你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

连接从 Microsoft Defender XDR 到 Microsoft Sentinel 的数据

项目
12/09/2023

Microsoft Sentinel 的 Microsoft Defender XDR 连接器与事件集成允许将所有 Microsoft Defender XDR 事件和警报流式传输到 Microsoft Sentinel，并使事件在两个门户之间保持同步。 Microsoft Defender XDR 事件包括其所有警报、实体和其他相关信息。它们还包括来自 Microsoft Defender XDR 组件服务的 Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for 办公室 365 和 Microsoft Defender for Cloud Apps 中的警报，以及来自其他服务（如Microsoft Purview 数据丢失防护和Microsoft Entra ID 保护。 Microsoft Defender XDR 连接器还会从 Microsoft Defender for Cloud 引入事件，尽管为了同步这些事件的警报和实体，必须启用 Microsoft Defender for Cloud 连接器，否则 Microsoft Defender for Cloud 事件将显示为空。详细了解 Microsoft Defender for Cloud 的可用连接器。

利用此连接器，还可将来自上述所有 Defender 组件的高级搜寻事件流式传输到 Microsoft Sentinel，以便将这些 Defender 组件的高级搜寻查询复制到 Microsoft Sentinel 中；利用 Defender 组件的原始事件数据扩充 Sentinel 警报，从而提供更多见解；并在 Log Analytics 中以更长的保留期存储日志。

有关事件集成和高级搜寻事件收集的详细信息，请参阅 Microsoft Defender XDR 与 Microsoft Sentinel 的集成。

Microsoft Defender XDR 连接器现已正式发布。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

先决条件

必须具有 Microsoft Defender XDR 的有效许可证，如 Microsoft Defender XDR 先决条件中所述。
必须在要从中流式传输日志的租户上为用户分配全局管理员或安全管理员角色。
用户必须对 Microsoft Sentinel 工作区拥有读取和写入权限。
要对连接器设置进行任何更改，用户必须是与 Microsoft Sentinel 工作区关联的同一 Microsoft Entra 租户的成员。
从 Microsoft Sentinel 中的内容中心安装 Microsoft Defender XDR 的解决方案。有关更多信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

通过 MDI 进行 Active Directory 同步的先决条件

租户必须加入到 Microsoft Defender for Identity。
必须已安装 MDI 传感器。

连接到 Microsoft Defender XDR

在 Microsoft Sentinel 中，选择 数据连接器，从库中选择 Microsoft Defender XDR ，然后选择“ 打开连接器”页。

“配置”部分包含三个部分：

连接事件和警报启用 Microsoft Defender XDR 和 Microsoft Sentinel 之间的基本集成，并在两个平台之间同步事件及其警报。
连接实体支持通过 Microsoft Defender for Identity 将本地 Active Directory 用户标识集成到 Microsoft Sentinel 中。
连接事件支持从 Defender 组件收集原始高级搜寻事件。

下面更详细地介绍了这些。有关详细信息，请参阅 Microsoft Defender XDR 与 Microsoft Sentinel 的集成。

连接事件和警报

若要引入和同步 Microsoft Defender XDR 事件及其所有警报，请发送到 Microsoft Sentinel 事件队列：

选中带有“为这些产品关闭所有 Microsoft 事件创建规则。建议选中”标签的复选框，以避免事件重复。
（连接 Microsoft Defender XDR 连接器后，此检查框将不会显示。
选择连接事件和警报按钮。

注意

启用 Microsoft Defender XDR 连接器时，所有 Microsoft Defender XDR 组件的连接器（本文开头提及的连接器）都会在后台自动连接。若要断开其中一个组件的连接器的连接，必须先断开 Microsoft Defender XDR 连接器的连接。

若要查询 Microsoft Defender XDR 事件数据，请使用查询窗口中的以下语句：

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

连接实体

使用 Microsoft Defender for Identity 将用户实体从本地 Active Directory 同步到 Microsoft Sentinel。

