將適用於 Office 365 的 Microsoft Defender 連接到 Microsoft Sentinel
您可以將 適用於 Office 365 的 Microsoft Defender 數據 (和數據從 Microsoft Defender 全面偵測回應 套件的其餘部分) ,包括事件內嵌至 Microsoft Sentinel。
利用豐富的安全性資訊事件管理 (SIEM) 與其他 Microsoft 365 來源的數據結合、事件和警示的同步處理,以及進階搜捕。
您需要什麼
- 適用於 Office 365 的 Microsoft Defender 方案 2 或更新版本。 (包含在 E5 方案中)
- Microsoft Sentinel 快速入門指南。
- Microsoft 365 中 (安全性系統管理員的足夠許可權,& Sentinel) 中的讀取/寫入許可權。
新增 Microsoft Defender 全面偵測回應 連接器
- 登入 Azure 入口網站 並流覽至 Microsoft Sentinel>挑選要與 Microsoft Defender 全面偵測回應整合的相關工作區。
- 在瀏覽窗格的 [ 設定] 下,移至 [資料連接器]。
- 當頁面載入時,搜尋 Microsoft Defender 全面偵測回應 並選取 Microsoft Defender 全面偵測回應 連接器。
- 在右側飛出視窗上,選取 [ 開啟連接器頁面]。
- 在載入之頁面的 [組態] 區段下,選取 [連線事件 & 警示],並保留選取的 [關閉這些產品的所有 Microsoft 事件建立規則]。
- 在頁面的 [連線事件] 區段中捲動至 [適用於 Office 365 的 Microsoft Defender] 。 選 取 EmailEvents、EmailUrlInfo、EmailAttachmentInfo & EmailPostDeliveryEvents ,然後在頁面底部 套用變更 。 (在此步驟中,選擇其他 Defender 產品的數據表,如果有説明且適用的話。)
後續步驟
系統管理員現在可以在 Microsoft Sentinel 中查看事件、警示和原始數據,並使用此數據進行進階搜捕,並從 Microsoft Defender 對現有和新的數據進行樞紐分析。
其他相關資訊
將 Microsoft Defender 全面偵測回應 數據連線至 Microsoft Sentinel |Microsoft Docs。