Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Tüm Defender XDR olaylarını ve gelişmiş tehdit avcılığı olaylarını Microsoft Sentinel'e aktarmak ve olayları ve olayları Azure ile Microsoft Defender portalları arasında eşitlenmiş tutmak için Microsoft Defender XDR'yi Microsoft Sentinel ile tümleştirin. Defender XDR'den gelen olaylar ilişkili tüm uyarıları, varlıkları ve ilgili bilgileri içerir ve Microsoft Sentinel'de önceliklendirme ve ön araştırma gerçekleştirmek için yeterli bağlam sağlar. Microsoft Sentinel'e girdikten sonra, olaylar iki yönlü olarak Defender XDR ile eşitlenmiş halde kalır ve olay araştırmanızda her iki portaldan da faydalanmanızı sağlar.
Alternatif olarak, Defender portalında Microsoft Sentinel'i Defender XDR ile Birlikte Microsoft'un birleşik güvenlik işlemleri (SecOps) platformuna da eklersiniz. Microsoft'un birleşik SecOps platformu, Microsoft Sentinel, Defender XDR ve özellikle siber güvenlik için oluşturulan üretken yapay zekanın tüm özelliklerini bir araya getirir. Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:
- Microsoft'un birleşik güvenlik operasyonları platformu nedir?
- Microsoft Defender portalında Microsoft Sentinel
Microsoft Sentinel ve Defender XDR
Microsoft Sentinel'i Microsoft Defender XDR hizmetleriyle tümleştirmek için aşağıdaki yöntemlerden birini kullanın:
Microsoft Defender XDR hizmet verilerini Microsoft Sentinel'e alın ve Azure portalında Microsoft Sentinel verilerini görüntüleyin. Microsoft Sentinel'de Defender XDR bağlayıcısını etkinleştirin.
Microsoft Sentinel ve Defender XDR'yi Microsoft Defender portalında tek bir birleşik güvenlik işlemleri platformuyla tümleştirin. Bu durumda, Defender olaylarınızın, uyarılarınızın, güvenlik açıklarınızın ve diğer güvenlik verilerinizin geri kalanıyla microsoft Sentinel verilerini doğrudan Microsoft Defender portalında görüntüleyin. Microsoft Sentinel'de Defender XDR bağlayıcısını etkinleştirin ve Microsoft Sentinel'i Defender portalına ekleme.
Hangi tümleştirme yöntemini kullandığınıza bağlı olarak Defender XDR ile Microsoft Sentinel tümleştirmesinin nasıl göründüğünü görmek için uygun sekmeyi seçin.
Aşağıdaki çizimde, Microsoft'un XDR çözümünün Microsoft Defender portalında Microsoft Sentinel ile sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.
Bu diyagramda:
- Kuruluşunuzun tamamındaki sinyallerden elde edilen içgörüler, Microsoft Defender XDR ve Microsoft Defender for Cloud'a aktarılır.
- Microsoft Sentinel, çoklu bulut ortamları için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.
- Microsoft Sentinel verileri, kuruluşunuzun verileriyle birlikte Microsoft Defender portalına alınır.
- SecOps ekipleri daha sonra Microsoft Sentinel ve Microsoft Defender XDR tarafından tanımlanan tehditleri Microsoft Defender portalında analiz edebilir ve yanıtlayabilir.
Olay bağıntısı ve uyarıları
Defender XDR'nin Microsoft Sentinel ile tümleştirilmesiyle, Defender XDR olayları Microsoft Sentinel'in içinden görünür ve yönetilebilir. Bu, tüm kuruluş genelinde birincil olay kuyruğu sağlar. Defender XDR olaylarını diğer tüm bulut ve şirket içi sistemlerinizdeki olaylarla birlikte görün ve ilişkilendirin. Bu tümleştirme aynı zamanda, Derinlemesine araştırmalar ve Microsoft 365 ekosistemi genelinde Defender'a özgü bir deneyim için Defender XDR'nin benzersiz güçlü yönlerinden ve özelliklerinden yararlanmanızı sağlar.
