Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Zintegruj usługę Microsoft Defender XDR z usługą Microsoft Sentinel, aby przesyłać strumieniowo wszystkie zdarzenia XDR usługi Defender i zaawansowane zdarzenia wyszukiwania zagrożeń do usługi Microsoft Sentinel oraz zachowywać synchronizację zdarzeń i zdarzeń między portalami platformy Azure i usługi Microsoft Defender. Zdarzenia z usługi Defender XDR obejmują wszystkie skojarzone alerty, jednostki i odpowiednie informacje, zapewniając wystarczającą ilość kontekstu do przeprowadzenia klasyfikacji i wstępnego badania w usłudze Microsoft Sentinel. Po przejściu do usługi Microsoft Sentinel zdarzenia pozostają dwukierunkowo synchronizowane z usługą Defender XDR, co pozwala korzystać z zalet obu portali w badaniu zdarzeń.

Alternatywnie dołącz usługę Microsoft Sentinel z usługą Defender XDR do ujednoliconej platformy operacji zabezpieczeń (SecOps) firmy Microsoft w portalu usługi Defender. Ujednolicona platforma SecOps firmy Microsoft łączy pełne możliwości usług Microsoft Sentinel, Defender XDR i generujące sztuczną inteligencję utworzoną specjalnie na potrzeby cyberbezpieczeństwa. Aby uzyskać więcej informacji, zobacz następujące zasoby:

• Wpis w blogu: Ogólna dostępność ujednoliconej platformy operacji zabezpieczeń firmy Microsoft
• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Microsoft Copilot w usłudze Microsoft Defender

Microsoft Sentinel i Defender XDR

Użyj jednej z następujących metod, aby zintegrować usługę Microsoft Sentinel z usługami XDR w usłudze Microsoft Defender:

• Pozyskiwanie danych usługi Microsoft Defender XDR do usługi Microsoft Sentinel i wyświetlanie danych usługi Microsoft Sentinel w witrynie Azure Portal. Włącz łącznik XDR usługi Defender w usłudze Microsoft Sentinel.

• Integrowanie usług Microsoft Sentinel i Defender XDR z jedną, ujednoliconą platformą operacji zabezpieczeń w portalu usługi Microsoft Defender. W takim przypadku wyświetl dane usługi Microsoft Sentinel bezpośrednio w portalu usługi Microsoft Defender, a pozostałe zdarzenia, alerty, luki w zabezpieczeniach i inne dane zabezpieczeń. Włącz łącznik Defender XDR w usłudze Microsoft Sentinel i dołącz usługę Microsoft Sentinel do ujednoliconej platformy SecOps firmy Microsoft w portalu usługi Defender.

Wybierz odpowiednią kartę, aby zobaczyć, jak wygląda integracja usługi Microsoft Sentinel z usługą Defender XDR w zależności od używanej metody integracji.

Witryna Azure Portal

Na poniższej ilustracji pokazano, jak rozwiązanie XDR firmy Microsoft bezproblemowo integruje się z usługą Microsoft Sentinel.

Na tym diagramie:

• Szczegółowe informacje z sygnałów w całej organizacji są wprowadzane do usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.
• Usługa Microsoft Defender XDR i Microsoft Defender dla Chmury wysyłają dane dziennika SIEM za pośrednictwem łączników usługi Microsoft Sentinel.
• Zespoły SecOps mogą następnie analizować zagrożenia zidentyfikowane w usługach Microsoft Sentinel i Microsoft Defender XDR i reagować na nie.
• Usługa Microsoft Sentinel zapewnia obsługę środowisk wielochmurowych i integruje się z aplikacjami i partnerami innych firm.

Portal usługi Defender

Na poniższej ilustracji pokazano, jak rozwiązanie XDR firmy Microsoft bezproblemowo integruje się z usługą Microsoft Sentinel z ujednoliconą platformą SecOps firmy Microsoft.

Na tym diagramie:

• Szczegółowe informacje z sygnałów w całej organizacji są wprowadzane do usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.
• Usługa Microsoft Sentinel zapewnia obsługę środowisk wielochmurowych i integruje się z aplikacjami i partnerami innych firm.
• Dane usługi Microsoft Sentinel są pozyskiwane wraz z danymi organizacji w portalu usługi Microsoft Defender.
• Zespoły SecOps mogą następnie analizować zagrożenia identyfikowane przez usługi Microsoft Sentinel i Microsoft Defender XDR i reagować na nie w portalu usługi Microsoft Defender.

