連線 Microsoft Defender 全面偵測回應連接器
Microsoft Defender 延伸偵測及回應 (XDR) 連接器與事件整合可讓您將所有 Microsoft Defender 全面偵測回應事件和警示串流至 Microsoft Sentinel。 連接器會讓事件在兩個入口網站之間保持同步。 Microsoft Defender 全面偵測回應事件包括所有警示、實體和其他相關資訊。 組合在一起,並由 Microsoft Defender 全面偵測回應的元件服務、適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender 和 Microsoft Defender for Cloud Apps 傳來的警示所擴充。 連接 Microsoft Defender 全面偵測回應連接器是設定整合安全性作業平台或整合安全性資訊與事件管理 (SIEM) 和 Microsoft Defender 全面偵測回應中 XDR 體驗的必要條件。
連接器也可讓您從上述所有元件,將進階搜捕事件串流至 Microsoft Sentinel。 這可讓您將這些 Defender 元件的進階搜捕查詢複製到 Microsoft Sentinel、使用 Defender 元件的原始事件資料擴充 Sentinel 警示以提供更多深入解析,並將記錄儲存在 Log Analytics 中保留更久。
若要部署連接器,請執行下列動作:
從 Microsoft Sentinel 左側導覽功能表中展開 [組態],然後選取 [資料連接器]。
選取 [Microsoft Defender 全面偵測回應] 連接器。
在預覽窗格上選取 [開啟連接器頁面] 按鈕。
在 [指示] 索引標籤底下,檢閱 [必要條件] 以確認您擁有必要權限和授權。
接下來,在 [組態] 區段中,選取 [與事件和警示連線] 按鈕。
注意
如果您取消核取 [關閉這些產品的所有 Microsoft 事件建立規則。建議採用。] 核取方塊,您可能會在事件佇列中收到重複項目。
您也可以從特定產品連線 (使用者和實體行為分析)「UEBA 實體」和「事件」記錄。
選取 [連線實體] 和 [連線事件] 區段。
針對「事件」,標記您想要收集的事件類型核取方塊,然後選取 [套用變更]。