Microsoft Defender 全面偵測回應與 Microsoft Sentinel 的整合

發行項
06/29/2024
適用於:

Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

整合 Microsoft Defender 全面偵測回應與 Microsoft Sentinel，將所有 Defender 全面偵測回應事件和進階搜捕事件串流至 Microsoft Sentinel，並讓事件和活動在兩個入口網站之間保持同步。 Microsoft Defender 全面偵測回應的事件包括所有關聯的警示、實體與相關資訊，供您掌握所有內容，以便於 Microsoft Sentinel 執行分級與初步調查。進入 Microsoft Sentinel 後，事件會與 Defender 全面偵測回應維持雙向同步，供您於事件調查時利用兩個入口網站的優點。

重要

Microsoft Sentinel 可做為 Microsoft Defender 入口網站中統一安全性作業平台的一部分。現在支援 Defender 入口網站中的 Microsoft Sentinel 供實際執行環境使用。如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

事件相互關聯和警示

整合可提供 Defender 全面偵測回應安全性事件從 Microsoft Sentinel 內管理的可見度，作為整個組織主要事件佇列的一部分。查看並讓 Defender 全面偵測回應事件與來自所有其他雲端和內部部署系統的事件相互關聯。同時，此整合也可讓您利用 Defender 全面偵測回應的獨有優點和功能，在 Microsoft 365 生態系統中進行深入調查和獲得 Defender 特定體驗。 Defender 全面偵測回應擴充和群組來自多個 Microsoft Defender 產品的警示，這兩者都會減少 SOC 事件佇列的大小，並縮短解決時間。下列 Microsoft Defender 產品和服務的警示也包含在 Defender 全面偵測回應與 Microsoft Sentinel 整合中：

適用於端點的 Microsoft Defender
適用於身分識別的 Microsoft Defender
適用於 Office 365 的 Microsoft Defender
適用於雲端應用程式的 Microsoft Defender
Microsoft Defender 弱點管理

Defender 全面偵測回應收集警示的其他服務包括：

Microsoft Purview 資料外洩防護 (深入了解)
Microsoft Entra ID Protection (深入了解)

Defender 全面偵測回應連接器也會從適用於雲端的 Microsoft Defender 帶來事件。若要同步處理這些事件的警示和實體，您必須啟用適用於雲端的 Microsoft Defender 連接器。否則，適用於雲端的 Microsoft Defender 事件會顯示空白。如需詳細資訊，請參閱擷取適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應整合。

除了從這些元件和其他服務收集警示外，Microsoft Defender 全面偵測回應也會產生自己的警示。這會從所有這些警示建立事件，並傳送至 Microsoft Sentinel。

常見使用案例和個案

請考慮針對下列使用案例和案例，將 Defender 全面偵測回應與 Microsoft Sentinel 整合：

將 Microsoft Sentinel 上線至 Microsoft Defender 入口網站中的整合安全性作業平台。啟用 Defender 全面偵測回應連接器是必要條件。如需詳細資訊，請參閱將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應。
啟用單鍵連線 Defender 全面偵測回應事件，包括 Defender 全面偵測回應元件中的所有警示和實體，連線到 Microsoft Sentinel。
允許 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應事件間雙向同步處理狀態、擁有者和關閉原因。
在 Microsoft Sentinel 中套用 Microsoft Defender 全面偵測回應警示群組和擴充功能，進而縮短解決時間。
透過 Microsoft Sentinel 事件與其平行 Defender 全面偵測回應事件之間的內容中深層連結，協助在這兩個入口網站之間進行調查。

如需整合安全性作業平台中 Microsoft Sentinel 與 Defender 全面偵測回應整合功能的詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

正在連線至 Microsoft Defender 全面偵測回應

從 [內容中樞] 安裝適用於 Microsoft Sentinel 的 [Microsoft Defender 全面偵測回應] 解決方案。然後，啟用 [Microsoft Defender 全面偵測回應] 資料連接器來收集事件和警示。如需詳細資訊，請參閱將資料從 Microsoft Defender 全面偵測回應連線到 Microsoft Sentinel。

若要將 Microsoft Sentinel 上線至 Defender 入口網站中的整合安全性作業平台，請參閱將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應。

在 Defender 全面偵測回應資料連接器中啟用警示和事件收集之後，Defender 全面偵測回應事件在 Defender 全面偵測回應中產生後不久會出現在 Microsoft Sentinel 事件佇列中。在這些事件中，[警示產品名稱] 欄位包含 Microsoft Defender 全面偵測回應或其中一個元件 Defender 服務的名稱。

從事件產生 Defender 全面偵測回應到出現在 Microsoft Sentinel 的時間，最多可能需要 10 分鐘的時間。
來自 Defender 全面偵測回應的警示和事件 (填入 SecurityAlert 和 SecurityIncident 資料表的那些項目) 會免費擷取並與 Microsoft Sentinel 同步處理。針對個別 Defender 元件的其他所有資料類型 (例如進階搜捕資料表 DeviceInfo、DeviceFileEvents、EmailEvents 等等)，擷取會收取費用。
啟用 Defender 全面偵測回應連接器時，Defender 全面偵測回應整合式產品所建立的警示會傳送至 Defender 全面偵測回應，並分組為事件。警示和事件都會透過 Defender 全面偵測回應連接器流向 Microsoft Sentinel。如果您事先啟用任何個別元件連接器，它們似乎仍然保持連線，但不會有任何資料經過它們。