Defender XDR, birden çok Microsoft Defender ürününden gelen uyarıları zenginleştirir ve gruplandırır; hem SOC'nin olay kuyruğunun boyutunu küçültür hem de çözüm süresini kısaltır. Defender XDR'nin Microsoft Sentinel ile tümleştirilmesine aşağıdaki Microsoft Defender ürün ve hizmetlerinden gelen uyarılar da dahildir:
- Uç nokta için Microsoft Defender
- Kimlik için Microsoft Defender
- Office 365 için Microsoft Defender
- Bulut için Microsoft Defender Uygulamaları
- Microsoft Defender Güvenlik Açığı Yönetimi
Uyarıları Defender XDR tarafından toplanan diğer hizmetler şunlardır:
- Microsoft Purview Veri Kaybı Önleme
- Microsoft Entra Kimlik Koruması
- Microsoft Purview İç Tehdit Yönetimi
Defender XDR bağlayıcısı, Microsoft Defender for Cloud'dan da olayları getirir. Bu olaylardan gelen uyarıları ve varlıkları da eşitlemek için Microsoft Sentinel'de Bulut için Defender bağlayıcısını etkinleştirmeniz gerekir. Aksi takdirde, Defender for Cloud olaylarınız boş görünebilir. Daha fazla bilgi için bkz. Microsoft Defender XDR tümleştirmesiyle Bulut için Microsoft Defender olaylarını işleme.
Defender XDR, bu bileşenlerden ve diğer hizmetlerden uyarı toplamaya ek olarak kendi uyarılarını oluşturur. Tüm bu uyarılardan olaylar oluşturur ve bunları Microsoft Sentinel'e gönderir.
Yaygın kullanım örnekleri ve senaryolar
Aşağıdaki kullanım örnekleri ve senaryolar için Defender XDR'yi Microsoft Sentinel ile tümleştirmeyi göz önünde bulundurun:
Microsoft Sentinel'i Microsoft Defender portalında Microsoft'un birleşik SecOps platformuna ekleme. Defender XDR bağlayıcısını etkinleştirmek önkoşuldur.
Defender XDR bileşenlerindeki tüm uyarılar ve varlıklar dahil olmak üzere Defender XDR olaylarının Microsoft Sentinel'e tek tıklamayla bağlanmasını etkinleştirin.
Microsoft Sentinel ile Defender XDR olayları arasında durum, sahip ve kapanış nedeni üzerinde iki yönlü eşitleme sağlayın.
Microsoft Sentinel'de Defender XDR uyarı gruplandırma ve zenginleştirme özelliklerini uygulayarak çözümlenme süresini kısaltın.
Microsoft Sentinel olayı ile paralel Defender XDR olayı arasındaki bağlam içi derin bağlantılar sayesinde her iki portalda da araştırmayı kolaylaştırın.
Microsoft'un birleşik SecOps platformunda Defender XDR ile Microsoft Sentinel tümleştirmesinin özellikleri hakkında daha fazla bilgi için Microsoft Defender portalında Microsoft Sentinel'e bakın.
Microsoft Defender XDR'ye bağlanma
Defender XDR'yi tümleştirme yönteminiz, Microsoft Sentinel'i Defender portalına eklemeyi mi yoksa Azure portalında çalışmaya devam mı etmek istediğinize bağlıdır.
Defender portalı entegrasyonu
Microsoft Sentinel'i Defender portalına eklerseniz ve Defender XDR lisansına sahipseniz, Microsoft Sentinel otomatik olarak Defender XDR'ye bağlanır. Defender XDR için veri bağlayıcısı sizin için otomatik olarak ayarlanır. Defender XDR bağlayıcısında yer alan uyarı sağlayıcıları için tüm veri bağlayıcılarının bağlantısı kesilir. Bu, aşağıdaki veri bağlayıcılarını içerir:
- Cloud Apps için Microsoft Defender (uyarılar)
- Uç Nokta için Microsoft Defender
- Kimlik için Microsoft Defender
- Office 365 için Microsoft Defender
- Microsoft Entra Kimlik Koruması
Azure portalı tümleştirmesi
Defender XDR verilerini Azure portalında Microsoft Sentinel ile eşitlemek istiyorsanız, Microsoft Sentinel'de Microsoft Defender XDR bağlayıcısını etkinleştirmeniz gerekir. Bağlayıcıyı etkinleştirdiğinizde, tüm Defender XDR olaylarını ve uyarı bilgilerini Microsoft Sentinel'e gönderir ve olayları eşitlenmiş olarak tutar.
