Microsoft Defender XDR 與 Microsoft Sentinel 的整合

整合 Microsoft Defender 的 XDR 與 Microsoft Sentinel，將所有 Defender XDR 的重大事件和進階威脅狩獵事件串流至 Microsoft Sentinel，並讓這些事件在 Azure 入口網站和 Microsoft Defender 入口網站之間保持同步化。 Microsoft Defender 全面偵測回應的事件包括所有關聯的警示、實體與相關資訊，供您掌握所有內容，以便於 Microsoft Sentinel 執行分級與初步調查。 進入 Microsoft Sentinel 後，事件會與 Defender XDR 維持雙向同步，讓您在事件調查時，能夠利用兩個入口網站的優勢。

或者，將Microsoft Sentinel 上線至 Defender 入口網站，以搭配 Defender XDR 搭配使用，以進行統一的安全性作業。 如需詳細資訊，請參閱以下資源：

• 什麼是統一的安全性作業？
• Microsoft Defender 入口網站中的 Microsoft Sentinel

Microsoft Sentinel 和 Defender XDR

使用下列其中一種方法來整合 Microsoft Sentinel 與 Microsoft Defender XDR 服務：

• 將 Microsoft Defender XDR 服務資料內嵌至 Microsoft Sentinel，並在 Azure 入口網站中檢視 Microsoft Sentinel 資料。 在 Microsoft Sentinel 中啟用 Defender XDR 連接器。

• Microsoft Sentinel 和 Defender XDR 直接在 Microsoft Defender 入口網站中整合。 在此情況下，請直接檢視 Microsoft Sentinel 數據，連同其餘的 Defender 事件、警示、弱點和其他安全性數據一併查看。 若要這樣做，您必須將 Microsoft Sentinel 整合至 Defender 入口網站。

選取適當的索引標籤，以查看 Microsoft Sentinel 與 Defender XDR 整合的樣貌，視您使用的整合方法而定。

Defender 入口網站

下圖顯示Microsoft XDR解決方案如何在 Microsoft Defender 入口網站中順暢地與 Microsoft Sentinel 整合。

在此圖表中：

• 來自您整個組織的訊號分析見解會匯入 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
• Microsoft Sentinel 支援多雲端環境，並與第三方應用程式和合作夥伴整合。
• Microsoft Sentinel 資料會與貴組織的資料一起內嵌至 Microsoft Defender 入口網站。
• 然後，SecOps 小組可以在 Microsoft Defender 入口網站中分析並回應 Microsoft Sentinel 和 Microsoft Defender XDR 所識別的威脅。

Azure 入口網站

下圖顯示 MicrosoftXDR 解決方案如何順暢地與 Microsoft Sentinel 整合。

在此圖表中：

• 來自您整個組織的訊號分析見解會匯入 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
• Microsoft Defender XDR 和適用於雲端的 Microsoft Defender 會透過 Microsoft Sentinel 連接器傳送 SIEM 記錄資料。
• 然後，SecOps 小組可以分析並回應 Microsoft Sentinel 和 Microsoft Defender XDRMicrosoft 中所識別的威脅。
• Microsoft Sentinel 支援多雲端環境，並與第三方應用程式和合作夥伴整合。

事件相互關聯和警示

透過將 Defender XDR 與 Microsoft Sentinel 整合，Defender XDR 事件可從 Microsoft Sentinel Microsoft 內顯示和管理。 這可提供整個組織的主要事件佇列。 查看並將 Defender XDR 事件與所有其他雲端和內部部署系統的事件相互關聯。 同時，此整合也可讓您利用 Defender 全面偵測回應的獨有優點和功能，在 Microsoft 365 生態系統中進行深入調查和獲得 Defender 特定體驗。

Defender XDR 充實和群組來自多個 Microsoft Defender 產品的警示，從而減少 SOC 事件佇列的數量，並縮短事件解決的時間。 下列 Microsoft Defender 產品和服務的警示也包含在 Defender XDR 與 Microsoft Sentinel 的整合中：

• Microsoft 的端點防護
• 適用於身分識別的 Microsoft Defender
• 適用於 Office 365 的 Microsoft Defender
• 適用於雲端應用程式的 Microsoft Defender

Defender XDR 收集警示的其他服務包括：

• Microsoft Purview 資料外洩防護
• Microsoft Entra ID 保護
• Microsoft Purview 內部風險管理

Defender 全面偵測回應連接器也會從適用於雲端的 Microsoft Defender 帶來事件。 若要同步處理這些事件的警示和實體，您必須在 Microsoft Sentinel 中啟用適用於雲端的 Defender 連接器。 否則，適用於雲端的 Defender 事件會顯示空白。 如需詳細資訊，請參閱將 Microsoft Defender for Cloud 事件匯入 Microsoft Defender XDR 整合。