此程序的例外狀況是適用於雲端的 Microsoft Defender。雖然其與 Defender 全面偵測回應整合表示您透過 Defender 全面偵測回應接收適用於雲端的 Defender 事件，但您也必須啟用適用於雲端的 Microsoft Defender 連接器，才能接收適用於雲端的 Defender 警示。如需可用選項和詳細資訊，請參閱下列文章：
- Microsoft Defender 入口網站中適用於雲端的 Microsoft Defender
- 擷取適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應整合
同樣地，為了避免建立相同警示的重複事件，當連線 Defender 全面偵測回應時，Microsoft 事件建立規則設定會針對 Defender 全面偵測回應整合產品關閉。這是因為 Defender 全面偵測回應有自己的事件建立規則。這項變更有下列潛在影響：
- Microsoft Sentinel 的事件建立規則可讓您篩選用來建立事件的警示。停用這些規則後，您可以設定在 Microsoft Defender 入口網站中的警示微調，或使用自動化規則以抑制 (關閉) 您不想要的事件，藉以保留警示篩選功能。
- 您再也無法預先決定事件的標題，因為 Defender 全面偵測回應相互關聯引擎會主持事件建立，並自動命名其所建立的事件。這項變更可能會影響您使用事件名稱作為條件所建立的任何自動化規則。若要避免這個陷阱，請使用事件名稱以外的準則作為觸發自動化規則的條件。建議您使用標籤。

在 Microsoft Sentinel 和雙向同步處理中使用 Microsoft Defender 全面偵測回應事件

Microsoft Defender 全面偵測回應事件會出現在 Microsoft Sentinel 事件佇列中，包含產品名稱 Microsoft Defender 全面偵測回應，以及與任何其他 Microsoft Sentinel 事件類似的詳細資料和功能。每個事件都包含 Microsoft Defender 入口網站中平行事件的連結。

隨著事件在 Microsoft Defender 全面偵測回應中演進，並新增更多警示或實體，Microsoft Sentinel 事件將會隨之更新。

在 Defender 全面偵測回應或 Microsoft Sentinel 中，對 Defender 全面偵測回應事件的狀態、關閉原因或指派所做的變更，也會在其他的事件佇列中據以更新。同步處理會在套用事件的變更之後，會立即在兩個入口網站中進行，且不會延遲。可能需要重新整理才能查看最新的變更。

在 Defender 全面偵測回應中，來自某個事件的所有警示都可以傳輸到另一個事件，進而合併事件。發生合併時，Microsoft Sentinel 事件會反映變更。一個事件將包含來自原始事件的所有警示，而其他事件將自動關閉，並加上「重新導向」標記。

注意

Microsoft Sentinel 中的事件最多可以包含 150 個警示。 Defender 全面偵測回應事件可能超過此數量。如果具有超過 150 個警示的 Defender 全面偵測回應事件已同步處理至 Microsoft Sentinel，Microsoft Sentinel 事件會顯示為具有「150+」警示，且會在 Defender 全面偵測回應中提供平行事件的連結，您可以在其中看到完整的警示集。

進階搜尋事件集合

Defender 全面偵測回應連接器也可將進階搜捕事件 (一種原始事件資料) 從 Defender 全面偵測回應及其元件服務串流到 Microsoft Sentinel。收集來自所有 Defender 全面偵測回應元件的進階搜捕事件，並將其直接串流至 Microsoft Sentinel 工作區中專門建置的資料表。這些資料表是以 Defender 入口網站中使用的相同結構描述為基礎所建置。這可讓您完整存取一組完整的進階搜捕事件，並可讓您執行下列工作：

將現有適用於端點/Office 365/雲端應用程式的 Microsoft Defender 進階搜尋查詢複製到 Microsoft Sentinel 中。
使用原始事件日志提供相關警報、搜尋和調查的更多見解，並將 Microsoft Sentinel 中其他資料來源建立關聯。
儲存加長保留期的記錄，超過 Defender 全面偵測回應或其元件的預設保留期 30 天。您可以藉由設定工作區的保留期，或在記錄分析中設定對應各資料表的保留期間以達到目的。

下一步

在本文件中，您已了解在 Microsoft Sentinel 中啟用 Defender 全面偵測回應連接器，以搭配 Microsoft Sentinel 使用 Defender 全面偵測回應的優點。

將資料從 Defender 全面偵測回應連線至 Microsoft Sentinel
若要使用 Defender 入口網站中的整合安全性作業平台，請參閱將資料從 Microsoft Defender 全面偵測回應連線至 Microsoft Sentinel。
檢查不同 Microsoft 365 和 Azure 雲端中不同 Microsoft Defender 全面偵測回應資料類型的可用性。
建立自訂警示並調查事件。

共用方式為