Freigeben über


Verknüpfen von Daten aus Microsoft Defender XDR mit Microsoft Sentinel

Mit dem Microsoft Defender XDR-Connector für Microsoft Sentinel können Sie alle Microsoft Defender XDR-Incidents, -Warnungen und -Ereignisse für die erweiterte Bedrohungssuche in Microsoft Sentinel streamen. Dieser Connector synchronisiert die Incidents zwischen beiden Portalen. Microsoft Defender XDR-Vorfälle umfassen Warnungen, Entitäten und andere relevante Informationen aus allen Microsoft Defender-Produkten und -Diensten. Weitere Informationen finden Sie unter Microsoft Defender XDR-Integration mit Microsoft Sentinel.

Der Defender XDR-Connector, insbesondere seine Vorfallintegrationsfunktion, ist die Grundlage der einheitlichen Sicherheitsoperationsplattform von Microsoft. Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integrieren, müssen Sie diesen Connector zuerst mit der Incidentintegration aktivieren.

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Bevor Sie beginnen, müssen Sie über die entsprechende Lizenzierung, den Zugriff und die konfigurierten Ressourcen verfügen, die in diesem Abschnitt beschrieben werden.

  • Wie unter Voraussetzungen für Microsoft Defender XDR beschrieben, benötigen Sie eine gültige Lizenz für Microsoft Defender XDR.
  • Ihr Benutzer muss über die Rolle Sicherheitsadministrator für den Mandanten verfügen, aus dem Sie die Protokolle streamen möchten, oder über die entsprechenden Berechtigungen.
  • Sie benötigen Lese- und Schreibberechtigungen für Ihren Microsoft Sentinel-Arbeitsbereich.
  • Um Änderungen an den Connectoreinstellungen vorzunehmen, muss Ihr Konto ein Mitglied desselben Microsoft Entra-Mandanten sein, dem Ihr Microsoft Sentinel-Arbeitsbereich zugeordnet ist.
  • Installieren Sie die Lösung für Microsoft Defender XDR aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
  • Gewähren Sie den Zugriff auf Microsoft Sentinel, wie es für Ihre Organisation angemessen ist. Für weitere Informationen, siehe Rollen und Berechtigungen in Microsoft Sentinel.

Für die lokale Active Directory-Synchronisierung über Microsoft Defender for Identity gilt:

  • Ihr Mandant muss in Microsoft Defender for Identity integriert sein.
  • Sie müssen den Microsoft Defender for Identity-Sensor installiert haben.

Weitere Informationen finden Sie unter Bereitstellen von Microsoft Defender for Identity.

Herstellen einer Verbindung mit Microsoft Defender XDR

Wählen Sie in Microsoft Sentinel Datenconnectors aus. Wählen Sie Microsoft Defender XDR auf der Seite „Katalog“ und Connector öffnen aus.

Der Abschnitt Konfiguration verfügt über drei Teile:

  1. Verbinden von Inidents und Warnungen ermöglicht die grundlegende Integration zwischen Microsoft Defender XDR und Microsoft Sentinel, indem Vorfälle und ihre Warnungen zwischen den beiden Plattformen synchronisiert werden.

  2. Connect-Entitäten ermöglicht die Integration von lokalen Active Directory-Benutzeridentitäten in Microsoft Sentinel über Microsoft Defender for Identity.

  3. Connect-Ereignisse ermöglicht das Sammeln von rohen erweiterten Jagdereignissen aus Defender-Komponenten.

Weitere Informationen finden Sie unter Microsoft Defender XDR-Integration mit Microsoft Sentinel.

Verbinden Sie Vorfälle und Warnungen

Um Microsoft Defender XDR-Vorfälle mit allen Benachrichtigungen mit Ihrer Microsoft Sentinel-Vorfallwarteschlange aufzunehmen und zu synchronisieren, führen Sie die folgenden Schritte aus.

  1. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung Alle Vorfallserstellungsregeln von Microsoft für diese Produkte deaktivieren. Empfohlen, damit Vorfälle nicht dupliziert werden. Dieses Kontrollkästchen wird nicht angezeigt, sobald der Microsoft Defender XDR-Connector verbunden ist.

  2. Wählen Sie die Schaltfläche Vorfälle und Warnungen verbinden aus.

  3. Stellen Sie sicher, dass Microsoft Sentinel Microsoft Defender XDR-Indidentdaten sammelt. Führen Sie in Microsoft Sentinel-Protokollen im Azure-Portal die folgende Anweisung im Abfragefenster aus:

       SecurityIncident
       | where ProviderName == "Microsoft Defender XDR"
    

Wenn Sie den Microsoft Defender XDR-Connector aktivieren, werden die Zuvor verbundenen Connectors aller Microsoft Defender-Komponenten automatisch im Hintergrund getrennt. Obwohl sie weiterhin als verbunden angezeigt werden, fließen keine Daten durch sie.