Korelacja zdarzeń i alerty

Dzięki integracji usługi Defender XDR z usługą Microsoft Sentinel zdarzenia XDR w usłudze Defender są widoczne i możliwe do zarządzania z poziomu usługi Microsoft Sentinel. Zapewnia to podstawową kolejkę zdarzeń w całej organizacji. Wyświetlanie i korelowanie zdarzeń XDR usługi Defender wraz ze zdarzeniami ze wszystkich innych systemów w chmurze i lokalnych. Jednocześnie ta integracja umożliwia korzystanie z unikatowych mocnych stron i możliwości usługi Defender XDR na potrzeby szczegółowych badań i środowiska specyficznego dla usługi Defender w ekosystemie platformy Microsoft 365.

Usługa Defender XDR wzbogaca i grupuje alerty z wielu produktów usługi Microsoft Defender, jednocześnie zmniejszając rozmiar kolejki zdarzeń SOC i skracając czas rozwiązywania problemów. Alerty z następujących produktów i usług microsoft Defender są również uwzględniane w integracji usługi Defender XDR z usługą Microsoft Sentinel:

• Usługa Microsoft Defender dla punktu końcowego
• Microsoft Defender for Identity
• Microsoft Defender dla usługi Office 365
• Microsoft Defender for Cloud Apps
• Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Inne usługi, których alerty są zbierane przez usługę Defender XDR, obejmują:

• Ochrona przed utratą danych w Microsoft Purview (dowiedz się więcej)
• Ochrona tożsamości Microsoft Entra (dowiedz się więcej)

Łącznik XDR usługi Defender przenosi również zdarzenia z Microsoft Defender dla Chmury. Aby zsynchronizować alerty i jednostki z tych zdarzeń, należy również włączyć łącznik Defender dla Chmury w usłudze Microsoft Sentinel. W przeciwnym razie zdarzenia Defender dla Chmury są puste. Aby uzyskać więcej informacji, zobacz Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji XDR z usługą Microsoft Defender.

Oprócz zbierania alertów z tych składników i innych usług usługa Defender XDR generuje własne alerty. Tworzy zdarzenia na podstawie wszystkich tych alertów i wysyła je do usługi Microsoft Sentinel.

Typowe przypadki użycia i scenariusze

Rozważ integrację usługi Defender XDR z usługą Microsoft Sentinel w następujących przypadkach użycia i scenariuszach:

• Dołącz usługę Microsoft Sentinel do ujednoliconej platformy SecOps firmy Microsoft w portalu usługi Microsoft Defender. Włączenie łącznika XDR usługi Defender jest wymaganiem wstępnym.

• Włącz jedno kliknięcie połączenia z incydentami XDR w usłudze Defender, w tym wszystkie alerty i jednostki ze składników XDR usługi Defender, do usługi Microsoft Sentinel.

• Zezwalaj na dwukierunkową synchronizację między zdarzeniami usługi Microsoft Sentinel i XDR w usłudze Defender na temat stanu, właściciela i przyczyny zamknięcia.

• Zastosuj możliwości grupowania alertów i wzbogacania usługi Defender XDR w usłudze Microsoft Sentinel, co skraca czas rozwiązywania problemów.

• Ułatwiają badanie w obu portalach z głębokimi powiązaniami w kontekście między incydentem usługi Microsoft Sentinel a równoległym zdarzeniem usługi Defender XDR.

Aby uzyskać więcej informacji na temat możliwości integracji usługi Microsoft Sentinel z usługą Defender XDR na ujednoliconej platformie SecOps firmy Microsoft, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Nawiązywanie połączenia z usługą Microsoft Defender XDR

Włącz łącznik XDR usługi Microsoft Defender w usłudze Microsoft Sentinel, aby wysyłać wszystkie zdarzenia i alerty usługi Defender XDR do usługi Microsoft Sentinel i zachować synchronizację zdarzeń.

• Najpierw zainstaluj rozwiązanie XDR usługi Microsoft Defender dla usługi Microsoft Sentinel z centrum zawartości. Następnie włącz łącznik danych usługi Microsoft Defender XDR , aby zbierać zdarzenia i alerty. Aby uzyskać więcej informacji, zobacz Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel.

