Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合

  • 發行項

Microsoft Sentinel 的 Microsoft Defender 全面偵測回應 事件整合可讓您將所有 Microsoft Defender 全面偵測回應 事件串流至 Microsoft Sentinel,並讓事件在兩個入口網站之間保持同步。 來自 Microsoft Defender 全面偵測回應 的事件包括所有相關的警示、實體和相關信息,為您提供足夠的內容,以在 Microsoft Sentinel 中執行分級和初步調查。 在 Sentinel 中,事件會保持雙向同步處理 Microsoft Defender 全面偵測回應,讓您在事件調查中利用這兩個入口網站的優點。

這項整合可讓 Microsoft 365 安全性事件從 Microsoft Sentinel 內部管理,作為整個組織主要事件佇列的一部分,因此您可以看到 Microsoft 365 事件與來自所有其他雲端和內部部署系統的事件相互關聯。 同時,它可讓您利用 Microsoft Defender 全面偵測回應 的獨特優勢和功能,在 Microsoft 365 生態系統中深入調查和 Microsoft 365 特定體驗。 Microsoft Defender 全面偵測回應 擴充多個 Microsoft 365 產品的警示,同時減少 SOC 事件佇列的大小,以及縮短解決時間。 屬於 Microsoft Defender 全面偵測回應 堆疊一部分的元件服務如下:

  • 適用於端點的 Microsoft Defender
  • 適用於身分識別的 Microsoft Defender
  • 適用於 Office 365 的 Microsoft Defender
  • 適用於雲端應用程式的 Microsoft Defender
  • 適用於雲端的 Microsoft Defender

Microsoft Defender 全面偵測回應 收集警示的其他服務包括:

除了從這些元件和其他服務收集警示之外,Microsoft Defender 全面偵測回應 會產生自己的警示。 它會從所有這些警示建立事件,並將其傳送至 Microsoft Sentinel。

常見使用案例和個案

  • 將 Microsoft Sentinel 上線至 Microsoft Defender 入口網站中的統一安全性作業平臺,其中啟用 Microsoft Defender 全面偵測回應 整合是必要步驟。

  • 單鍵連線 Microsoft Defender 全面偵測回應 事件,包括來自 Microsoft Defender 全面偵測回應元件的所有警示和實體,都會連線到 Microsoft Sentinel。

  • Sentinel 與 Microsoft Defender 全面偵測回應 事件之間的雙向同步處理狀態、擁有者和關閉原因。

  • 在 Microsoft Sentinel 中套用 Microsoft Defender 全面偵測回應 警示群組和擴充功能,進而縮短解決時間。

  • Microsoft Sentinel 事件與其平行 Microsoft Defender 全面偵測回應 事件之間的內文深層連結,以利這兩個入口網站之間的調查。

連線 至 Microsoft Defender 全面偵測回應

(這裡會重新導向「Microsoft Defender 全面偵測回應 事件和 Microsoft 事件建立規則」

安裝適用於 Microsoft Sentinel 的 Microsoft Defender 全面偵測回應 解決方案,並啟用 Microsoft Defender 全面偵測回應 數據連接器來收集事件和警示。 Microsoft Defender 全面偵測回應 事件會出現在 Microsoft Sentinel 事件佇列中,並在 [警示產品名稱] 字段中顯示 Microsoft Defender 全面偵測回應(或其中一個元件服務名稱),在 Microsoft Defender 全面偵測回應 產生事件之後不久。

  • 最多可能需要 10 分鐘的時間,從事件在 Microsoft Defender 全面偵測回應 到它出現在 Microsoft Sentinel 的時間。

  • 來自 Microsoft Defender 全面偵測回應 的警示和事件(填入 SecurityAlertSecurityIncident 數據表的專案)會擷取至 Microsoft Sentinel 並免費同步處理。 針對個別 Defender 元件的其他所有數據類型(例如 進階搜捕DeviceInfoDeviceFileEventsEmailEvents 等等),擷取將會收費。

  • 啟用 Microsoft Defender 全面偵測回應 連接器時,其元件服務所建立的警示(適用於端點的 Defender、適用於身分識別的 Defender、適用於 Office 365 的 Defender、適用於雲端的 Defender Apps、Microsoft Entra ID Protection)將會傳送至Microsoft Defender 全面偵測回應 並分組為事件。 警示和事件都會透過 Microsoft Defender 全面偵測回應 連接器流向 Microsoft Sentinel。 如果您事先啟用任何個別元件連接器,這些連接器似乎仍會保持連線,但不會有任何數據流經它們。

