Aracılığıyla paylaş


Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi

Microsoft Sentinel'in Microsoft Defender XDR olay tümleştirmesi, tüm Microsoft Defender XDR olaylarını Microsoft Sentinel'e akışla aktarıp her iki portal arasında eşitlenmiş durumda tutmanızı sağlar. Microsoft Defender XDR'den gelen olaylar ilişkili tüm uyarıları, varlıkları ve ilgili bilgileri içerir ve Microsoft Sentinel'de önceliklendirme ve ön araştırma gerçekleştirmek için yeterli bağlam sağlar. Sentinel'de olaylar Microsoft Defender XDR ile çift yönlü olarak eşitlenmiş olarak kalır ve olay araştırmanızda her iki portalın da avantajlarından yararlanmanızı sağlar.

Bu tümleştirme, Microsoft 365 güvenlik olaylarına, tüm kuruluş genelindeki birincil olay kuyruğunun bir parçası olarak Microsoft Sentinel'in içinden yönetilecek görünürlük sağlar. Böylece Microsoft 365 olaylarını diğer tüm bulut ve şirket içi sistemlerinizdeki olaylarla birlikte görebilir ve ilişkilendirebilirsiniz. Aynı zamanda, microsoft 365 ekosistemi genelinde ayrıntılı araştırmalar ve Microsoft 365'e özgü bir deneyim için Microsoft Defender XDR'nin benzersiz güçlü yönlerinden ve özelliklerinden yararlanmanızı sağlar. Microsoft Defender XDR, birden çok Microsoft 365 ürününden gelen uyarıları zenginleştirir ve gruplandırır; hem SOC'nin olay kuyruğunun boyutunu küçültür hem de çözüm süresini kısaltır. Microsoft Defender XDR yığınının parçası olan bileşen hizmetleri şunlardır:

  • Uç Nokta için Microsoft Defender
  • Kimlik için Microsoft Defender
  • Office 365 için Microsoft Defender
  • Bulut için Microsoft Defender Uygulamaları
  • Bulut için Microsoft Defender

Uyarıları Microsoft Defender XDR tarafından toplanan diğer hizmetler şunlardır:

  • Microsoft Purview Veri Kaybı Önleme (Daha fazla bilgi edinin)
  • Microsoft Entra Kimlik Koruması (Daha fazla bilgi edinin)

Microsoft Defender XDR, bu bileşenlerden ve diğer hizmetlerden uyarı toplamaya ek olarak kendi uyarılarını oluşturur. Tüm bu uyarılardan olaylar oluşturur ve bunları Microsoft Sentinel'e gönderir.

Yaygın kullanım örnekleri ve senaryolar

  • Microsoft Sentinel'in Microsoft Defender portalında birleşik güvenlik operasyonları platformuna eklendiğinden, Microsoft Defender XDR tümleştirmesini etkinleştirmek gerekli bir erken adımdır.

  • Microsoft Defender XDR bileşenlerindeki tüm uyarılar ve varlıklar dahil olmak üzere Microsoft Defender XDR olaylarının Microsoft Sentinel'e tek tıklamayla bağlanması.

  • Durum, sahip ve kapanış nedeni üzerinde Sentinel ve Microsoft Defender XDR olayları arasında çift yönlü eşitleme.

  • Microsoft Sentinel'de Microsoft Defender XDR uyarı gruplandırma ve zenginleştirme özelliklerinin uygulanması, böylece çözümlenme süresini kısaltıyor.

  • Her iki portalda da araştırmayı kolaylaştırmak için bir Microsoft Sentinel olayı ile paralel Microsoft Defender XDR olayı arasındaki bağlam içi derin bağlantı.

Microsoft Defender XDR'ye Bağlan

("Microsoft Defender XDR olayları ve Microsoft olay oluşturma kuralları" burada yeniden yönlendirir.)