• Po włączeniu zbierania alertów i zdarzeń w łączniku danych XDR usługi Defender zdarzenia XDR są wyświetlane w kolejce zdarzeń usługi Microsoft Sentinel wkrótce po ich wygenerowaniu w usłudze Defender XDR. Może upłynąć do 10 minut od momentu wygenerowania zdarzenia w usłudze Defender XDR do momentu pojawienia się go w usłudze Microsoft Sentinel. W tych zdarzeniach pole Nazwa produktu Alert zawiera ciąg Microsoft Defender XDR lub jedną z nazw usług Defender.

• Aby dołączyć obszar roboczy usługi Microsoft Sentinel do ujednoliconej platformy SecOps firmy Microsoft w portalu usługi Defender, zobacz Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR.

Koszty pozyskiwania

Alerty i zdarzenia z usługi Defender XDR, w tym elementy, które wypełniają tabele SecurityAlert i SecurityIncident , są pozyskiwane i synchronizowane z usługą Microsoft Sentinel bez opłat. W przypadku wszystkich innych typów danych z poszczególnych składników usługi Defender, takich jak zaawansowane tabele wyszukiwania zagrożeń DeviceInfo, DeviceFileEvents, EmailEvents itd., są naliczane opłaty za pozyskiwanie. Aby uzyskać więcej informacji, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.

Zachowanie pozyskiwania danych

Po włączeniu łącznika XDR usługi Defender alerty utworzone przez produkty zintegrowane z usługą Defender XDR są wysyłane do usługi Defender XDR i grupowane w zdarzenia. Zarówno alerty, jak i zdarzenia przepływają do usługi Microsoft Sentinel za pośrednictwem łącznika XDR usługi Defender. Wyjątkiem od tego procesu jest Defender dla Chmury. Istnieje możliwość włączenia alertów Defender dla Chmury opartych na dzierżawie w celu otrzymywania wszystkich alertów i zdarzeń za pośrednictwem usługi Defender XDR lub zachowywania alertów opartych na subskrypcji i promowania ich do zdarzeń w usłudze Microsoft Sentinel w witrynie Azure Portal. Aby uzyskać dostępne opcje i więcej informacji, zobacz następujące artykuły:

• Microsoft Defender dla Chmury w portalu usługi Microsoft Defender
• Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji usługi Microsoft Defender XDR

Reguły tworzenia zdarzeń firmy Microsoft

Aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, ustawienie reguł tworzenia zdarzeń firmy Microsoft jest wyłączone dla produktów zintegrowanych z usługą Defender XDR podczas nawiązywania połączenia z usługą Defender XDR. Produkty zintegrowane z usługą Defender XDR obejmują usługę Microsoft Defender for Identity, Ochrona usługi Office 365 w usłudze Microsoft Defender i nie tylko. Ponadto reguły tworzenia zdarzeń firmy Microsoft nie są obsługiwane na ujednoliconej platformie SecOps firmy Microsoft. Usługa Defender XDR ma własne reguły tworzenia zdarzeń. Ta zmiana ma następujący potencjalny wpływ:

• Reguły tworzenia zdarzeń usługi Microsoft Sentinel umożliwiają filtrowanie alertów, które będą używane do tworzenia zdarzeń. Po wyłączeniu tych reguł zachowaj możliwość filtrowania alertów, konfigurując dostrajanie alertów w portalu usługi Microsoft Defender lub używając reguł automatyzacji w celu pomijania lub zamykania zdarzeń, których nie chcesz.

• Po włączeniu łącznika XDR usługi Defender nie można już wstępnie określić tytułów zdarzeń. Aparat korelacji XDR usługi Defender przewodniczy tworzeniu incydentów i automatycznie określa tworzone zdarzenia. Ta zmiana może mieć wpływ na wszystkie utworzone reguły automatyzacji, które używają nazwy zdarzenia jako warunku. Aby uniknąć tej pułapki, użyj kryteriów innych niż nazwa zdarzenia jako warunków wyzwalania reguł automatyzacji. Zalecamy używanie tagów.

• Jeśli używasz reguł tworzenia zdarzeń usługi Microsoft Sentinel dla innych rozwiązań zabezpieczeń lub produktów firmy Microsoft, które nie są zintegrowane z usługą Defender XDR, takich jak Zarządzanie ryzykiem wewnętrznym w Microsoft Purview, i planujesz dołączyć do ujednoliconej platformy SecOps firmy Microsoft w portalu Defender, zastąp reguły tworzenia zdarzeń zaplanowanymi regułami analizy.

