Connettere il connettore Microsoft Defender XDR

Completato

Il connettore di rilevamento e reazione risposta (XDR) di Microsoft Defender, con integrazione degli incidenti, consente di trasmettere tutti gli incidenti e gli avvisi di Microsoft Defender XDR in Microsoft Sentinel. Il connettore mantiene sincronizzati gli incidenti tra entrambi i portali. Gli incidenti di Microsoft Defender XDR includono tutti i relativi avvisi, entità e altre informazioni pertinenti. Sono raggruppati insieme e sono arricchiti da avvisi dai servizi componenti di Microsoft Defender XDR, Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365 e Microsoft Defender for Cloud Apps. La connessione del connettore Microsoft Defender XDR è un prerequisito per la configurazione della piattaforma operativa di sicurezza unificata o l'esperienza SIEM (Security Information and Event Management) unificata e XDR in Microsoft Defender XDR.

Il connettore consente anche di trasmettere eventi di ricerca avanzati da tutti i componenti precedenti a Microsoft Sentinel. In questo modo è possibile copiare le query di ricerca avanzate dei componenti Defender in Microsoft Sentinel, arricchire gli avvisi di Sentinel con i dati degli eventi non elaborati dei componenti Defender per fornire ulteriori informazioni dettagliate e archiviare i log con un periodo di conservazione maggiore in Log Analytics.

Per distribuire il connettore, procedere come segue:

  1. Nel menu di spostamento a sinistra di Microsoft Sentinel, espandere Configurazione e quindi selezionare Connettori dati.

  2. Selezionare il connettore Microsoft Defender XDR.

  3. Selezionare il pulsante della pagina Apri connettore nel riquadro di anteprima.

  4. Nella scheda Istruzioni, esaminare il Prerequisiti per verificare di avere le autorizzazioni e le licenze necessarie.

  5. Quindi, nella sezione Configurazione selezionare il pulsante Connetti incidenti e avvisi.

Ritaglio di schermata della configurazione del connettore dati Defender XDR.

Nota

Se si deseleziona la casella Disattiva tutte le regole di creazione incidenti di Microsoft per questi prodotti. Opzione consigliata, è possibile che si ricevano duplicazioni nella coda degli incidenti.

È anche possibile connettere (analisi del comportamento degli utenti e delle entità) log di entità UEBA ed eventi da prodotti specifici.

  1. Selezionare le sezioni Connetti entità e Connetti eventi.

  2. Per eventi, contrassegnare le caselle di controllo dei tipi di evento da raccogliere e quindi selezionare Applica modifiche.