Microsoft Sentinel için Microsoft Defender XDR çözümünü yükleyin ve Microsoft Defender XDR veri bağlayıcısının olayları ve uyarıları toplamasını etkinleştirin. Microsoft Defender XDR olayları, Microsoft Defender XDR'de oluşturulduktan kısa süre sonra Uyarı ürün adı alanında Microsoft Defender XDR (veya bileşen hizmetlerinin adlarından biri) ile Microsoft Sentinel olayları kuyruğunda görünür.

  • Bir olayın Microsoft Defender XDR'de oluşturulmasından Microsoft Sentinel'de görünmesine kadar 10 dakika kadar sürebilir.

  • Microsoft Defender XDR'den gelen uyarılar ve olaylar (SecurityAlert ve SecurityIncident tablolarını dolduran öğeler) ücretsiz olarak Microsoft Sentinel'e alınır ve microsoft sentinel ile eşitlenir. Tek tek Defender bileşenlerinden (DeviceInfo, DeviceFileEvents, EmailEvents vb. Gelişmiş tehdit avcılığı tabloları gibi) diğer tüm veri türleri için veri alımı ücretlendirilir.

  • Microsoft Defender XDR bağlayıcısı etkinleştirildiğinde, bileşen hizmetleri (Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Bulut için Defender Uygulamalar, Microsoft Entra Kimlik Koruması) tarafından oluşturulan uyarılar Microsoft Defender XDR'ye gönderilir ve Olay. Hem uyarılar hem de olaylar Microsoft Defender XDR bağlayıcısı aracılığıyla Microsoft Sentinel'e akacak. Bileşen bağlayıcılarından herhangi birini önceden etkinleştirdiyseniz, bunlar bağlı olarak kalır, ancak bunlar içinden veri akışı yapılmaz.

    Bu işlemin özel durumu Bulut için Microsoft Defender. Microsoft Defender XDR ile tümleştirmesi, Defender XDR aracılığıyla Bulut için Defender olayları aldığınız anlamına gelse de, Bulut için Defender uyarıları almak için bir Bulut için Microsoft Defender bağlayıcısı da etkinleştirmeniz gerekir. Kullanılabilir seçenekler ve daha fazla bilgi için bkz. Microsoft Defender XDR tümleştirmesiyle Bulut için Microsoft Defender olayları alma.

  • Benzer şekilde, aynı uyarılar için yinelenen olaylar oluşturmamak için Microsoft Defender XDR tümleşik ürünleri (Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Bulut için Defender Uygulamaları ve Microsoft Entra Kimlik Koruması) öğesini seçin. Bunun nedeni Defender XDR'nin kendi olay oluşturma kurallarına sahip olmasıdır. Bu değişikliğin olası etkileri şunlardır:

    • Microsoft Sentinel'in olay oluşturma kuralları, olay oluşturmak için kullanılacak uyarıları filtrelemenize olanak sağladı. Bu kurallar devre dışı bırakılarak, Microsoft Defender portalında uyarı ayarlamayı yapılandırarak veya oluşturulmasını istemediğiniz olayları engellemek (kapatmak) için otomasyon kurallarını kullanarak uyarı filtreleme özelliğini koruyabilirsiniz.

    • Microsoft Defender XDR bağıntı altyapısı, olay oluşturma işlemini önlediğinden ve oluşturduğu olayları otomatik olarak adlandırdığından, artık olayların başlıklarını önceden belirtemezsiniz. Bu değişiklik, olay adını koşul olarak kullanan oluşturduğunuz tüm otomasyon kurallarını etkilemekle yükümlüdür. Bu tehlikeyi önlemek için, otomasyon kurallarını tetikleme koşulları olarak olay adı dışındaki ölçütleri (etiketleri kullanmanızı öneririz) kullanın.

