Verbinden des Microsoft Defender XDR-Connectors

  • 6 Minuten

Der Microsoft Defender XDR-Connector (Extended Detection and Response) mit der Integration von Incidents ermöglicht Ihnen, alle Microsoft Defender XDR-Incidents und -Warnungen an Microsoft Sentinel zu streamen. Der Connector synchronisiert die Incidents zwischen beiden Portalen. Microsoft Defender XDR-Vorfälle umfassen alle Benachrichtigungen, Entitäten und andere relevante Informationen. Sie werden gruppiert und durch Warnungen aus den Komponentendiensten Microsoft Defender XDR, Microsoft Defender für Endpunkt, Microsoft Defender for Identity, erweitert. Microsoft Defender für Office 365 und Microsoft Defender for Cloud Apps. Das Verbinden des Microsoft Defender XDR-Connectors ist eine Voraussetzung für die Konfiguration der Unified Security Operations Platform oder der einheitlichen SIEM- (Security Information & Event Management) und XDR-Erfahrung in Microsoft Defender XDR.

Mit dem Connector können Sie auch erweiterte Suchereignisse aus allen oben genannten Komponenten in Microsoft Sentinel streamen. So können Sie die erweiterten Huntingabfragen dieser Defender-Komponenten in Microsoft Sentinel kopieren, Sentinel-Warnungen mit den Ereignisrohdaten der Defender-Komponenten anreichern, um zusätzliche Erkenntnisse zu gewinnen, und die Protokolle mit einer längeren Aufbewahrungsdauer in Log Analytics speichern.

Führen Sie zum Bereitstellen des Connectors die folgenden Schritte aus:

  1. Erweitern Sie im linken Navigationsmenü von Microsoft Sentinel Konfiguration, und wählen Sie dann Datenconnectors aus.

  2. Wählen Sie den Microsoft Defender XDR-Connector aus.

  3. Wählen Sie im Vorschaubereich die Schaltfläche Connectorseite öffnen aus.

  4. Überprüfen Sie auf der Registerkarte Anweisungen die Voraussetzungen, um sich zu vergewissern, dass Sie über die erforderlichen Berechtigungen und Lizenzen verfügen.

  5. Wählen Sie als Nächstes im Abschnitt Konfiguration die Schaltfläche Incidents und Warnungen verbinden aus.

Screenshot der Konfiguration des Defender XDR-Datenconnectors.

Hinweis

Wenn Sie das Kontrollkästchen Alle Microsoft-Incidenterstellungsregeln für diese Produkte deaktivieren (empfohlen) deaktivieren, erhalten Sie möglicherweise Duplizierungen in der Incidentwarteschlange.

Sie können auch UEBA-Entitäten (User and Entity Behavior Analytics) und Ereignisprotokolle aus bestimmten Produkten verbinden.

  1. Wählen Sie die Abschnitte Entitäten verbinden und Ereignisse verbinden aus.

  2. Aktivieren Sie unter Ereignisse die Kontrollkästchen der Ereignistypen, die Sie sammeln möchten, und wählen Sie dann Änderungen übernehmen aus.