Integrace XDR v programu Microsoft Defender s Microsoft Sentinelem
Integrujte XDR v programu Microsoft Defender se službou Microsoft Sentinel, abyste mohli streamovat všechny incidenty XDR v programu Defender a pokročilé události proaktivního vyhledávání do Microsoft Sentinelu a udržovat incidenty a události synchronizované mezi portály Azure a Microsoft Defender. Incidenty z XDR v programu Defender zahrnují všechna přidružená upozornění, entity a relevantní informace, které vám poskytnou dostatečný kontext k provedení třídění a předběžného šetření v Microsoft Sentinelu. Jakmile v Microsoft Sentinelu zůstanou incidenty obousměrně synchronizované s XDR v programu Defender, což vám umožní využít výhod obou portálů při vyšetřování incidentu.
Alternativně připojte Microsoft Sentinel s XDR defenderu k platformě Microsoftu sjednocených operací zabezpečení (SecOps) na portálu Defender. Sjednocená platforma SecOps od Microsoftu spojuje všechny funkce Microsoft Sentinelu, XDR v programu Defender a generování umělé inteligence vytvořené speciálně pro kybernetickou bezpečnost. Další informace naleznete v následujících zdrojích:
- Blogové příspěvky: Obecná dostupnost sjednocené platformy pro provoz zabezpečení Microsoftu
- Microsoft Sentinel na portálu Microsoft Defender
- Microsoft Copilot v programu Microsoft Defender
XDR v programu Microsoft Sentinel a Defender
Pomocí jedné z následujících metod můžete integrovat Microsoft Sentinel se službami XDR v programu Microsoft Defender:
Ingestování dat služby XDR v programu Microsoft Defender do Microsoft Sentinelu a zobrazení dat Microsoft Sentinelu na webu Azure Portal Povolte v Microsoft Sentinelu konektor XDR v programu Defender.
Integrujte microsoft Sentinel a XDR v programu Defender do jediné sjednocené platformy pro operace zabezpečení na portálu Microsoft Defender. V tomto případě si prohlédněte data Služby Microsoft Sentinel přímo na portálu Microsoft Defenderu se zbývajícími incidenty, výstrahami, ohroženími zabezpečení a dalšími daty zabezpečení. Povolte konektor XDR v programu Defender v Microsoft Sentinelu a připojte Microsoft Sentinel k sjednocené platformě SecOps od Microsoftu na portálu Defender.
Vyberte příslušnou kartu a podívejte se, jak vypadá integrace Microsoft Sentinelu s XDR v programu Defender v závislosti na tom, jakou metodu integrace používáte.
Následující obrázek ukazuje, jak se řešení XDR od Microsoftu bezproblémově integruje s Microsoft Sentinelem.
V tomto diagramu:
- Přehledy z signálů v celé organizaci se odkrývejte do XDR v programu Microsoft Defender a Microsoft Defenderu pro cloud.
- Microsoft Defender XDR a Microsoft Defender for Cloud odesílají data protokolů SIEM prostřednictvím konektorů Microsoft Sentinelu.
- Týmy SecOps pak můžou analyzovat hrozby zjištěné v Microsoft Sentinelu a XDR v programu Microsoft Defender a reagovat na ně.
- Microsoft Sentinel poskytuje podporu pro multicloudová prostředí a integruje se s aplikacemi a partnery třetích stran.
Korelace incidentů a výstrahy
Díky integraci XDR defenderu s Microsoft Sentinelem jsou incidenty XDR v programu Defender viditelné a spravovatelné z Microsoft Sentinelu. Tím získáte primární frontu incidentů v celé organizaci. Zobrazte a korelujte incidenty XDR defenderu společně s incidenty ze všech vašich ostatních cloudových a místních systémů. Zároveň vám tato integrace umožňuje využívat jedinečné silné stránky a možnosti XDR defenderu pro hloubkové šetření a prostředí specifické pro Defender v ekosystému Microsoft 365.
XDR v programu Defender rozšiřuje a seskupuje výstrahy z několika produktů Microsoft Defenderu, čímž se zmenšuje velikost fronty incidentů SOC a zkracuje dobu řešení. Výstrahy z následujících produktů a služeb Microsoft Defenderu jsou také součástí integrace XDR defenderu do Microsoft Sentinelu:
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender Správa zranitelností
Mezi další služby, jejichž výstrahy shromažďuje XDR v programu Defender, patří:
- Ochrana před únikem informací Microsoft Purview (další informace)
- Microsoft Entra ID Protection (další informace)
Konektor XDR v programu Defender také přináší incidenty z Microsoft Defenderu pro cloud. Pokud chcete synchronizovat také výstrahy a entity z těchto incidentů, musíte v Microsoft Sentinelu povolit konektor Defender for Cloud. Jinak se vaše incidenty Defenderu pro cloud zobrazí jako prázdné. Další informace najdete v tématu Ingestování incidentů Microsoft Defenderu pro cloud s integrací XDR v programu Microsoft Defender.
