Łączenie łącznika XDR usługi Microsoft Defender

  • 6 min

Łącznik rozszerzonego wykrywania i reagowania w usłudze Microsoft Defender (XDR) z integracją incydentów umożliwia przesyłanie strumieniowe wszystkich zdarzeń i alertów usługi Microsoft Defender XDR do usługi Microsoft Sentinel. Łącznik zachowuje synchronizację zdarzeń między obydwoma portalami. Zdarzenia XDR w usłudze Microsoft Defender obejmują wszystkie swoje alerty, jednostki i inne istotne informacje. Są one grupowane razem i wzbogacane przez alerty z usług składników usługi Microsoft Defender XDR, Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity, Ochrona usługi Office 365 w usłudze Microsoft Defender i Microsoft Defender dla Chmury Apps. Łączenie łącznika XDR usługi Microsoft Defender jest wymaganiem wstępnym do skonfigurowania ujednoliconej platformy operacji zabezpieczeń lub ujednoliconego zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i środowiska XDR w usłudze Microsoft Defender XDR.

Łącznik umożliwia również przesyłanie strumieniowe zaawansowanych zdarzeń wyszukiwania zagrożeń ze wszystkich powyższych składników do usługi Microsoft Sentinel. Dzięki temu można kopiować zaawansowane zapytania dotyczące wyszukiwania zagrożeń tych składników usługi Defender do usługi Microsoft Sentinel, wzbogacać alerty usługi Sentinel o nieprzetworzone dane zdarzeń składników usługi Defender, aby zapewnić więcej szczegółowych informacji i przechowywać dzienniki ze zwiększonym przechowywaniem w usłudze Log Analytics.

Aby wdrożyć łącznik, wykonaj następujące czynności:

  1. W menu nawigacji po lewej stronie usługi Microsoft Sentinel rozwiń węzeł Konfiguracja , a następnie wybierz pozycję Łączniki danych.

  2. Wybierz łącznik XDR usługi Microsoft Defender.

  3. Wybierz przycisk Otwórz łącznik w okienku podglądu.

  4. Na karcie Instrukcje przejrzyj wymagania wstępne, aby potwierdzić, że masz wymagane uprawnienia i licencje.

  5. Następnie w sekcji Konfiguracja wybierz przycisk Połącz zdarzenia i alerty .

Przechwytywanie ekranu konfiguracji łącznika danych XDR usługi Defender.

Uwaga

Jeśli wyłączysz zaznaczenie opcji Wyłącz wszystkie reguły tworzenia zdarzeń firmy Microsoft dla tych produktów. Zalecane pole wyboru może spowodować duplikowanie w kolejce zdarzeń.

Możesz również połączyć (analizy zachowań użytkowników i jednostek) jednostki UEBA i dzienniki zdarzeń z określonych produktów.

  1. Wybierz sekcje Łączenie jednostek i Łączenie zdarzeń .

  2. W przypadku zdarzeń zaznacz pola wyboru typów zdarzeń, które chcesz zebrać, a następnie wybierz pozycję Zastosuj zmiany.