Microsoft Defender XDR-integrering med Microsoft Sentinel

Med Microsoft Sentinels Microsoft Defender XDR-incidentintegrering kan du strömma alla Microsoft Defender XDR-incidenter till Microsoft Sentinel och hålla dem synkroniserade mellan båda portalerna. Incidenter från Microsoft Defender XDR omfattar alla associerade aviseringar, entiteter och relevant information, vilket ger dig tillräckligt med kontext för att utföra en triage- och förundersökning i Microsoft Sentinel. Väl i Sentinel synkroniseras incidenter dubbelriktat med Microsoft Defender XDR, så att du kan dra nytta av fördelarna med båda portalerna i din incidentundersökning.

Den här integreringen ger Microsoft 365 säkerhetsincidenter den synlighet som ska hanteras inifrån Microsoft Sentinel, som en del av den primära incidentkön i hela organisationen, så att du kan se – och korrelera – Microsoft 365-incidenter tillsammans med dem från alla dina andra moln- och lokala system. Samtidigt kan du dra nytta av de unika styrkorna och funktionerna i Microsoft Defender XDR för djupgående undersökningar och en Microsoft 365-specifik upplevelse i Microsoft 365-ekosystemet. Microsoft Defender XDR berikar och grupperar aviseringar från flera Microsoft 365-produkter, vilket både minskar storleken på SOC:s incidentkö och förkortar tiden för att lösa problemet. De komponenttjänster som ingår i Microsoft Defender XDR-stacken är:

• Microsoft Defender för Endpoint
• Microsoft Defender för identitet
• Microsoft Defender för Office 365
• Microsoft Defender för molnet-appar
• Microsoft Defender för molnet

Andra tjänster vars aviseringar samlas in av Microsoft Defender XDR är:

• Dataförlustskydd i Microsoft Purview (Läs mer)
• Microsoft Entra ID Protection (läs mer)

Förutom att samla in aviseringar från dessa komponenter och andra tjänster genererar Microsoft Defender XDR egna aviseringar. Den skapar incidenter från alla dessa aviseringar och skickar dem till Microsoft Sentinel.

Vanliga användningsfall och scenarier

• Registrering av Microsoft Sentinel till den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen, där det krävs ett tidigt steg att aktivera Microsoft Defender XDR-integrering.

• Anslutning med ett klick för Microsoft Defender XDR-incidenter, inklusive alla aviseringar och entiteter från Microsoft Defender XDR-komponenter, till Microsoft Sentinel.

• Dubbelriktad synkronisering mellan Sentinel- och Microsoft Defender XDR-incidenter för status, ägare och stängningsorsak.

• Tillämpning av Microsoft Defender XDR-aviseringsgruppering och berikningsfunktioner i Microsoft Sentinel, vilket minskar tiden för att lösa problemet.

• Djupgående länk mellan en Microsoft Sentinel-incident och dess parallella Microsoft Defender XDR-incident för att underlätta undersökningar i båda portalerna.

Anslut till Microsoft Defender XDR

("Microsoft Defender XDR-incidenter och Regler för att skapa Microsoft-incidenter" omdirigeras här.)

Installera Microsoft Defender XDR-lösningen för Microsoft Sentinel och aktivera Microsoft Defender XDR-dataanslutningen för att samla in incidenter och aviseringar. Microsoft Defender XDR-incidenter visas i Microsoft Sentinel-incidentkön med Microsoft Defender XDR (eller något av komponenttjänsternas namn) i fältet Aviseringsproduktnamn kort efter att de har genererats i Microsoft Defender XDR.

• Det kan ta upp till 10 minuter från det att en incident genereras i Microsoft Defender XDR till den tidpunkt då den visas i Microsoft Sentinel.

• Aviseringar och incidenter från Microsoft Defender XDR (de objekt som fyller i tabellerna SecurityAlert och SecurityIncident ) matas in i och synkroniseras utan kostnad med Microsoft Sentinel. För alla andra datatyper från enskilda Defender-komponenter (till exempel avancerade jakttabeller DeviceInfo, DeviceFileEvents, EmailEvents och så vidare) debiteras inmatning.

• När Microsoft Defender XDR-anslutningsappen är aktiverad skickas aviseringar som skapats av dess komponenttjänster (Defender för Endpoint, Defender för identitet, Defender för Office 365, Defender för molnet Apps, Microsoft Entra ID Protection) till Microsoft Defender XDR och grupperas i incidenter. Både aviseringarna och incidenterna flödar till Microsoft Sentinel via Microsoft Defender XDR-anslutningsappen. Om du hade aktiverat någon av de enskilda komponentanslutningarna i förväg verkar de förbli anslutna, men inga data flödar genom dem.

  Undantaget till den här processen är Microsoft Defender för molnet. Även om integreringen med Microsoft Defender XDR innebär att du får Defender för molnet incidenter via Defender XDR måste du också ha en Microsoft Defender för molnet-anslutningsapp aktiverad för att kunna ta emot Defender för molnet aviseringar. Tillgängliga alternativ och mer information finns i Mata in Microsoft Defender för molnet incidenter med Microsoft Defender XDR-integrering.

