ansluta Microsoft Sentinel till Microsoft Defender XDR.
• Kontrollera tillgängligheten för olika Microsoft Defender XDR-datatyper i de olika Microsoft 365- och Azure-molnen.