你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Defender XDR 与 Microsoft Sentinel 集成

项目
04/21/2024

通过 Microsoft Sentinel 的 Microsoft Defender XDR 事件集成，可将所有 Microsoft Defender XDR 事件都流式传输到 Microsoft Sentinel，并使这些事件在两个门户之间保持同步。来自 Microsoft Defender XDR 的事件包括所有关联警报、实体和相关信息，为你提供足够的上下文，以便在 Microsoft Sentinel 中执行会审和初步调查。传输到 Sentinel 后，事件将与 Microsoft Defender XDR 保持双向同步，让你能够在事件调查中利用这两个门户的优势。

此集成使 Microsoft 365 安全事件在 Microsoft Sentinel 内部作为整个组织中主要事件队列的一部分进行管理变得可见，因此你可以查看 Microsoft 365 事件并将其与所有其他云和本地系统中的事件关联起来。同时，此集成还可让你利用 Microsoft Defender XDR 的独特优势和功能进行深入调查，并在整个 Microsoft 365 生态系统中获得特定于 Microsoft 365 的体验。 Microsoft Defender XDR 将来自多个 Microsoft 365 产品的警报进行了扩充和分组，既减小了 SOC 事件队列的大小，又缩短了解决时间。属于 Microsoft Defender XDR 堆栈的组件服务包括：

用于终结点的 Microsoft Defender
Microsoft Defender for Identity
Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud

Microsoft Defender XDR 收集其警报的其他服务包括：

Microsoft Purview 数据丢失防护（了解详细信息）
Microsoft Entra ID 防护（了解详细信息）

除了从这些组件和其他服务收集警报外，Microsoft Defender XDR 还会生成自己的警报。它从所有这些警报创建事件，并将其发送到 Microsoft Sentinel。

常见用例和场景

将 Microsoft Sentinel 载入到 Microsoft Defender 门户中的统一安全操作平台，其中启用 Microsoft Defender XDR 集成是一个必需的早期步骤。
将 Microsoft Defender XDR 事件（包括来自 Microsoft Defender XDR 组件的所有警报和实体）一键式连接到 Microsoft Sentinel。
Sentinel 和 Microsoft Defender XDR 事件之间在状态、所有者和关闭原因方面保持双向同步。
利用 Microsoft Sentinel 中的 Microsoft Defender XDR 警报分组和扩充功能，缩短解决时间。
在 Microsoft Sentinel 事件及其并行的 Microsoft Defender XDR 事件之间进行上下文深层链接，以便跨两个门户进行调查。

连接到 Microsoft Defender XDR

（“Microsoft Defender XDR 事件和 Microsoft 事件创建规则”会重定向到此处。）

安装适用于 Microsoft Sentinel 的 Microsoft Defender XDR 解决方案，并启用 Microsoft Defender XDR 数据连接器来收集事件和警报。在 Microsoft Defender XDR 中生成后不久，Microsoft Defender XDR 事件会出现在 Microsoft Sentinel 事件队列中，其中 Microsoft Defender XDR（或组件服务的名称之一）位于“警报产品名称”字段中。

从在 Microsoft Defender XDR 中生成事件到事件出现在 Microsoft Sentinel 中，最多可能需要 10 分钟。
来自 Microsoft Defender XDR 的警报和事件（填充 SecurityAlert 和 SecurityIncident 表的那些项）将免费引入 Microsoft Sentinel 并与其同步。对于来自各个 Defender 组件的所有其他数据类型（例如高级搜寻表、DeviceInfo、DeviceFileEvents、EmailEvents 等），将会收取引入费用。
启用 Microsoft Defender XDR 连接器后，其组件服务（Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps、Microsoft Entra ID 保护）创建的警报将发送到 Microsoft Defender XDR 并分组到事件中。警报和事件都将通过 Microsoft Defender XDR 连接器流向 Microsoft Sentinel。如果事先启用了任何单个组件连接器，它们似乎会保持连接状态，但不会有任何数据流经它们。

