Compartilhar via

Integração do Microsoft Defender XDR com o Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Integre o Microsoft Defender XDR ao Microsoft Sentinel para transmitir todos os incidentes e eventos de busca avançada do Defender XDR para o Microsoft Sentinel, além de manter os incidentes e eventos sincronizados entre os portais do Azure e do Microsoft Defender. Os incidentes do Defender XDR incluem entidades, informações relevantes e alertas associados, fornecendo a você contexto suficiente para executar uma triagem e uma investigação preliminar no Microsoft Sentinel. Uma vez no Microsoft Sentinel, os incidentes permanecem sincronizados com o Defender XDR bidirecionalmente, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes.

Como alternativa, integre o Microsoft Sentinel ao Defender XDR na plataforma de operações de segurança unificada no portal do Defender. A plataforma de operações de segurança unificada reúne todas as funcionalidades do Microsoft Sentinel, do Defender XDR e da IA generativa criada especificamente para segurança cibernética. Para saber mais, consulte os recursos a seguir:

Microsoft Sentinel e Defender XDR

Use um dos seguintes métodos para integrar o Microsoft Sentinel aos serviços do Microsoft Defender XDR:

  • Ingira dados do serviço do Microsoft Defender XDR no Microsoft Sentinel e exiba dados do Microsoft Sentinel no portal do Azure. Habilite o conector do Defender XDR no Microsoft Sentinel.

  • Integre o Microsoft Sentinel e o Defender XDR a uma só plataforma de operações de segurança unificada no portal do Microsoft Defender. Nesse caso, exiba os dados do Microsoft Sentinel diretamente no portal do Microsoft Defender com o restante de seus incidentes, alertas, vulnerabilidades e outros dados de segurança do Defender. Habilite o conector do Defender XDR no Microsoft Sentinel e integre o Microsoft Sentinel à plataforma de operações unificadas no portal do Defender.

Selecione a guia apropriada para ver a aparência da integração do Microsoft Sentinel ao Defender XDR, dependendo de qual método de integração é usado.

A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.

Diagrama da integração do Microsoft Sentinel com o Microsoft XDR.

Neste diagrama:

  • Insights de sinais em toda a sua organização alimentam o Microsoft Defender XDR e o Microsoft Defender para Nuvem.
  • O Microsoft Defender XDR e o Microsoft Defender para Nuvem enviam dados de log SIEM por meio de conectores do Microsoft Sentinel.
  • As equipes de SecOps podem, então, analisar e responder às ameaças identificadas no Microsoft Sentinel e no Microsoft Defender XDR.
  • O Microsoft Sentinel dá suporte a ambientes multinuvem e se integra a aplicativos e parceiros de terceiros.

Correlação entre incidentes e alertas

Com a integração do Defender XDR ao Microsoft Sentinel, os incidentes do Defender XDR ficam visíveis e podem ser gerenciados no Microsoft Sentinel. Com isso, você pode ver uma fila dos principais incidentes em toda a organização. Veja e correlacione os incidentes do Defender XDR junto com os incidentes de todos os seus outros sistemas, locais e na nuvem. Ao mesmo tempo, essa integração permite que você aproveite as vantagens e os recursos exclusivos do Defender XDR para obter investigações detalhadas e uma experiência específica para o Defender em todo o ecossistema do Microsoft 365.

O Defender XDR enriquece e agrupa os alertas de vários produtos do Microsoft Defender, tanto ao reduzir o tamanho da fila de espera de incidentes do SOC quanto ao diminuir o tempo necessário para a resolução. Os alertas dos seguintes produtos e serviços do Microsoft Defender também estão incluídos na integração do Defender XDR ao Microsoft Sentinel:

  • Microsoft Defender para ponto de extremidade
  • Microsoft Defender para Identidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Gerenciamento de Vulnerabilidades do Microsoft Defender

Outros serviços cujos alertas são coletados pelo Defender XDR incluem:

  • Prevenção contra Perda de Dados do Microsoft Purview (Saiba mais)
  • Microsoft Entra ID Protection (Saiba mais)

O conector do Defender XDR também inclui incidentes do Microsoft Defender para Nuvem. Para sincronizar os alertas e as entidades desses incidentes, habilite o conector do Defender para Nuvem no Microsoft Sentinel. Caso contrário, os incidentes do Defender para Nuvem parecerão vazios. Para obter mais informações, veja Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR.

