Aracılığıyla paylaş


Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi

Tüm Defender XDR olaylarını ve gelişmiş tehdit avcılığı olaylarını Microsoft Sentinel'e aktarmak ve olayları ve olayları Azure ile Microsoft Defender portalları arasında eşitlenmiş tutmak için Microsoft Defender XDR'yi Microsoft Sentinel ile tümleştirin. Defender XDR'den gelen olaylar ilişkili tüm uyarıları, varlıkları ve ilgili bilgileri içerir ve Microsoft Sentinel'de önceliklendirme ve ön araştırma gerçekleştirmek için yeterli bağlam sağlar. Microsoft Sentinel'de olaylar Defender XDR ile çift yönlü olarak eşitlenmiş olarak kalır ve olay araştırmanızda her iki portalın da avantajlarından yararlanmanızı sağlar.

Alternatif olarak, Microsoft Sentinel'i Defender XDR ile Defender portalındaki birleşik güvenlik işlemleri platformuna ekleme. Birleşik güvenlik operasyonları platformu, Microsoft Sentinel, Defender XDR ve özellikle siber güvenlik için oluşturulan üretken yapay zekanın tüm özelliklerini bir araya getirir. Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Microsoft Sentinel ve Defender XDR

Microsoft Sentinel'i Microsoft Defender XDR hizmetleriyle tümleştirmek için aşağıdaki yöntemlerden birini kullanın:

  • Microsoft Defender XDR hizmet verilerini Microsoft Sentinel'e alın ve Azure portalında Microsoft Sentinel verilerini görüntüleyin. Microsoft Sentinel'de Defender XDR bağlayıcısını etkinleştirin.

  • Microsoft Sentinel ve Defender XDR'yi Microsoft Defender portalında tek bir birleşik güvenlik işlemleri platformuyla tümleştirin. Bu durumda, Defender olaylarınızın, uyarılarınızın, güvenlik açıklarınızın ve diğer güvenlik verilerinizin geri kalanıyla microsoft Sentinel verilerini doğrudan Microsoft Defender portalında görüntüleyin. Microsoft Sentinel'de Defender XDR bağlayıcısını etkinleştirin ve Microsoft Sentinel'i Defender portalındaki birleşik işlemler platformuna ekleme.

Hangi tümleştirme yöntemini kullandığınıza bağlı olarak Defender XDR ile Microsoft Sentinel tümleştirmesinin nasıl göründüğünü görmek için uygun sekmeyi seçin.

Aşağıdaki çizimde, Microsoft'un XDR çözümünün Microsoft Sentinel ile sorunsuz bir şekilde nasıl tümleştirileceği gösterilmektedir.

Microsoft Sentinel ve Microsoft XDR tümleştirmesinin diyagramı.

Bu diyagramda:

  • Kuruluşunuzun tamamında gelen sinyallerden elde edilen içgörüler Microsoft Defender XDR ve Bulut için Microsoft Defender...
  • Microsoft Defender XDR ve Bulut için Microsoft Defender SIEM günlük verilerini Microsoft Sentinel bağlayıcıları aracılığıyla gönderir.
  • SecOps ekipleri daha sonra Microsoft Sentinel ve Microsoft Defender XDR'de tanımlanan tehditleri analiz edebilir ve yanıtlayabilir.
  • Microsoft Sentinel, çoklu bulut ortamları için destek sağlar ve üçüncü taraf uygulamalar ve iş ortakları ile tümleşir.

Olay bağıntısı ve uyarıları

Defender XDR'nin Microsoft Sentinel ile tümleştirilmesiyle, Defender XDR olayları Microsoft Sentinel'in içinden görünür ve yönetilebilir. Bu, tüm kuruluş genelinde birincil olay kuyruğu sağlar. Defender XDR olaylarını diğer tüm bulut ve şirket içi sistemlerinizdeki olaylarla birlikte görün ve ilişkilendirin. Bu tümleştirme aynı zamanda, Derinlemesine araştırmalar ve Microsoft 365 ekosistemi genelinde Defender'a özgü bir deneyim için Defender XDR'nin benzersiz güçlü yönlerinden ve özelliklerinden yararlanmanızı sağlar.

