Připojení konektoru XDR v programu Microsoft Defender

  • 6 min

Konektor rozšířené detekce a reakce v programu Microsoft Defender (XDR) s integrací incidentů umožňuje streamovat všechny incidenty a výstrahy XDR v programu Microsoft Defender do Služby Microsoft Sentinel. Konektor udržuje incidenty synchronizované mezi oběma portály. Incidenty XDR v programu Microsoft Defender zahrnují všechna jejich upozornění, entity a další relevantní informace. Jsou seskupené a jsou rozšířeny o výstrahy ze služeb komponent XDR v programu Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender pro Office 365 a Microsoft Defender for Cloud Apps. Připojení konektoru XDR v programu Microsoft Defender je předpokladem pro konfiguraci unified Security Operations Platform nebo sjednocené informace o zabezpečení a správu událostí (SIEM) a prostředí XDR v programu Microsoft Defender XDR.

Konektor také umožňuje streamovat pokročilé události proaktivního vyhledávání ze všech výše uvedených komponent do Microsoft Sentinelu. Díky tomu můžete zkopírovat pokročilé dotazy proaktivního vyhledávání těchto komponent defenderu do Služby Microsoft Sentinel, rozšířit výstrahy služby Sentinel o nezpracovaná data událostí komponent Defenderu, aby poskytovaly další přehledy a ukládaly protokoly se zvýšeným uchováváním v Log Analytics.

Pokud chcete konektor nasadit, proveďte následující kroky:

  1. V levé navigační nabídce Služby Microsoft Sentinel rozbalte položku Konfigurace a pak vyberte Datové konektory.

  2. Vyberte konektor XDR v programu Microsoft Defender.

  3. V podokně náhledu vyberte tlačítko Otevřít stránku konektoru.

  4. Na kartě Pokyny zkontrolujte požadavky a ověřte, že máte požadovaná oprávnění a licence.

  5. Dále v části Konfigurace vyberte tlačítko Připojit incidenty a výstrahy .

Snímek obrazovky konfigurace datového konektoru XDR v programu Defender

Poznámka:

Pokud zrušíte zaškrtnutí políčka Vypnout všechna pravidla vytváření incidentů Microsoftu pro tyto produkty. Doporučené zaškrtávací políčko může ve frontě incidentů obdržet duplicity.

Můžete se také připojit (analýzy chování uživatelů a entit) entit a událostí UEBA z konkrétních produktů.

  1. Vyberte oddíly Připojit entity a Připojit události.

  2. U událostí označte políčka typů událostí, které chcete shromáždit, a pak vyberte Použít změny.