除了從這些元件和其他服務收集警示外，Defender XDR 也會產生自己的警示。 這會從所有這些警示建立事件，並傳送至 Microsoft Sentinel。

常見使用案例和個案

請考慮將 Defender XDR 與 Microsoft Sentinel 整合，針對下列使用案例：

• 將Microsoft Sentinel 上線至 Microsoft Defender 入口網站。

• 啟用單鍵連線 Defender 全面偵測回應事件，包括 Defender 全面偵測回應元件中的所有警示和實體，連線到 Microsoft Sentinel。

• 允許 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應事件間雙向同步處理狀態、擁有者和關閉原因。

• 在 Microsoft Sentinel 中套用 Defender XDR 警示群組和強化功能，進而縮短解決時間。

• 透過 Microsoft Sentinel 事件與其平行 Defender 全面偵測回應事件之間的內容中深層連結，協助在這兩個入口網站之間進行調查。

如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

正在連線至 Microsoft Defender 全面偵測回應

整合 Defender XDR 的方式取決於您打算將Microsoft Sentinel 上線至 Defender 入口網站，還是繼續在 Azure 入口網站中運作。

Defender 入口網站整合

如果您將Microsoft Sentinel 上線至 Defender 入口網站，且已獲得 Defender XDR 的授權，Microsoft Sentinel 會自動連線到 Defender XDR。 適用於 Defender XDR 的數據連接器會自動為您設定。 Defender 全面偵測回應連接器中包含的警示提供者的任何資料連接器都已中斷連線。 這包括下列資料連接器：

• Microsoft Defender for Cloud Apps（警示）
• Microsoft Defender 端點版
• 微軟身分識別防護程式
• 適用於 Office 365 的 Microsoft Defender
• 微軟 Entra 身分識別保護

Azure 入口網站整合

如果您想要將 Defender XDR 數據同步處理至 Azure 入口網站中的 Microsoft Sentinel，您必須在 Microsoft Sentinel 中啟用 Microsoft Defender XDR 連接器。 當您啟用連接器時，它會將所有 Defender XDR 事件和警示資訊傳送至Microsoft Sentinel，並讓事件保持同步。

• 首先，從 [內容中樞] 安裝適用於 Microsoft Sentinel 的 [Microsoft Defender 全面偵測回應] 解決方案。 然後，啟用 Microsoft Defender XDR 資料連接器來收集事件和警示。 如需詳細資訊，請參閱將 Microsoft Defender XDR 的資料連接到 Microsoft Sentinel。

• 在 Defender 全面偵測回應資料連接器中啟用警示和事件收集之後，Defender 全面偵測回應事件在 Defender 全面偵測回應中產生後不久會出現在 Microsoft Sentinel 事件佇列中。 從事件產生 Defender 全面偵測回應到出現在 Microsoft Sentinel 的時間，最多可能需要 10 分鐘的時間。 在這些事件中，警示產品名稱 欄位會包含 Microsoft Defender XDR或其中一個 Defender 服務的名稱。

導入成本

來自 Defender 全面偵測回應的警示和事件 (包含 SecurityAlert 和 SecurityIncident 資料表的項目) 會免費擷取並與 Microsoft Sentinel 同步處理。 針對個別 Defender 元件的其他全部資料類型 (例如進階搜捕資料表 DeviceInfo、DeviceFileEvents、EmailEvents 等等)，擷取會收取費用。

如需詳細資訊，請參閱規劃成本及了解 Microsoft Sentinel 定價和計費。

資料擷取行為

Defender XDR 整合產品所建立的警示會傳送至 Defender XDR，並分組為事件。 警示和事件都會透過 Defender XDR 連接器流入 Microsoft Sentinel。

此程序的例外是適用於雲端的 Defender。 您可以選擇啟用以租用戶為基礎的雲端 Defender 警示，這樣就可以透過 Defender XDR 收到所有警示和事件，或維持以訂用帳戶為基礎的警示，並在 Azure 入口網站的 Microsoft Sentinel 中將其升級為事件。

如需可用選項和詳細資訊，請參閱：

• Microsoft Defender 入口網站中適用於雲端的 Microsoft Defender
• 擷取適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應整合

Microsoft 事件建立規則

為了避免建立相同警示的重複事件，當連線至 Defender XDR 時，針對 Defender XDR 整合產品，Microsoft 事件建立規則設定會被關閉。 Defender XDR 整合產品包括 Microsoft Defender 身分識別、Microsoft Defender Office 365 等等。 此外，Defender 入口網站不支援Microsoft事件建立規則，因為 Defender 入口網站有自己的事件建立引擎。 這項變更有下列潛在影響：

• 警示篩選。 Microsoft Sentinel 的事件建立規則可讓您篩選用來建立事件的警示。 停用這些規則後，設定在 Microsoft Defender 入口網站中的警示微調，或使用自動化規則以抑制或關閉您不想要的事件，藉以保留警示篩選功能。