Defender XDR, birden çok Microsoft Defender ürününden gelen uyarıları zenginleştirir ve gruplandırır; hem SOC'nin olay kuyruğunun boyutunu küçültür hem de çözüm süresini kısaltır. Defender XDR'nin Microsoft Sentinel ile tümleştirilmesine aşağıdaki Microsoft Defender ürün ve hizmetlerinden gelen uyarılar da dahildir:

  • Uç nokta için Microsoft Defender
  • Kimlik için Microsoft Defender
  • Office 365 için Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender Güvenlik Açığı Yönetimi

Uyarıları Defender XDR tarafından toplanan diğer hizmetler şunlardır:

  • Microsoft Purview Veri Kaybı Önleme (Daha fazla bilgi edinin)
  • Microsoft Entra Kimlik Koruması (Daha fazla bilgi edinin)

Defender XDR bağlayıcısı, Bulut için Microsoft Defender olayları da getirir. Bu olaylardan gelen uyarıları ve varlıkları da eşitlemek için Microsoft Sentinel'de Bulut için Defender bağlayıcısını etkinleştirmeniz gerekir. Aksi takdirde, Bulut için Defender olaylarınız boş görünür. Daha fazla bilgi için bkz. Microsoft Defender XDR tümleştirmesiyle Bulut için Microsoft Defender olayları alma.

Defender XDR, bu bileşenlerden ve diğer hizmetlerden uyarı toplamaya ek olarak kendi uyarılarını oluşturur. Tüm bu uyarılardan olaylar oluşturur ve bunları Microsoft Sentinel'e gönderir.

Yaygın kullanım örnekleri ve senaryolar

Aşağıdaki kullanım örnekleri ve senaryolar için Defender XDR'yi Microsoft Sentinel ile tümleştirmeyi göz önünde bulundurun:

  • Microsoft Sentinel'i Microsoft Defender portalında birleşik güvenlik operasyonları platformuna ekleme. Defender XDR bağlayıcısını etkinleştirmek önkoşuldur.

  • Defender XDR bileşenlerindeki tüm uyarılar ve varlıklar dahil olmak üzere Defender XDR olaylarının Microsoft Sentinel'e tek tıklamayla bağlanmasını etkinleştirin.

  • Microsoft Sentinel ile Defender XDR olayları arasında durum, sahip ve kapanış nedenleriyle çift yönlü eşitlemeye izin verin.

  • Microsoft Sentinel'de Defender XDR uyarı gruplandırma ve zenginleştirme özelliklerini uygulayarak çözümlenme süresini kısaltın.

  • Microsoft Sentinel olayı ile paralel Defender XDR olayı arasındaki bağlam içi derin bağlantılar sayesinde her iki portalda da araştırmayı kolaylaştırın.

Birleşik güvenlik işlemleri platformunda Defender XDR ile Microsoft Sentinel tümleştirmesinin özellikleri hakkında daha fazla bilgi için Microsoft Defender portalında Microsoft Sentinel'e bakın.

Microsoft Defender XDR'ye bağlanma

Tüm Defender XDR olaylarını ve uyarı bilgilerini Microsoft Sentinel'e göndermek ve olayları eşitlenmiş durumda tutmak için Microsoft Sentinel'de Microsoft Defender XDR bağlayıcısını etkinleştirin.

  • İlk olarak, İçerik hub'ından Microsoft Sentinel için Microsoft Defender XDR çözümünü yükleyin. Ardından, olayları ve uyarıları toplamak için Microsoft Defender XDR veri bağlayıcısını etkinleştirin. Daha fazla bilgi için bkz . Microsoft Defender XDR'den Microsoft Sentinel'e veri bağlama.

