Подключить Microsoft Defender для Office 365 к Microsoft Sentinel
Вы можете принимать данные Microsoft Defender для Office 365 (и данные из остальной части набора Microsoft Defender XDR), включая инциденты, в Microsoft Sentinel.
Воспользуйтесь преимуществами управления информационной безопасностью (SIEM) в сочетании с данными из других источников Microsoft 365, синхронизацией инцидентов и оповещений, а также расширенной охотой.
Что необходимо
- Microsoft Defender для Office 365 план 2 или выше. (Входит в планы E5)
- Краткое руководство по Microsoft Sentinel.
- Достаточные разрешения (администратор безопасности в Microsoft 365 & разрешения на чтение и запись в Sentinel).
Добавление соединителя Microsoft Defender XDR
- Войдите в портал Azure и перейдите в Microsoft Sentinel>. Выберите соответствующую рабочую область для интеграции с Microsoft Defender XDR.
- В области навигации в разделе Конфигурация перейдите в раздел Соединители данных.
- После загрузки страницы найдите Microsoft Defender XDR и выберите соединитель Microsoft Defender XDR.
- Во всплывающем окне справа выберите Открыть страницу соединителя.
- В разделе Конфигурация загружаемой страницы выберите Подключить инциденты & оповещения, оставив флажок Отключить все правила создания инцидентов Майкрософт для этих продуктов .
- Прокрутите страницу до Microsoft Defender для Office 365 в разделе События подключения. Выберите EmailEvents, EmailUrlInfo, EmailAttachmentInfo & EmailPostDeliveryEvents , а затем Применить изменения в нижней части страницы. (Выберите таблицы из других продуктов Defender, если это полезно и применимо, на этом шаге.)
Дальнейшие действия
Теперь администраторы могут просматривать инциденты, оповещения и необработанные данные в Microsoft Sentinel и использовать эти данные для расширенной охоты, сводя существующие и новые данные из Microsoft Defender.
Дополнительная информация
Подключение Microsoft Defender XDR данных к Microsoft Sentinel | Документация Майкрософт.