此过程的例外是 Microsoft Defender for Cloud。尽管它与 Microsoft Defender XDR 的集成意味着你将通过 Defender XDR 接收 Defender for Cloud 事件，但还需要启用 Microsoft Defender for Cloud 连接器才能接收 Defender for Cloud 警报。有关可用选项和详细信息，请参阅使用 Microsoft Defender XDR 集成引入 Microsoft Defender for Cloud 事件。
同样，为了避免对相同警报创建重复事件，在连接 Microsoft Defender XDR 时，将对 Microsoft 365 集成产品（Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps 和 Microsoft Entra ID 保护）禁用 Microsoft 事件创建规则。这是因为 Defender XDR 具有自己的事件创建规则。此更改具有以下潜在影响：
- Microsoft Sentinel 的事件创建规则允许筛选将会用于创建事件的警报。禁用这些规则后，可以通过在 Microsoft Defender 门户中配置警报优化，或通过使用自动化规则来抑制（关闭）不希望创建的事件来保留警报筛选功能。
- 由于 Microsoft Defender XDR 相关引擎主导事件创建，并自动为其创建的事件命名，因此无法再预先确定事件的标题。此更改可能会影响已创建的使用事件名称作为条件的任何自动化规则。为了避免此陷阱，请使用事件名称以外的条件（我们建议使用标记）作为触发自动化规则的条件。

在 Microsoft Sentinel 和双向同步中使用 Microsoft Defender XDR 事件

Microsoft Defender XDR 事件将出现在 Microsoft Sentinel 事件队列中，并显示其产品名称 Microsoft Defender XDR，并且具有与任何其他 Sentinel 事件类似的详细信息和功能。每个事件都包含一个返回 Microsoft Defender 门户中并行事件的链接。

随着事件在 Microsoft Defender XDR 中发展，且更多警报或实体添加到其中，Microsoft Sentinel 事件也将相应地进行更新。

在 Microsoft Defender XDR 或 Microsoft Sentinel 中对 Microsoft Defender XDR 事件的状态、关闭原因或分配所进行的更改同样会在另一个事件队列中相应地进行更新。在应用对事件所做的更改后，将立即在两个门户中进行同步，没有延迟。可能需要刷新才能查看最新更改。

在 Microsoft Defender XDR 中，来自一个事件的所有警报都可以传输到另一个事件，从而实现事件的合并。发生合并时，Microsoft Sentinel 事件将反映所进行的更改。一个事件将包含来自两个原始事件的所有警报，另一个事件将自动关闭，并添加“重定向”标记。

注意

Microsoft Sentinel 中的事件最多可以包含 150 个警报。 Microsoft Defender XDR 事件所包含的警报超过这个数量。如果将具有超过 150 个警报的 Microsoft Defender XDR 事件同步到 Microsoft Sentinel，则 Sentinel 事件将显示为具有“150+”个警报，并将提供指向 Microsoft Defender XDR 中的并行事件的链接，可在其中看到完整的警报集。

高级搜寻事件收集

利用 Microsoft Defender XDR 连接器，还可以将高级搜寻事件（原始事件数据的一种类型）从 Microsoft Defender XDR 及其组件服务流式传输到 Microsoft Sentinel。你现在（从 2022 年 4 月开始）可以从所有Microsoft Defender XDR 组件收集高级搜寻事件，并将它们直接流式传输到 Microsoft Sentinel 工作区中专门构建的表中。这些表是在 Microsoft Defender 门户中使用的相同架构上构建的，让你可以完全访问一组完整的高级搜寻事件，还可以执行以下操作：

将现有 Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps 高级搜寻查询轻松复制到 Microsoft Sentinel 中。
使用原始事件日志为警报、搜寻和调查提供进一步见解，并将这些事件与 Microsoft Sentinel 中其他数据源的事件关联起来。
以延长的保留期（超出 Microsoft Defender XDR 或其组件的默认 30 天保留期）存储日志。为此，可配置工作区的保留期，或在 Log Analytics 中配置每个表的保留期。

后续步骤

在本文档中，你学习了如何从通过 Microsoft Defender XDR 连接器将 Microsoft Defender XDR 与 Microsoft Sentinel 结合使用中获益。

获取有关如何启用 Microsoft Defender XDR 连接器的说明。
检查不同 Microsoft 365 和 Azure 云中不同 Microsoft Defender XDR 数据类型的可用性。
创建自定义警报并调查事件。