  • Defender XDR veri bağlayıcısında uyarı ve olay toplamayı etkinleştirdikten sonra Defender XDR olayları, Defender XDR'de oluşturulduktan kısa süre sonra Microsoft Sentinel olayları kuyruğunda görünür. Defender XDR'de bir olayın oluşturulmasından Microsoft Sentinel'de görünmesine kadar 10 dakika kadar sürebilir. Bu olaylarda Uyarı ürün adı alanı Microsoft Defender XDR veya bileşen Defender hizmetlerinin adlarından birini içerir.

  • Microsoft Sentinel çalışma alanınızı Defender portalındaki birleşik güvenlik işlemleri platformuna eklemek için bkz . Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama.

Alım maliyetleri

SecurityAlert ve SecurityIncident tablolarını dolduran öğeler de dahil olmak üzere Defender XDR'den gelen uyarılar ve olaylar ücretsiz olarak Microsoft Sentinel'e alınır ve microsoft sentinel ile eşitlenir. DeviceInfo, DeviceFileEvents, EmailEvents vb. Gelişmiş tehdit avcılığı tabloları gibi tek tek Defender bileşenlerinden gelen diğer tüm veri türleri için veri alımı ücretlendirilir. Daha fazla bilgi için bkz . Maliyetleri planlama ve Microsoft Sentinel fiyatlandırması ile faturalamasını anlama.

Veri alımı davranışı

Defender XDR bağlayıcısı etkinleştirildiğinde, Defender XDR tümleşik ürünleri tarafından oluşturulan uyarılar Defender XDR'ye gönderilir ve olaylar halinde gruplandırılır. Hem uyarılar hem de olaylar, Defender XDR bağlayıcısı aracılığıyla Microsoft Sentinel'e akar. Tek tek bileşen bağlayıcılarından herhangi birini önceden etkinleştirdiyseniz, bunlar bağlantıda kalır, ancak hiçbir veri akışı yapılmaz.

Bu işlemin özel durumu Bulut için Microsoft Defender. Defender XDR ile tümleştirmesi, Defender XDR aracılığıyla Bulut için Defender olayları aldığınız anlamına gelse de, Bulut için Defender uyarıları almak için bir Bulut için Microsoft Defender bağlayıcısı da etkinleştirmeniz gerekir. Kullanılabilir seçenekler ve daha fazla bilgi için aşağıdaki makalelere bakın:

Microsoft olay oluşturma kuralları

Aynı uyarılar için yinelenen olaylar oluşturulmasını önlemek için, Defender XDR ile tümleşik Defender XDR'ye bağlanırken Microsoft olay oluşturma kuralları ayarı kapatılır. Defender XDR ile tümleşik ürünler Kimlik için Microsoft Defender, Office 365 için Microsoft Defender ve daha fazlasını içerir. Ayrıca, Microsoft olay oluşturma kuralları birleşik güvenlik operasyonları platformunda desteklenmez. Defender XDR'nin kendi olay oluşturma kuralları vardır. Bu değişikliğin olası etkileri şunlardır:

  • Microsoft Sentinel'in olay oluşturma kuralları, olay oluşturmak için kullanılacak uyarıları filtrelemenize olanak sağladı. Bu kurallar devre dışı bırakılarak, Microsoft Defender portalında uyarı ayarlamayı yapılandırarak veya istemediğiniz olayları engellemek veya kapatmak için otomasyon kurallarını kullanarak uyarı filtreleme özelliğini koruyun.

  • Defender XDR bağlayıcısını etkinleştirdikten sonra artık olayların başlıklarını önceden belirtemezsiniz. Defender XDR bağıntı altyapısı, olay oluşturma işleminin başındadır ve oluşturduğu olayları otomatik olarak adlandırmaktadır. Bu değişiklik, olay adını koşul olarak kullanan oluşturduğunuz tüm otomasyon kurallarını etkilemekle yükümlüdür. Bu tehlikeyi önlemek için , otomasyon kurallarını tetikleme koşulları olarak olay adı dışındaki ölçütleri kullanın. Etiketleri kullanmanızı öneririz.