İlk olarak, İçerik hub'ından Microsoft Sentinel için Microsoft Defender XDR çözümünü yükleyin. Ardından, olayları ve uyarıları toplamak için Microsoft Defender XDR veri bağlayıcısını etkinleştirin. Daha fazla bilgi için bkz . Microsoft Defender XDR'den Microsoft Sentinel'e veri bağlama.
Defender XDR veri bağlayıcısında uyarı ve olay toplamayı etkinleştirdikten sonra Defender XDR olayları, Defender XDR'de oluşturulduktan kısa süre sonra Microsoft Sentinel olayları kuyruğunda görünür. Defender XDR'de bir olayın oluşturulmasından Microsoft Sentinel'de görünmesine kadar 10 dakika kadar sürebilir. Bu olaylarda Uyarı ürün adı alanı Microsoft Defender XDR veya bileşen Defender hizmetlerinin adlarından birini içerir.
Alım maliyetleri
Defender XDR'den gelen ve SecurityAlert ile SecurityIncident tablolarını dolduran öğeler de dahil olmak üzere uyarılar ve olaylar, ücretsiz olarak Microsoft Sentinel'e alınır ve Microsoft Sentinel ile eşitlenir. tr-TR: Gelişmiş avcılık tabloları gibi DeviceInfo, DeviceFileEvents, EmailEvents ve diğer bileşenlerden gelen veri türleri için veri alımı ücretlendirilir.
Daha fazla bilgi için bkz Microsoft Sentinel fiyatlandırma ve faturalandırmasını anlama ve maliyetleri planlama.
Veri alımı davranışı
Defender XDR ile tümleşik ürünler tarafından oluşturulan uyarılar Defender XDR'ye gönderilir ve olaylar halinde gruplandırılır. Hem uyarılar hem de olaylar, Defender XDR bağlayıcısı aracılığıyla Microsoft Sentinel'e akar.
Bu işlemin istisnası Defender for Cloud'dur. Defender XDR aracılığıyla tüm uyarıları ve olayları almak için kiracı tabanlı Bulut için Defender uyarılarını etkinleştirme veya abonelik tabanlı uyarıları koruyup Bunları Azure portalında Microsoft Sentinel'deki olaylara yükseltme seçeneğiniz vardır.
Kullanılabilir seçenekler ve daha fazla bilgi için bkz:
- Microsoft Defender portalında Bulut için Microsoft Defender
- Microsoft Defender XDR tümleştirmesi ile Microsoft Defender for Cloud olaylarını al
Microsoft olay oluşturma kuralları
Aynı uyarılar için yinelenen olaylar oluşturulmasını önlemek için, Defender XDR ile tümleşik ürünleri bağlarken Microsoft olay oluşturma kuralları ayarı kapatılır. Defender XDR ile tümleşik ürünler Kimlik için Microsoft Defender, Office 365 için Microsoft Defender ve daha fazlasını içerir. Ayrıca, Defender portalının kendi olay oluşturma altyapısı olduğundan Microsoft olay oluşturma kuralları Defender portalında desteklenmez. Bu değişikliğin olası etkileri şunlardır:
Uyarı filtreleme. Microsoft Sentinel'in olay oluşturma kuralları, olay oluşturmak için kullanılacak uyarıları filtrelemenize olanak sağladı. Bu kurallar devre dışı bırakılarak, Microsoft Defender portalında uyarı ayarlamayı yapılandırarak veya istemediğiniz olayları engellemek veya kapatmak için otomasyon kurallarını kullanarak uyarı filtreleme özelliğini koruyun.
Olay başlıkları. Defender XDR bağlayıcısı etkinleştirildiğinde, artık olayların başlıklarını önceden belirtemezsiniz. Defender XDR bağıntı altyapısı, olay oluşturma işleminin başındadır ve oluşturduğu olayları otomatik olarak adlandırmaktadır. Bu değişiklik, olay adını koşul olarak kullanan oluşturduğunuz tüm otomasyon kurallarını etkilemekle yükümlüdür. Bu tehlikeyi önlemek için , otomasyon kurallarını tetikleme koşulları olarak olay adı dışındaki ölçütleri kullanın. Etiketleri kullanmanızı öneririz.