Entitäten verbinden

Verwenden Sie Microsoft Defender for Identity, um Benutzer-Entitäten aus Ihrem lokalen Active Directory mit Microsoft Sentinel zu synchronisieren.

  1. Wählen Sie den Link Gehe zur UEBA-Konfigurationsseite.

  2. Wenn Sie UEBA auf der Seite Konfiguration des Entitäts-Verhaltens noch nicht aktiviert haben, stellen Sie den Umschalter oben auf der Seite auf Ein.

  3. Aktivieren Sie das Kontrollkästchen Active Directory (Vorschau) und wählen Sie Anwenden.

    Screenshot der UEBA-Konfigurationsseite zum Verbinden von Benutzerentitäten mit Microsoft Sentinel

Ereignisse verbinden

Wenn Sie erweiterte Suchereignisse von Microsoft Defender für Endpoint oder Microsoft Defender für Office 365 sammeln möchten, können die folgenden Ereignistypen aus den entsprechenden erweiterten Suchtabellen gesammelt werden.

  1. Aktivieren Sie die Kontrollkästchen der Tabellen mit den Ereignistypen, die Sie erfassen möchten:

    Tabellenname Ereignistyp
    DeviceInfo Maschineninformationen, einschließlich Betriebssysteminformationen
    DeviceNetworkInfo Netzwerkeigenschaften von Geräten, einschließlich physischer Adapter, IP- und MAC-Adressen sowie verbundener Netzwerke und Domänen
    DeviceProcessEvents Prozesserstellung und zugehörige Ereignisse
    DeviceNetworkEvents Netzwerkverbindung und zugehörige Ereignisse
    DeviceFileEvents Dateierstellung, Änderung und andere Dateisystemereignisse
    DeviceRegistryEvents Erstellen und Ändern von Registrierungseinträgen
    DeviceLogonEvents Anmeldungen und andere Authentifizierungsereignisse auf Geräten
    DeviceImageLoadEvents DLL-Ladeereignisse
    DeviceEvents Mehrere Ereignistypen, einschließlich Ereignissen, die durch Sicherheitskontrollen wie Windows Defender Antivirus und Exploit-Schutz ausgelöst werden
    DeviceFileCertificateInfo Zertifikatsinformationen von signierten Dateien, die aus Zertifikatsüberprüfungsereignissen auf Endpunkten gewonnen werden
  2. Klicken Sie auf Änderungen übernehmen.

Um eine Abfrage in den Tabellen für die erweiterte Suche in Log Analytics auszuführen, geben Sie den Tabellennamen in das Abfragefenster ein.

Überprüfen der Datenerfassung

Das Datendiagramm auf der Connectorseite weist darauf hin, dass Sie Daten erfassen. Beachten Sie, dass für Incidents, Warnungen und Ereignisse jeweils eine Zeile angezeigt wird. Bei der Ereigniszeile handelt es sich um eine Aggregation des Ereignisvolumens für alle aktivierten Tabellen. Nachdem Sie den Connector aktiviert haben, verwenden Sie die folgenden KQL-Abfragen, um spezifischere Diagramme zu generieren.

Verwenden Sie die folgende KQL-Abfrage für einen Graph der eingehenden Microsoft Defender XDR-Incidents:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft Defender XDR"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Verwenden Sie die folgenden KQL-Abfrage, um einen Graph des Ereignisvolumens für eine einzelne Tabelle zu erzeugen. Ändern Sie die Tabelle DeviceEvents in die erforderliche Tabelle Ihrer Wahl:

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Weitere Informationen zu den folgenden in den vorherigen Beispielen verwendeten Elementen finden Sie in der Kusto-Dokumentation:

Weitere Informationen zu KQL finden Sie unter Kusto-Abfragesprache (Kusto Query Language, KQL) – Übersicht.

Weitere Ressourcen:

Nächster Schritt

In diesem Artikel haben Sie erfahren, wie Sie Microsoft Defender XDR-Incidents sowie Ereignisdaten der erweiterten Bedrohungssuche aus Microsoft Defender-Diensten in Microsoft Sentinel integrieren. Dafür haben Sie den Microsoft Defender XDR-Connector verwendet.

Informationen zur Verwendung von Microsoft Sentinel integriert mit Defender XDR als Unified Security Operations Platform von Microsoft finden Sie unter Verknüpfen von Microsoft Sentinel mit Microsoft Defender-Portal.