Praca ze zdarzeniami XDR w usłudze Microsoft Defender w usłudze Microsoft Sentinel i synchronizacji dwukierunkowej

Zdarzenia XDR usługi Defender są wyświetlane w kolejce zdarzeń usługi Microsoft Sentinel z nazwą produktu Microsoft Defender XDR oraz podobne szczegóły i funkcje do innych zdarzeń usługi Microsoft Sentinel. Każde zdarzenie zawiera link z powrotem do zdarzenia równoległego w portalu usługi Microsoft Defender.

W miarę rozwoju zdarzenia w usłudze Defender XDR i dodawaniu do niego większej liczby alertów lub jednostek zdarzenie usługi Microsoft Sentinel jest odpowiednio aktualizowane.

Zmiany stanu, przyczyny zamknięcia lub przypisania zdarzenia XDR usługi Defender w usłudze Defender XDR lub Microsoft Sentinel są odpowiednio aktualizowane w kolejce zdarzeń innych. Synchronizacja odbywa się w obu portalach natychmiast po zastosowaniu zmiany zdarzenia bez opóźnień. Może być wymagane odświeżenie w celu wyświetlenia najnowszych zmian.

W usłudze Defender XDR wszystkie alerty z jednego zdarzenia można przenosić do innego, co powoduje scalenie zdarzeń. W przypadku tego scalania zdarzenia usługi Microsoft Sentinel odzwierciedlają zmiany. Jedno zdarzenie zawiera wszystkie alerty zarówno z oryginalnych zdarzeń, jak i drugie zdarzenie jest automatycznie zamykane z dodanym tagiem "przekierowane".

Uwaga

Zdarzenia w usłudze Microsoft Sentinel mogą zawierać maksymalnie 150 alertów. Zdarzenia XDR usługi Defender mogą mieć więcej niż to. Jeśli zdarzenie usługi Defender XDR z ponad 150 alertami jest synchronizowane z usługą Microsoft Sentinel, zdarzenie usługi Microsoft Sentinel jest wyświetlane jako alerty "150+" i zawiera link do zdarzenia równoległego w usłudze Defender XDR, w którym jest wyświetlany pełny zestaw alertów.

Zaawansowana kolekcja zdarzeń wyszukiwania zagrożeń

Łącznik XDR usługi Defender umożliwia również przesyłanie strumieniowe zaawansowanych zdarzeń wyszukiwania zagrożeń — typu nieprzetworzonych danych zdarzeń — z usługi Defender XDR i jego usług składników do usługi Microsoft Sentinel. Zbierz zaawansowane zdarzenia wyszukiwania zagrożeń ze wszystkich składników usługi Defender XDR i przesyłaj je bezpośrednio do wbudowanych specjalnie tabel w obszarze roboczym usługi Microsoft Sentinel. Te tabele są oparte na tym samym schemacie, który jest używany w portalu usługi Defender, co zapewnia pełny dostęp do pełnego zestawu zaawansowanych zdarzeń wyszukiwania zagrożeń i umożliwia wykonywanie następujących zadań:

• Łatwe kopiowanie istniejących zapytań wyszukiwania zagrożeń Ochrona punktu końcowego w usłudze Microsoft Defender/Office 365/Identity/Cloud Apps do usługi Microsoft Sentinel.

• Użyj nieprzetworzonych dzienników zdarzeń, aby uzyskać szczegółowe informacje dotyczące alertów, wyszukiwania zagrożeń i badania oraz skorelowania tych zdarzeń z innych źródeł danych w usłudze Microsoft Sentinel.

• Przechowuj dzienniki ze zwiększonym przechowywaniem, poza domyślnym przechowywaniem usługi Defender XDR lub jego składników przez 30 dni. Można to zrobić, konfigurując przechowywanie obszaru roboczego lub konfigurując przechowywanie poszczególnych tabel w usłudze Log Analytics.

Powiązana zawartość

W tym dokumencie przedstawiono zalety włączania łącznika XDR usługi Defender w usłudze Microsoft Sentinel.

• Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel
• Aby użyć ujednoliconej platformy SecOps firmy Microsoft w portalu usługi Defender, zobacz Łączenie usługi Microsoft Sentinel z portalem usługi Microsoft Defender.
• Sprawdź dostępność różnych typów danych XDR w usłudze Microsoft Defender w różnych chmurach platformy Microsoft 365 i na platformie Azure.