Conexión del conector de Microsoft Defender XDR

  • 6 minutos

El conector de detección y respuesta extendidas (XDR) de Microsoft Defender, con integración de incidentes, le permite transmitir todos los incidentes y alertas de XDR de Microsoft Defender a Microsoft Sentinel. El conector mantiene sincronizados los incidentes entre ambos portales. Los incidentes de Microsoft Defender XDR incluyen todas sus alertas, entidades y otra información relevante. Se agrupan y se enriquecen mediante alertas de los servicios de componentes de Microsoft Defender XDR, Microsoft Defender para punto de conexión, Microsoft Defender for Identity, Microsoft Defender para Office 365 y aplicaciones de Microsoft Defender for Cloud. La conexión del conector XDR de Microsoft Defender es un requisito previo para configurar la Plataforma de operaciones de seguridad unificada o la experiencia unificada de administración de eventos e información de seguridad (SIEM) y XDR en Microsoft Defender XDR.

El conector también le permite transmitir eventos de búsqueda avanzada de todos los componentes anteriores a Microsoft Sentinel. Esto le permite copiar las consultas de búsqueda avanzada de esos componentes de Defender en Microsoft Sentinel, enriquecer las alertas de Sentinel con los datos de eventos sin formato de los componentes de Defender para extraer información adicional y almacenar los registros con una mayor retención en Log Analytics.

Para implementar el conector, siga estos pasos:

  1. En el menú de navegación izquierdo de Microsoft Sentinel, expanda Configuración y a continuación, seleccione Conectores de datos.

  2. Seleccione el conector XDR de Microsoft Defender.

  3. Selecciona el botón Abrir página del conector en el panel de vista previa.

  4. En la pestaña Instrucciones, revise los Requisitos previos para confirmar que tiene los permisos y licencias necesarios.

  5. A continuación, en la secciónConfiguración, seleccione el botónConectar incidentes y alertas.

Recorte de pantalla de la configuración del conector de datos XDR de Defender.

Nota:

Si desmarca la casilla Desactivar todas las reglas de creación de incidencias de Microsoft para estos productos. Casilla recomendada, puede recibir duplicaciones en la cola de incidentes.

También puede conectar (análisis de comportamiento de usuarios y entidades) entidades y registros de eventos de UEBA desde productos específicos.

  1. Seleccione las secciones Conectar entidades y Conectar eventos.

  2. En el caso de los eventos, marque las casillas de los tipos de eventos que desea recopilar y a continuación, seleccione Aplicar cambios.