Conectar Microsoft Defender para Office 365 a Microsoft Sentinel
Puede ingerir los datos de Microsoft Defender para Office 365 (y datos del resto del conjunto de Microsoft Defender XDR), incluidos los incidentes, en Microsoft Sentinel.
Aproveche la administración de eventos de información de seguridad (SIEM) enriquecida combinada con datos de otros orígenes de Microsoft 365, la sincronización de incidentes y alertas y la búsqueda avanzada.
¿Qué es necesario?
- Microsoft Defender para Office 365 Plan 2 o superior. (Incluido en los planes E5)
- Guía de inicio rápido de Microsoft Sentinel.
- Permisos suficientes (administrador de seguridad en Microsoft 365 & permisos de lectura y escritura en Sentinel).
Agregar el conector de Microsoft Defender XDR
- Inicie sesión en el Azure Portal y vaya a Microsoft Sentinel>. Elija el área de trabajo pertinente para integrarla con Microsoft Defender XDR.
- En el panel de navegación, en Configuración, vaya a Conectores de datos.
- Cuando se cargue la página, busque Microsoft Defender XDR y seleccione el conector de Microsoft Defender XDR.
- En el control flotante derecho, seleccione Abrir página del conector.
- En la sección Configuración de la página que se carga, seleccione Conectar incidentes & alertas, dejando desactivadas todas las reglas de creación de incidentes de Microsoft para estos productos seleccionada.
- Desplácese hasta Microsoft Defender para Office 365 en la sección Conectar eventos de la página. Seleccione EmailEvents, EmailUrlInfo, EmailAttachmentInfo & EmailPostDeliveryEvents y, a continuación, Aplicar cambios en la parte inferior de la página. (Elija tablas de otros productos de Defender si es útil y aplicable, durante este paso).
Pasos siguientes
Los administradores ahora pueden ver incidentes, alertas y datos sin procesar en Microsoft Sentinel y usar estos datos para la búsqueda avanzada, pivotando sobre los datos existentes y nuevos de Microsoft Defender.
Más información
Conexión de datos Microsoft Defender XDR a Microsoft Sentinel | Microsoft Docs.