    此程式的例外狀況是 適用於雲端的 Microsoft Defender。 雖然其與 Microsoft Defender 全面偵測回應 整合表示您透過 Defender XDR 接收 適用於雲端的 Defender 事件,但您也必須啟用 適用於雲端的 Microsoft Defender 連接器才能接收適用於雲端的 Defender 警示。 如需可用選項和詳細資訊,請參閱內嵌 適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應 整合

  • 同樣地,為了避免為相同的警示建立重複事件,Microsoft 事件建立規則將會針對 Microsoft Defender 全面偵測回應 整合的產品關閉(適用於端點的 Defender、適用於身分識別的 Defender、適用於 Office 365 的 Defender、適用於雲端的 DefenderMicrosoft Defender 全面偵測回應 連線時,應用程式和 Microsoft Entra ID Protection。 這是因為 Defender XDR 有自己的事件建立規則。 這項變更對下列潛在影響:

    • Microsoft Sentinel 的事件建立規則可讓您篩選用來建立事件的警示。 停用這些規則之後,您可以在 Microsoft Defender 入口網站中設定警示微調,或使用自動化規則來隱藏您不想要建立的事件來保留警示篩選功能。

    • 您無法再預先決定事件的標題,因為 Microsoft Defender 全面偵測回應 相互關聯引擎會主持事件建立,並自動命名它所建立的事件。 這項變更可能會影響您使用事件名稱作為條件所建立的任何自動化規則。 若要避免這個陷阱,請使用事件名稱以外的準則(我們建議使用標籤)作為觸發自動化規則的條件

在 Microsoft Sentinel 和雙向同步處理中處理 Microsoft Defender 全面偵測回應 事件

Microsoft Defender 全面偵測回應 事件會出現在具有產品名稱 Microsoft Defender 全面偵測回應 的 Microsoft Sentinel 事件佇列中,以及任何其他 Sentinel 事件類似的詳細數據和功能。 每個事件都包含 Microsoft Defender 入口網站中平行事件的連結。

隨著事件在 Microsoft Defender 全面偵測回應 中演進,且已新增更多警示或實體,Microsoft Sentinel 事件將會隨之更新。

對 Microsoft Defender 全面偵測回應 或 Microsoft Sentinel 中 Microsoft Defender 全面偵測回應 事件的狀態、關閉原因或指派所做的變更,同樣會在其他事件佇列中據以更新。 同步處理會在套用事件變更后立即在這兩個入口網站中進行,且不會延遲。 可能需要重新整理才能查看最新的變更。

在 Microsoft Defender 全面偵測回應 中,所有來自某個事件的警示都可以傳送至另一個事件,進而合併事件。 發生此合併時,Microsoft Sentinel 事件會反映變更。 一個事件將包含來自原始事件的所有警示,而其他事件將會自動關閉,並新增了「重新導向」標記。

注意

Microsoft Sentinel 中的事件最多可以包含 150 個警示。 Microsoft Defender 全面偵測回應 事件可能不止此。 如果具有超過 150 個警示的 Microsoft Defender 全面偵測回應 事件已同步處理至 Microsoft Sentinel,Sentinel 事件會顯示為具有「150+」警示,且會在 Microsoft Defender 全面偵測回應 中提供平行事件的連結,您可以在其中看到完整的警示集。

進階搜捕事件集合

Microsoft Defender 全面偵測回應 連接器也可讓您將進階搜捕事件-一種原始事件數據,從 Microsoft Defender 全面偵測回應 及其元件服務串流至 Microsoft Sentinel。 您現在可以(截至 2022 年 4 月)所有 Microsoft Defender 全面偵測回應 元件收集進階搜捕事件,並將它們直接串流至 Microsoft Sentinel 工作區中專用的數據表。 這些數據表是以 Microsoft Defender 入口網站中使用的相同架構為基礎,可讓您完整存取一組完整的進階搜捕事件,並可讓您執行下列動作:

  • 輕鬆地將現有的 適用於端點的 Microsoft Defender/Office 365/Identity/Cloud Apps 進階搜捕查詢複製到 Microsoft Sentinel。

  • 使用原始事件記錄來提供警示、搜捕和調查的進一步深入解析,並將這些事件與 Microsoft Sentinel 中其他數據源的事件相互關聯。

  • 儲存具有增加保留期的記錄,超過 Microsoft Defender 全面偵測回應 或其元件的預設保留期 30 天。 您可以藉由設定工作區的保留期,或在記錄分析中設定對應各資料表的保留期間以達到目的。

下一步

在本檔中,您已瞭解如何使用 Microsoft Defender 全面偵測回應 搭配 Microsoft Sentinel,並使用 Microsoft Defender 全面偵測回應 連接器來獲益。