Microsoft Sentinel ve çift yönlü eşitlemede Microsoft Defender XDR olaylarıyla çalışma

Microsoft Defender XDR olayları Microsoft Sentinel olayları kuyruğunda Microsoft Defender XDR ürün adıyla ve diğer Sentinel olaylarına benzer ayrıntılar ve işlevlerle gösterilir. Her olay, Microsoft Defender Portalı'ndaki paralel olaya bir bağlantı içerir.

Microsoft Defender XDR'de olay geliştikçe ve buna daha fazla uyarı veya varlık eklendikçe, Microsoft Sentinel olayı buna göre güncelleştirilir.

Microsoft Defender XDR veya Microsoft Sentinel'de bir Microsoft Defender XDR olayının durumunda, kapanış nedeninde veya atamasında yapılan değişiklikler, benzer şekilde diğerinin olaylar kuyruğunda da güncelleştirilir. Eşitleme, olay değişikliği uygulandıktan hemen sonra her iki portalda da gerçekleşir ve gecikme olmaz. En son değişiklikleri görmek için yenileme gerekebilir.

Microsoft Defender XDR'de, bir olaydaki tüm uyarılar başka bir olaya aktarılabilir ve bu da olayların birleştirilmesiyle sonuçlanır. Bu birleştirme gerçekleştiğinde, Microsoft Sentinel olayları değişiklikleri yansıtır. Bir olay her iki özgün olaydan gelen tüm uyarıları içerir ve diğer olay otomatik olarak kapatılır ve "yeniden yönlendirildi" etiketi eklenir.

Not

Microsoft Sentinel'deki olaylar en fazla 150 uyarı içerebilir. Microsoft Defender XDR olaylarında bundan daha fazlası olabilir. 150'den fazla uyarı içeren bir Microsoft Defender XDR olayı Microsoft Sentinel ile eşitlenirse, Sentinel olayı "150+" uyarılarına sahip olarak gösterilir ve Microsoft Defender XDR'de tüm uyarı kümesini görebileceğiniz paralel olaya bir bağlantı sağlar.

Gelişmiş tehdit avcılığı olay koleksiyonu

Microsoft Defender XDR bağlayıcısı, Microsoft Defender XDR'den ve bileşen hizmetlerinden Microsoft Sentinel'e bir tür ham olay verisi olan gelişmiş tehdit avcılığı olaylarını akışla aktarmanıza da olanak tanır. Artık (Nisan 2022'den itibaren) tüm Microsoft Defender XDR bileşenlerinden gelişmiş tehdit avcılığı olaylarını toplayabilir ve bunları doğrudan Microsoft Sentinel çalışma alanınızdaki amaca özel tablolar halinde akışla aktarabilirsiniz. Bu tablolar, Microsoft Defender Portalı'nda kullanılan şema üzerinde oluşturulur ve gelişmiş tehdit avcılığı olaylarının tamamına tam erişim sağlar ve aşağıdakileri yapmanıza olanak sağlar:

  • Mevcut Uç Nokta için Microsoft Defender/Office 365/Identity/Cloud Apps gelişmiş tehdit avcılığı sorgularınızı Microsoft Sentinel'e kolayca kopyalayın.

  • Uyarılarınız, avcılık ve araştırmanız hakkında daha fazla içgörü sağlamak ve bu olayları Microsoft Sentinel'deki diğer veri kaynaklarından gelen olaylarla ilişkilendirmek için ham olay günlüklerini kullanın.

  • Günlükleri, Microsoft Defender XDR'nin veya bileşenlerinin varsayılan saklama süresi 30 gün dışında daha fazla saklama ile depolayın. Bunu yapmak için çalışma alanınızın saklama alanını yapılandırabilir veya Log Analytics'te tablo başına saklamayı yapılandırabilirsiniz.

Sonraki adımlar

Bu belgede, Microsoft Defender XDR'yi Microsoft Defender XDR bağlayıcısını kullanarak Microsoft Sentinel ile birlikte kullanmanın avantajlarından nasıl yararlanabileceğinizi öğrendiniz.