Além de coletar alertas desses componentes e de outros serviços, o Defender XDR gera seus próprios alertas. Ele cria incidentes de todos esses alertas e os envia ao Microsoft Sentinel.

Cenários e casos de uso comuns

Pense em integrar o Defender XDR ao Microsoft Sentinel para os seguintes cenários e casos de uso:

  • Integre o Microsoft Sentinel à plataforma de operações de segurança unificada no portal do Microsoft Defender. Habilitar o conector do Defender XDR é um pré-requisito.

  • Habilite a conexão dos incidentes do Defender XDR com um clique no Microsoft Sentinel, incluindo todos os alertas e entidades dos componentes do Defender XDR.

  • Permita a sincronização bidirecional entre os incidentes do Microsoft Sentinel e do Defender XDR com relação ao status, ao proprietário e ao motivo do fechamento.

  • Aplique os recursos de agrupamento e enriquecimento de alertas do Defender XDR ao Microsoft Sentinel, reduzindo, assim, o tempo necessário para a resolução.

  • Facilite as investigações em ambos os portais por meio de vinculações profundas, dentro do contexto, entre um incidente do Microsoft Sentinel e o respectivo incidente paralelo do Defender XDR.

Para obter mais informações sobre os recursos de integração entre o Microsoft Sentinel e o Defender XDR na plataforma de operações de segurança unificada, confira Microsoft Sentinel no portal do Microsoft Defender.

Conectando-se ao Microsoft Defender XDR

Habilite o conector do Microsoft Defender XDR no Microsoft Sentinel para enviar todos os incidentes e alertas do Defender XDR para o Microsoft Sentinel e manter os incidentes sincronizados.

  • Primeiro, instale a solução Microsoft Defender XDR para Microsoft Sentinel por meio do Hub de conteúdo. Em seguida, habilite o conector de dados do Microsoft Defender XDR para coletar incidentes e alertas. Para obter mais informações, confira Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.

  • Após você ter habilitado os alertas e a coleta de incidentes no conector de dados do Defender XDR, os incidentes do Defender XDR irão aparecer na fila de espera de incidentes do Microsoft Sentinel logo após serem gerados no Defender XDR. Pode haver uma demora de até 10 minutos entre o momento em que um incidente é gerado no Defender XDR e o momento em que aparece no Microsoft Sentinel. Nesses incidentes, o campo Nome do produto do alerta contém Microsoft Defender XDR ou o nome do serviço de um dos componentes do Defender.

  • Para integrar seu workspace do Microsoft Sentinel à plataforma de operações de segurança unificada no portal do Defender, confira Conectar o Microsoft Sentinel ao Microsoft Defender XDR.

Custos de ingestão

Os alertas e os incidentes do Defender XDR, incluindo itens que preenchem as tabelas SecurityAlert e SecurityIncident, são ingeridos e sincronizados com o Microsoft Sentinel sem nenhum custo. Para todos os outros tipos de dados de componentes individuais do Defender (como as tabelas da Busca avançada de ameaças DeviceInfo, DeviceFileEvents, EmailEvents etc.), a ingestão é cobrada. Para obter mais informações, consulte Planejar os custos e entender os preços e a cobrança do Microsoft Sentinel.

Comportamento de ingestão de dados

Quando o conector do Defender XDR está habilitado, os alertas criados por produtos integrados ao Defender XDR são enviados para o Defender XDR e agrupados em incidentes. Tanto os alertas quanto os incidentes fluem para o Microsoft Sentinel por meio do conector do Defender XDR. A exceção a este processo é o Defender para Nuvem. Você tem a opção de habilitar alertas do Defender para Nuvem baseados em locatário para receber todos os alertas e incidentes por meio do Defender XDR ou manter alertas baseados em assinatura e promovê-los a incidentes no Microsoft Sentinel por meio do portal do Azure. Para obter as opções disponíveis e mais informações, confira os seguintes artigos:

Regra de criação de incidentes da Microsoft

Para evitar a criação de incidentes duplicados para os mesmos alertas, a configuração de regras de criação de incidentes da Microsoft é desativada para os produtos integrados ao Defender XDR quando o Defender XDR é conectado. Os produtos integrados ao Defender XDR incluem o Microsoft Defender para Identidade, o Microsoft Defender para Office 365, entre outros. Além disso, não há suporte para regras de criação de incidentes da Microsoft na plataforma de operações de segurança unificada. O Defender XDR tem regras próprias de criação de incidentes. Essa alteração tem os seguintes impactos potenciais:

  • As regras de criação de incidentes do Microsoft Sentinel permitiram filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, preserve a capacidade de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir ou fechar os incidentes que você não quer ver.