  • Microsoft Purview İçeriden Risk Yönetimi gibi Defender XDR ile tümleştirilmemiş diğer Microsoft güvenlik çözümleri veya ürünleri için Microsoft Sentinel'in olay oluşturma kurallarını kullanıyorsanız ve Defender portalında birleşik güvenlik operasyonları platformuna eklemeyi planlıyorsanız, olay oluşturma kurallarınızı zamanlanmış analiz kurallarıyla değiştirin.

Microsoft Sentinel ve çift yönlü eşitlemede Microsoft Defender XDR olaylarıyla çalışma

Defender XDR olayları Microsoft Sentinel olayları kuyruğunda Microsoft Defender XDR ürün adıyla ve diğer Tüm Microsoft Sentinel olaylarına benzer ayrıntılar ve işlevlerle birlikte görünür. Her olay, Microsoft Defender portalındaki paralel olaya bir bağlantı içerir.

Defender XDR'de olay geliştikçe ve buna daha fazla uyarı veya varlık eklendikçe, Microsoft Sentinel olayı buna göre güncelleştirilir.

Defender XDR veya Microsoft Sentinel'de bir Defender XDR olayının durumunda, kapanış nedeninde veya atamasında yapılan değişiklikler, benzer şekilde diğerinin olay kuyruğunda da buna göre güncelleştirilir. Eşitleme, olay değişikliği uygulandıktan hemen sonra her iki portalda da gerçekleşir ve gecikme olmadan gerçekleşir. En son değişiklikleri görmek için yenileme gerekebilir.

Defender XDR'de, bir olaydaki tüm uyarılar başka bir olaya aktarılabilir ve bu da olayların birleştirilmesiyle sonuçlanır. Bu birleştirme gerçekleştiğinde, Microsoft Sentinel olayları değişiklikleri yansıtır. Bir olay her iki özgün olaydan gelen tüm uyarıları içerir ve diğer olay otomatik olarak kapatılır ve "yeniden yönlendirildi" etiketi eklenir.

Not

Microsoft Sentinel'deki olaylar en fazla 150 uyarı içerebilir. Defender XDR olaylarında bundan daha fazlası olabilir. 150'den fazla uyarı içeren bir Defender XDR olayı Microsoft Sentinel ile eşitlenirse, Microsoft Sentinel olayı "150+" uyarılarına sahip olarak gösterilir ve Defender XDR'de tam uyarı kümesini gördüğünüz paralel olaya bir bağlantı sağlar.

Gelişmiş tehdit avcılığı olay koleksiyonu

Defender XDR bağlayıcısı, Defender XDR'den ve bileşen hizmetlerinden Microsoft Sentinel'e gelişmiş tehdit avcılığı olayları (bir tür ham olay verileri) akışla aktarmanıza da olanak tanır. Tüm Defender XDR bileşenlerinden gelişmiş tehdit avcılığı olaylarını toplayın ve bunları doğrudan Microsoft Sentinel çalışma alanınızdaki amaca yönelik yerleşik tablolara aktarın. Bu tablolar, Defender portalında kullanılan şema üzerinde oluşturulur ve gelişmiş tehdit avcılığı olaylarının tamamına tam erişim sağlar ve aşağıdaki görevlere izin verir:

  • Mevcut Uç Nokta için Microsoft Defender/Office 365/Identity/Cloud Apps gelişmiş tehdit avcılığı sorgularınızı Microsoft Sentinel'e kolayca kopyalayın.

  • Uyarılarınız, avcılık ve araştırmanız hakkında daha fazla içgörü sağlamak ve bu olayları Microsoft Sentinel'deki diğer veri kaynaklarından gelen olaylarla ilişkilendirmek için ham olay günlüklerini kullanın.

  • Günlükleri, Defender XDR'nin veya bileşenlerinin varsayılan saklama süresi 30 gün dışında daha fazla saklama ile depolayın. Bunu yapmak için çalışma alanınızın saklama alanını yapılandırabilir veya Log Analytics'te tablo başına saklamayı yapılandırabilirsiniz.

Bu belgede, Microsoft Sentinel'de Defender XDR bağlayıcısını etkinleştirmenin avantajlarını öğrendiniz.