Conecte o conector XDR do Microsoft Defender

  • 6 minutos

O conector XDR (extended detection and response) do Microsoft Defender, com integração de incidentes, permite transmitir todos os incidentes e alertas do Microsoft Defender XDR para o Microsoft Sentinel. O conector mantém os incidentes sincronizados entre os dois portais. Os incidentes do Microsoft Defender XDR incluem todos os seus alertas, entidades e outras informações relevantes. Eles são agrupados e enriquecidos por alertas dos serviços de componentes do Microsoft Defender XDR, Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365 e Microsoft Defender for Cloud Apps. Conectar o conector XDR do Microsoft Defender é um pré-requisito para configurar a Plataforma de Operações de Segurança Unificada ou a experiência de gerenciamento unificado de eventos e informações de segurança (SIEM) e XDR no Microsoft Defender XDR.

O conector também permite transmitir eventos de caça avançados de todos os componentes acima para o Microsoft Sentinel. Isso permite copiar as consultas de caça avançadas desses componentes do Defender para o Microsoft Sentinel, enriquecer os alertas do Sentinel com os dados brutos de eventos dos componentes do Defender para fornecer mais informações e armazenar os logs com maior retenção no Log Analytics.

Para implantar o conector, execute as seguintes etapas:

  1. No menu de navegação esquerdo do Microsoft Sentinel, expanda Configuração e selecione Conectores de dados.

  2. Selecione o conector Microsoft Defender XDR .

  3. Selecione o botão Abrir página do conector no painel de visualização.

  4. Na guia Instruções, revise os Pré-requisitos para confirmar que você tem as permissões e licenças necessárias.

  5. Em seguida, na seção Configuração , selecione o botão Conectar incidentes & alertas .

Captura de tela da configuração do conector de dados Defender XDR.

Nota

Se você desmarcar a opção Desativar todas as regras de criação de incidentes da Microsoft para esses produtos. Caixa de seleção recomendada , você pode receber duplicações na fila de incidentes.

Você também pode conectar (análise de comportamento de usuário e entidade) entidades UEBA e logs de eventos de produtos específicos.

  1. Selecione as seções Conectar entidades e Conectar eventos .

  2. Para eventos, marque as caixas de seleção dos tipos de evento que deseja coletar e selecione Aplicar alterações.