• För att undvika att skapa dubblettincidenter för samma aviseringar inaktiveras microsofts regler för incidentskapande för Microsoft Defender XDR-integrerade produkter (Defender för Endpoint, Defender för identitet, Defender för Office 365, Defender för molnet Apps och Microsoft Entra ID Protection) när du ansluter Microsoft Defender XDR. Det beror på att Defender XDR har egna regler för att skapa incidenter. Den här ändringen har följande potentiella effekter:

  • Med Microsoft Sentinels regler för incidentskapande kunde du filtrera de aviseringar som skulle användas för att skapa incidenter. Med dessa regler inaktiverade kan du bevara funktionen för aviseringsfiltrering genom att konfigurera aviseringsjustering i Microsoft Defender-portalen eller genom att använda automatiseringsregler för att förhindra (stänga) incidenter som du inte ville skapa.

  • Du kan inte längre förbestäma rubrikerna för incidenter, eftersom Microsoft Defender XDR-korrelationsmotorn leder incidentskapandet och automatiskt namnger de incidenter som skapas. Den här ändringen kan påverka alla automatiseringsregler som du har skapat och som använder incidentnamnet som ett villkor. Undvik den här fallgropen genom att använda andra kriterier än incidentnamnet (vi rekommenderar att du använder taggar) som villkor för att utlösa automatiseringsregler.

Arbeta med Microsoft Defender XDR-incidenter i Microsoft Sentinel och dubbelriktad synkronisering

Microsoft Defender XDR-incidenter visas i Microsoft Sentinel-incidentkön med produktnamnet Microsoft Defender XDR och med liknande information och funktioner som andra Sentinel-incidenter. Varje incident innehåller en länk tillbaka till den parallella incidenten i Microsoft Defender-portalen.

När incidenten utvecklas i Microsoft Defender XDR, och fler aviseringar eller entiteter läggs till i den, uppdateras Microsoft Sentinel-incidenten i enlighet med detta.

Ändringar som görs i status, stängningsorsak eller tilldelning av en Microsoft Defender XDR-incident, antingen i Microsoft Defender XDR eller Microsoft Sentinel, uppdateras på samma sätt i den andras incidentkö. Synkroniseringen sker i båda portalerna omedelbart efter att ändringen av incidenten har tillämpats, utan fördröjning. En uppdatering kan krävas för att se de senaste ändringarna.

I Microsoft Defender XDR kan alla aviseringar från en incident överföras till en annan, vilket resulterar i att incidenterna slås samman. När den här sammanslagningen sker återspeglar Microsoft Sentinel-incidenterna ändringarna. En incident kommer att innehålla alla aviseringar från båda de ursprungliga incidenterna och den andra incidenten stängs automatiskt, med taggen "omdirigerad" tillagd.

Kommentar

Incidenter i Microsoft Sentinel kan innehålla högst 150 aviseringar. Microsoft Defender XDR-incidenter kan ha mer än så. Om en Microsoft Defender XDR-incident med fler än 150 aviseringar synkroniseras med Microsoft Sentinel visas Sentinel-incidenten som "150+"-aviseringar och ger en länk till den parallella incidenten i Microsoft Defender XDR där du ser hela uppsättningen av aviseringar.

Avancerad insamling av jakthändelser

Med Microsoft Defender XDR-anslutningsappen kan du också strömma avancerade jakthändelser – en typ av rådata – från Microsoft Defender XDR och dess komponenttjänster till Microsoft Sentinel. Nu kan du (från och med april 2022) samla in avancerade jakthändelser från alla Microsoft Defender XDR-komponenter och strömma dem direkt till specialbyggda tabeller på din Microsoft Sentinel-arbetsyta. Dessa tabeller bygger på samma schema som används i Microsoft Defender-portalen, vilket ger dig fullständig åtkomst till hela uppsättningen avancerade jakthändelser och gör att du kan göra följande:

• Kopiera enkelt dina befintliga avancerade jaktfrågor för Microsoft Defender för Endpoint/Office 365/Identity/Cloud Apps till Microsoft Sentinel.

• Använd rådatahändelseloggarna för att ge ytterligare insikter om dina aviseringar, jakt och undersökning och korrelera dessa händelser med händelser från andra datakällor i Microsoft Sentinel.

• Lagra loggarna med ökad kvarhållning, utöver Microsoft Defender XDR eller dess komponenters standardkvarhållning på 30 dagar. Du kan göra det genom att konfigurera kvarhållningen av din arbetsyta eller genom att konfigurera kvarhållning per tabell i Log Analytics.

Nästa steg

I det här dokumentet har du lärt dig hur du kan dra nytta av att använda Microsoft Defender XDR tillsammans med Microsoft Sentinel med hjälp av Microsoft Defender XDR-anslutningsappen.

• Få instruktioner för att aktivera Microsoft Defender XDR-anslutningsappen.
• Kontrollera tillgängligheten för olika Microsoft Defender XDR-datatyper i de olika Microsoft 365- och Azure-molnen.
• Skapa anpassade aviseringar och undersöka incidenter.