验证是否满足通过 Microsoft Defender for Identity (MDI) 同步本地 Active Directory 用户的先决条件。

选择“转到 UEBA 配置页面”链接。
在“实体行为配置”页中，如果尚未启用 UEBA，请在页面顶部将开关移动到“开”。
选中“Active Directory (预览版)”复选框，然后选择“应用”。

连接事件

如果要从 Microsoft Defender for Endpoint 或 Microsoft Defender for Office 365 收集高级搜寻事件，可从其相应的高级搜寻表中收集以下类型的事件。

选中包含你要收集的事件类型的表的复选框：

表名称	事件类型
DeviceInfo	计算机信息，包括操作系统信息
DeviceNetworkInfo	设备的网络属性，包括物理适配器、IP 和 MAC 地址，以及连接的网络和域
DeviceProcessEvents	进程创建及相关事件
DeviceNetworkEvents	网络连接及相关事件
DeviceFileEvents	文件创建、修改和其他文件系统事件
DeviceRegistryEvents	注册表项的创建和修改
DeviceLogonEvents	设备上的登录和其他身份验证事件
DeviceImageLoadEvents	DLL 加载事件
DeviceEve	多个事件类型，包括由安全控制（例如 Windows Defender 防病毒和攻击保护）触发的事件
DeviceFileCertificateInfo	从终结点上的证书验证事件获取的签名文件的证书信息

表名称	事件类型
EmailAttachmentInfo	有关附加到电子邮件的文件的信息
EmailEvents	Microsoft 365 电子邮件事件，包括电子邮件传递和阻止事件
EmailPostDeliveryEvents	Microsoft 365 将电子邮件传送到收件人邮箱后发生的安全事件
EmailUrlInfo	有关电子邮件中的 URL 的信息

表名称	事件类型
IdentityDirectoryEvents	从本地 Active Directory 域控制器捕获的各种标识相关事件，例如密码更改、密码过期和用户主体名称 (UPN) 更改还包括域控制器上的系统事件
IdentityInfo	从各种服务（包括 Microsoft Entra ID）获取的有关用户帐户的信息
IdentityLogonEvents	由 Microsoft Defender for Identity 捕获的通过本地 Active Directory 进行的身份验证活动由 Microsoft Defender for Cloud Apps 捕获的与 Microsoft 联机服务相关的身份验证活动
IdentityQueryEvents	针对 Active Directory 对象（如用户、组、设备和域）执行的查询的相关信息

表名称	事件类型
CloudAppEvents	Microsoft Defender for Cloud Apps 涵盖的各种云应用和服务中的活动的相关信息

表名称	事件类型
AlertInfo	有关来自 Microsoft Defender XDR 组件的警报的信息
AlertEvidence	有关各种实体的信息 - 文件， IP 地址， URL，用户，设备 - 与来自 Microsoft Defender XDR 组件的警报相关联

单击“应用更改”。
若要在 Log Analytics 中查询高级搜寻表，请在“查询”窗口中输入上述列表中的表名。

验证数据引入

“连接器”页中的数据图指示你正在引入数据。你会注意到，每个突发事件、警报和事件都显示一行，事件行聚合了所有已启用的表中的事件量。启用连接器后，可使用以下 KQL 查询生成更具体的图。

对传入的 Microsoft Defender XDR 事件图使用以下 KQL 查询：

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

使用以下 KQL 查询可生成单个表的事件量图（请将 DeviceEvents 表更改为所选的表）：

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

在“后续步骤”选项卡中，可找到已包含的一些有用的工作簿、示例查询和分析规则模板。你可在现成虚拟机上运行或者修改并保存它们。

后续步骤

本文档介绍了如何使用 Microsoft Defender XDR 连接器将 Microsoft Defender XDR 事件和 Microsoft Defender 组件服务中的高级搜寻事件数据集成到 Microsoft Sentinel 中。若要详细了解 Microsoft Sentinel，请参阅以下文章：

了解如何洞悉数据和潜在威胁。
开始使用 Microsoft Sentinel 检测威胁。