Kromě shromažďování výstrah z těchto komponent a dalších služeb generuje XDR Defender vlastní výstrahy. Vytvoří incidenty ze všech těchto výstrah a odešle je do Služby Microsoft Sentinel.
Běžné scénáře a případy použití
Zvažte integraci XDR defenderu s Microsoft Sentinelem pro následující případy použití a scénáře:
Onboarding Microsoft Sentinelu na sjednocenou platformu SecOps od Microsoftu na portálu Microsoft Defenderu Povolení konektoru XDR v programu Defender je předpokladem.
Povolte připojení incidentů XDR v programu Defender jedním kliknutím, včetně všech výstrah a entit z komponent XDR v programu Defender, do Služby Microsoft Sentinel.
Povolte obousměrnou synchronizaci mezi incidenty XDR v programu Microsoft Sentinel a Defender na základě stavu, vlastníka a závěru.
Použití možností seskupení a rozšiřování upozornění V programu Defender v Microsoft Sentinelu, což zkracuje dobu řešení.
Umožňuje prošetření na obou portálech s přímými odkazy mezi incidentem Microsoft Sentinelu a paralelním incidentem XDR v programu Defender.
Další informace o možnostech integrace Microsoft Sentinelu s XDR v programu Defender v rámci sjednocené platformy SecOps od Microsoftu najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Připojení k XDR v programu Microsoft Defender
Povolte konektor XDR v programu Microsoft Defender v Microsoft Sentinelu, abyste mohli odesílat všechny incidenty XDR v programu Defender a výstrahy do Služby Microsoft Sentinel a udržovat incidenty synchronizované.
Nejprve nainstalujte řešení XDR v programu Microsoft Defender pro Microsoft Sentinel z centra obsahu. Potom povolte datový konektor XDR v programu Microsoft Defender, aby shromáždil incidenty a výstrahy. Další informace najdete v tématu Připojení dat z XDR v programu Microsoft Defender k Microsoft Sentinelu.
Po povolení shromažďování výstrah a incidentů v datovém konektoru XDR v programu Defender se incidenty XDR v programu Defender zobrazí ve frontě incidentů Služby Microsoft Sentinel krátce po jejich vygenerování v programu Defender XDR. Může trvat až 10 minut od okamžiku, kdy se incident vygeneruje v XDR v programu Defender, až do doby, kdy se v Microsoft Sentinelu objeví. V těchtoincidentch
Pokud chcete na portálu Defender připojit pracovní prostor Microsoft Sentinelu k jednotné platformě SecOps od Microsoftu, přečtěte si téma Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender.
Náklady na příjem dat
Výstrahy a incidenty z XDR v programu Defender, včetně položek, které naplňují tabulky SecurityAlert a SecurityIncident , se ingestují a synchronizují s Microsoft Sentinelem bez poplatků. U všech ostatních datových typů z jednotlivých komponent Defenderu, jako jsou rozšířené tabulky proaktivního vyhledávání DeviceInfo, DeviceFileEvents, EmailEvents atd., se ingestování účtuje. Další informace najdete v tématu Plánování nákladů a vysvětlení cen a fakturace služby Microsoft Sentinel.
Chování příjmu dat
Po povolení konektoru XDR v programu Defender se do XDR defenderu odešlou upozornění vytvořená integrovanými produkty XDR v programu Defender a seskupí se do incidentů. Výstrahy i incidenty procházejí do Microsoft Sentinelu prostřednictvím konektoru XDR v programu Defender. Výjimkou tohoto procesu je Defender for Cloud. Máte možnost povolit službě Defender for Cloud na základě tenanta, aby dostávala všechna upozornění a incidenty prostřednictvím XDR v programu Defender, nebo aby byla upozornění založená na předplatném a propagovala je na incidenty v Rámci služby Microsoft Sentinel na webu Azure Portal. Dostupné možnosti a další informace najdete v následujících článcích:
- Microsoft Defender for Cloud na portálu Microsoft Defender
- Ingestování incidentů v programu Microsoft Defender for Cloud s integrací XDR v programu Microsoft Defender
Pravidla vytváření incidentů Microsoftu
Aby nedocházelo k vytváření duplicitních incidentů pro stejná upozornění, je nastavení pravidel vytváření incidentů v programu Microsoft vypnuto pro produkty integrované v programu Defender XDR při připojování XDR v programu Defender. Mezi produkty integrované v programu Defender XDR patří Microsoft Defender for Identity, Microsoft Defender pro Office 365 a další. Pravidla vytváření incidentů Microsoftu se také nepodporují na sjednocené platformě SecOps od Microsoftu. XDR v programu Defender má vlastní pravidla vytváření incidentů. Tato změna má následující potenciální dopady:
Pravidla vytváření incidentů v Microsoft Sentinelu umožňují filtrovat výstrahy, které se použijí k vytváření incidentů. Pokud jsou tato pravidla zakázaná, zachovejte funkci filtrování výstrah konfigurací ladění výstrah na portálu Microsoft Defenderu nebo pomocí pravidel automatizace k potlačení nebo zavření incidentů, které nechcete.