Zamanlanmış analiz kuralları. Microsoft Purview İçeriden Risk Yönetimi gibi Defender XDR ile tümleştirilmemiş diğer Microsoft güvenlik çözümleri veya ürünleri için Microsoft Sentinel'in olay oluşturma kurallarını kullanıyorsanız ve Defender portalına eklemeyi planlıyorsanız, olay oluşturma kurallarınızı zamanlanmış analiz kurallarıyla değiştirin.
Microsoft Sentinel ve çift yönlü senkronizasyon ile Microsoft Defender XDR olaylarıyla çalışma
Defender XDR olayları Microsoft Sentinel olayları kuyruğunda Microsoft Defender XDR ürün adıyla ve diğer Tüm Microsoft Sentinel olaylarına benzer ayrıntılar ve işlevlerle birlikte görünür. Her olay, Microsoft Defender portalındaki paralel olaya bir bağlantı içerir.
Defender XDR'de olay geliştikçe ve buna daha fazla uyarı veya varlık eklendikçe, Microsoft Sentinel olayı buna göre güncelleştirilir.
Defender XDR veya Microsoft Sentinel'de bir Defender XDR olayının durumunda, kapanış nedeninde veya atamasında yapılan değişiklikler, diğerinin olay kuyruğunda da benzer şekilde güncellenir. Eşitleme, olay değişikliği uygulandıktan hemen sonra her iki portalda da gerçekleşir ve gecikme olmadan gerçekleşir. En son değişiklikleri görmek için yenileme gerekebilir.
Defender XDR'de, bir olaydaki tüm uyarılar başka bir olaya aktarılabilir ve bu da olayların birleştirilmesiyle sonuçlanır. Bu birleştirme gerçekleştiğinde, Microsoft Sentinel olayları değişiklikleri yansıtır. Bir olay her iki özgün olaydan gelen tüm uyarıları içerir ve diğer olay otomatik olarak kapatılır ve "yeniden yönlendirildi" etiketi eklenir.
Not
Microsoft Sentinel'deki olaylar en fazla 150 uyarı içerebilir. Defender XDR olaylarında bundan daha fazlası olabilir. 150'den fazla uyarı içeren bir Defender XDR olayı Microsoft Sentinel ile eşitlenirse, Microsoft Sentinel olayı "150+" uyarılarına sahip olarak gösterilir ve Defender XDR'de tam uyarı kümesini gördüğünüz paralel olaya bir bağlantı sağlar.
Gelişmiş avcılık etkinliği koleksiyonu
Defender XDR bağlayıcısı, Defender XDR'den ve bileşen hizmetlerinden Microsoft Sentinel'e gelişmiş tehdit avcılığı olayları (bir tür ham olay verileri) akışla aktarmanıza da olanak tanır. Tüm Defender XDR bileşenlerinden gelişmiş tehdit avcılığı olaylarını toplayın ve bunları doğrudan Microsoft Sentinel çalışma alanınızdaki amaca yönelik yerleşik tablolara aktarın. Bu tablolar, Defender portalında kullanılan şema temel alınarak oluşturulmuştur ve ileri düzey avcılık olaylarının tamamına erişim imkanı sağlar ve aşağıdaki görevlere izin verir:
Mevcut Microsoft Defender for Endpoint/Office 365/Kimlik/Cloud Apps gelişmiş avlama sorgularınızı Microsoft Sentinel'e kolayca kopyalayın.
Uyarılarınız, avcılık ve araştırmanız hakkında daha fazla içgörü sağlamak ve bu olayları Microsoft Sentinel'deki diğer veri kaynaklarından gelen olaylarla ilişkilendirmek için ham olay günlüklerini kullanın.
Defender XDR'nin veya bileşenlerinin varsayılan 30 günlük saklama süresinin ötesine geçecek şekilde, günlükleri daha uzun süreyle saklayın. Bunu yapmak için çalışma alanınızın saklama alanını yapılandırabilir veya Log Analytics'te tablo başına saklamayı yapılandırabilirsiniz.
İlgili içerik
Bu belgede, Microsoft Sentinel'de Defender XDR bağlayıcısını etkinleştirmenin avantajlarını öğrendiniz.
- Microsoft Defender XDR'den Microsoft Sentinel'e veri bağlama
- Defender portalında Microsoft Sentinel'i kullanmak için bkz . Microsoft Sentinel'i Microsoft Defender portalına bağlama.
- Farklı Microsoft 365 ve Azure bulutlarında farklı Microsoft Defender XDR veri türlerinin kullanılabilirliğini denetleyin.