De Microsoft Defender XDR-connector verbinden

  • 6 minuten

Met de XDR-connector (Extended Detection and Response) van Microsoft Defender, met integratie van incidenten, kunt u alle Microsoft Defender XDR-incidenten en -waarschuwingen streamen naar Microsoft Sentinel. De connector houdt de incidenten gesynchroniseerd tussen beide portals. Microsoft Defender XDR-incidenten bevatten al hun waarschuwingen, entiteiten en andere relevante informatie. Ze zijn gegroepeerd en worden verrijkt met waarschuwingen van de onderdeelservices van Microsoft Defender XDR, Microsoft Defender voor Eindpunt, Microsoft Defender for Identity, Microsoft Defender voor Office 365 en Microsoft Defender voor Cloud Apps. Het verbinden van de Microsoft Defender XDR-connector is een vereiste voor het configureren van het Unified Security Operations Platform of unified security information and event management (SIEM) en XDR-ervaring in Microsoft Defender XDR.

Met de connector kunt u ook geavanceerde opsporingsgebeurtenissen van alle bovenstaande onderdelen streamen naar Microsoft Sentinel. Hiermee kunt u de geavanceerde opsporingsquery's van die Defender-onderdelen kopiƫren naar Microsoft Sentinel, Sentinel-waarschuwingen verrijken met de onbewerkte gebeurtenisgegevens van de Defender-onderdelen om meer inzicht te krijgen en de logboeken op te slaan met een verhoogde retentie in Log Analytics.

Ga als volgt te werk om de connector te implementeren:

  1. Vouw in het linkernavigatiemenu van Microsoft Sentinel configuratie uit en selecteer vervolgens Gegevensconnectors.

  2. Selecteer de Microsoft Defender XDR-connector .

  3. Selecteer de knop Connectorpagina openen in het voorbeeldvenster.

  4. Controleer op het tabblad Instructies de vereisten om te bevestigen dat u over de vereiste machtigingen en licenties beschikt.

  5. Selecteer vervolgens in de sectie Configuratie de knop Verbindingsincidenten en waarschuwingen .

Schermopname van de configuratie van de Defender XDR-gegevensconnector.

Notitie

Als u het selectievakje Alle regels voor het maken van microsoft-incidenten voor deze producten uitschakelt. Aanbevolen selectievakje, mogelijk ontvangt u duplicaties in de wachtrij voor incidenten.

UEBA-entiteiten en -gebeurtenissenlogboeken van specifieke producten kunt u ook verbinding maken (analyse van gebruikers- en entiteitsgedrag).

  1. Selecteer de secties Connect-entiteiten en Connect-gebeurtenissen .

  2. Voor gebeurtenissen markeert u de selectievakjes van de gebeurtenistypen die u wilt verzamelen en selecteert u Wijzigingen toepassen.