• 事件標題。 啟用 Defender XDR 連接器之後，您就無法再預先決定事件的標題。 Defender XDR 相互關聯引擎負責管理事件建立，並自動命名其所建立的事件。 這項變更可能會影響您使用事件名稱作為條件所建立的任何自動化規則。 若要避免這個陷阱，請使用事件名稱以外的準則作為觸發自動化規則的條件。 建議您使用標籤。

• 排程分析規則。 如果您使用 Microsoft Sentinel 的事件創建規則來取得其他 Microsoft 安全性解決方案或未整合到 Defender XDR 的產品，例如 Microsoft Purview 內部風險管理，並計劃導入至 Defender 入口網站，請將您的事件創建規則替換為 已排程的分析規則。

在 Microsoft Sentinel 和雙向同步處理中使用 Microsoft Defender 全面偵測回應事件

Microsoft Defender XDR 事件會出現在 Microsoft Sentinel 事件佇列中，產品名稱顯示為 Microsoft Defender XDR，並且具有與其他 Microsoft Sentinel 事件類似的詳細資料和功能。 每個事件都包含 Microsoft Defender 入口網站中平行事件的連結。

隨著事件在 Microsoft Defender 全面偵測回應中演進，並新增更多警示或實體，Microsoft Sentinel 事件將會隨之更新。

在 Defender XDR 或 Microsoft Sentinel 中，對 Defender XDR 事件的特定欄位或屬性所做的變更，會相應地在另一個系統的事件佇列中更新。 同步處理會在套用事件的變更之後，會立即在兩個入口網站中進行，且不會延遲。 可能需要重新整理才能查看最新的變更。

在 Defender 入口網站中的事件和 Azure 入口網站中的 Microsoft Sentinel 事件之間，下列欄位會「原樣」同步處理：

• 標題
• 說明
• ProductName
• 嚴重程度
• 自訂標籤
• 附加數據
• 評論（僅限新的）
• 最後修改者

同步處理期間會轉換下列欄位，使其值符合每個平台的架構：

領域	Defender 入口網站中的值	Microsoft Sentinel 中的價值
狀態
	活動中	新增功能
分類/ 分類原因
	真陽性 任何	真陽性 可疑的活動
	偽陽性/ 任何	偽陽性/ 不正確的數據
	N/A	偽陽性/ 不正確的警示邏輯
	良性陽性 資訊性預期活動	良性陽性 可疑但預期
	未設定	未決定

在 Defender 全面偵測回應中，來自某個事件的所有警示都可以傳輸到另一個事件，進而合併事件。 發生合併時，Microsoft Sentinel 事件會反映變更。 一個事件將包含來自原始事件的所有警示，而其他事件將自動關閉，並加上「重新導向」標記。

附註

Microsoft Sentinel 中的事件最多可以包含 150 個警示。 Defender 全面偵測回應事件可能超過此數量。 如果具有超過 150 個警示的 Defender 全面偵測回應事件已同步處理至 Microsoft Sentinel，Microsoft Sentinel 事件會顯示為具有「150+」警示，且會在 Defender 全面偵測回應中提供平行事件的連結，您可以在其中看到完整的警示集。

進階搜尋事件集合

Defender 全面偵測回應連接器也可將進階搜捕事件 (一種原始事件資料) 從 Defender 全面偵測回應及其元件服務串流到 Microsoft Sentinel。 收集來自所有 Defender XDR 元件的進階搜捕事件，並將其直接串流至 Microsoft Sentinel 工作區中的專用建置資料表。 這些資料表是以 Defender 入口網站中使用的相同結構描述為基礎，可讓您完整存取一組完整的進階搜捕事件，並允許下列作業：

• 輕鬆地將您現有的 Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps 進階偵查查詢複製到 Microsoft Sentinel 中。

• 使用原始事件日志來為警報、威脅搜捕和調查提供更多見解，並將這些事件與 Microsoft Sentinel 中來自其他資料來源的事件建立關聯。

• 儲存加長保留期的記錄，超過 Defender 全面偵測回應或其元件的預設保留期 30 天。 您可以藉由設定工作區的保留，或在 Log Analytics 中設定個別資料表的保留，來執行此動作。

相關內容

在這份文件中，您已經了解在 Microsoft Sentinel 中啟用 Defender XDR 連接器的優點。

• 將資料從 Microsoft Defender 全面偵測回應連線至 Microsoft Sentinel (部分機器翻譯)
• 若要在 Defender 入口網站中使用 Microsoft Sentinel，請參閱 將 Sentinel Microsoft連線到 Microsoft Defender 入口網站。
• 檢查不同 Microsoft 365 和 Azure 雲端中不同 Microsoft Defender 全面偵測回應資料類型的可用性。