  • Depois de habilitar o conector do Defender XDR, você não poderá mais predeterminar os títulos dos incidentes. O mecanismo de correlação do Defender XDR preside a criação de incidentes e nomeia automaticamente os incidentes que ele cria. Essa alteração corre o risco de afetar quaisquer regras de automação que você criou e que usem o nome do incidente como uma condição. Para evitar essa cilada, use critérios que não sejam o nome do incidente como condições para disparar regras de automação. Recomendamos o uso de tags.

  • Se você usar as regras de criação de incidentes do Microsoft Sentinel para outras soluções de segurança da Microsoft ou outros produtos não integrados ao Defender XDR, como o Gerenciamento de Risco Interno do Microsoft Purview, e pretender integrá-las à plataforma de operações de segurança unificada no portal do Defender, substitua as regras de criação de incidentes por regras de análises agendadas.

Como trabalhar com incidentes do Microsoft Defender XDR no Microsoft Sentinel e na sincronização bidirecional

Os incidentes do Defender XDR aparecem na fila de espera de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR, juntamente com detalhes e funcionalidades semelhantes aos de qualquer outro incidente do Microsoft Sentinel. Cada incidente contém um link para outro incidente paralelo no portal do Microsoft Defender XDR.

À medida que o incidente evolui no Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel é atualizado de acordo.

As alterações feitas no status, no motivo de fechamento ou na atribuição de um incidente do Defender XDR, seja no Defender XDR ou no Microsoft Sentinel, serão atualizadas da mesma forma na fila de espera de incidentes do outro recurso. A sincronização ocorrerá em ambos os portais imediatamente após a aplicação da alteração no incidente, sem nenhum atraso. Talvez seja necessário executar uma atualização para conferir as alterações mais recentes.

No Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem de incidentes. Quando essa mesclagem ocorrer, os incidentes do Microsoft Sentinel irão refletir as alterações. Um incidente conterá todos os alertas dos dois incidentes originais, e o outro incidente será fechado automaticamente com a tag "redirecionado" adicionada.

Observação

Os incidentes do Microsoft Sentinel podem conter no máximo 150 alertas. Os incidentes do Defender XDR podem ter mais do que isso. Se um incidente do Defender XDR com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Microsoft Sentinel mostrará "+150" alertas e fornecerá um link para o incidente paralelo no Defender XDR, onde você verá o conjunto completo de alertas.

Coleção avançada de eventos de busca

O conector do Defender XDR também permite que você transmita eventos de busca focada avançada — um tipo de dados brutos de eventos — do Defender XDR e os serviços que o compõem para o Microsoft Sentinel. Colete eventos de busca focada avançada de todos os componentes do Defender XDR e os transmita diretamente para tabelas desenvolvidas para essa finalidade no seu workspace do Microsoft Sentinel. Essas tabelas são criadas no mesmo esquema usado no portal do Defender, fornecendo a você acesso completo ao conjunto integral de eventos de busca avançada e permitindo as seguintes tarefas:

  • Copie facilmente para o Microsoft Sentinel as suas consultas de busca avançada existentes do Microsoft Defender para Ponto de Extremidade/Office 365/Identidade/Aplicativos de nuvem.

  • Usar logs de eventos brutos para fornecer mais insights sobre alertas, buscas e investigações, bem como correlacionar esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.

  • Armazenar os logs com retenção aumentada, além da retenção padrão de 30 dias do Defender XDR ou de seus componentes. Você pode fazer isso configurando a retenção do workspace ou configurando a retenção por tabela no Log Analytics.

Conteúdo relacionado

Neste documento, você aprendeu os benefícios de habilitar o conector do Defender XDR no Microsoft Sentinel.