Po povolení konektoru XDR v programu Defender už nebude možné předem určit názvy incidentů. Korelační modul XDR defenderu předá vytvoření incidentu a automaticky pojmenuje incidenty, které vytvoří. Tato změna může ovlivnit všechna pravidla automatizace, která jste vytvořili, která používají název incidentu jako podmínku. Abyste se této úskali, použijte kritéria jiná než název incidentu jako podmínky pro aktivaci pravidel automatizace. Doporučujeme používat značky.
Pokud používáte pravidla vytváření incidentů Microsoft Sentinelu pro jiná řešení zabezpečení nebo produkty, které nejsou integrované do XDR v programu Defender, jako je Správa insiderských rizik Microsoft Purview, a plánujete připojit se k sjednocené platformě SecOps od Microsoftu na portálu Defender, nahraďte pravidla vytváření incidentů naplánovanými analytickými pravidly.
Práce s incidenty XDR v programu Microsoft Defender v Microsoft Sentinelu a obousměrnou synchronizací
Incidenty XDR v programu Defender se zobrazují ve frontě incidentů Microsoft Sentinelu s názvem XDR v programu Microsoft Defender a s podobnými podrobnostmi a funkcemi pro všechny ostatní incidenty Microsoft Sentinelu. Každý incident obsahuje odkaz zpět na paralelní incident na portálu Microsoft Defenderu.
S tím, jak se incident vyvíjí v XDR v programu Defender a do něj se přidají další výstrahy nebo entity, se incident Microsoft Sentinel odpovídajícím způsobem aktualizuje.
Změny stavu, závěru nebo přiřazení incidentu XDR defenderu v defenderu XDR nebo Microsoft Sentinelu se odpovídajícím způsobem aktualizují ve frontě incidentů ostatních. Synchronizace probíhá na obou portálech ihned po použití změny incidentu bez zpoždění. Aktualizace se může vyžadovat, aby se zobrazily nejnovější změny.
V programu Defender XDR se všechna upozornění z jednoho incidentu dají přenést do jiného, což vede ke sloučení incidentů. Když k tomuto sloučení dojde, incidenty Microsoft Sentinelu odrážejí změny. Jeden incident obsahuje všechna upozornění z původních incidentů a druhý incident se automaticky zavře a přidá se značka přesměrování.
Poznámka:
Incidenty v Microsoft Sentinelu můžou obsahovat maximálně 150 výstrah. Incidenty XDR defenderu můžou mít více než toto. Pokud se incident XDR defenderu s více než 150 upozorněními synchronizuje do Microsoft Sentinelu, zobrazí se incident Microsoft Sentinelu jako výstrahy 150+ a poskytuje odkaz na paralelní incident v XDR v defenderu, kde vidíte úplnou sadu upozornění.
Pokročilá kolekce událostí proaktivního vyhledávání
Konektor XDR v programu Defender umožňuje streamovat pokročilé události proaktivního vyhledávání – typ nezpracovaných dat událostí – z XDR defenderu a jeho služeb komponent do Microsoft Sentinelu. Shromážděte pokročilé události proaktivního vyhledávání ze všech komponent XDR v programu Defender a streamujte je přímo do účelově integrovaných tabulek v pracovním prostoru Microsoft Sentinelu. Tyto tabulky jsou založené na stejném schématu, které se používá na portálu Defender, a poskytují úplný přístup k úplné sadě pokročilých událostí proaktivního vyhledávání a umožňují následující úlohy:
Snadno zkopírujte stávající dotazy Microsoft Defenderu for Endpoint/ Office 365/Identity/Cloud Apps pro pokročilé proaktivní vyhledávání do Microsoft Sentinelu.
Pomocí nezpracovaných protokolů událostí můžete poskytovat další přehledy pro vaše výstrahy, proaktivní vyhledávání a prošetření a korelovat tyto události s událostmi z jiných zdrojů dat v Microsoft Sentinelu.
Uložte protokoly se zvýšeným uchováváním, a to nad rámec výchozího uchovávání XDR defenderu nebo jeho komponent 30 dnů. Můžete to udělat tak, že nakonfigurujete uchovávání pracovního prostoru nebo nakonfigurujete uchovávání jednotlivých tabulek v Log Analytics.
Související obsah
V tomto dokumentu jste se seznámili s výhodami povolení konektoru XDR v programu Defender v Microsoft Sentinelu.
- Připojení dat z XDR v programu Microsoft Defender k Microsoft Sentinelu
- Pokud chcete používat jednotnou platformu SecOps od Microsoftu na portálu Defender, přečtěte si téma Připojení Microsoft Sentinelu k portálu Microsoft Defender.
- Zkontrolujte dostupnost různých datových typů XDR v programu Microsoft Defender v různých cloudech Microsoft 365 a Azure.