Microsoft Defender XDR-integrering med Microsoft Sentinel
Integrera Microsoft Defender XDR med Microsoft Sentinel för att strömma alla Defender XDR-incidenter och avancerade jakthändelser till Microsoft Sentinel och hålla incidenterna och händelserna synkroniserade mellan Azure- och Microsoft Defender-portalerna. Incidenter från Defender XDR omfattar alla associerade aviseringar, entiteter och relevant information, vilket ger dig tillräckligt med kontext för att utföra en triage- och förundersökning i Microsoft Sentinel. Väl i Microsoft Sentinel är incidenter fortfarande dubbelriktade synkroniserade med Defender XDR, så att du kan dra nytta av fördelarna med båda portalerna i din incidentundersökning.
Du kan också registrera Microsoft Sentinel med Defender XDR till Microsofts secops-plattform (Unified Security Operations) i Defender-portalen. Microsofts enhetliga SecOps-plattform sammanför alla funktioner i Microsoft Sentinel, Defender XDR och generativ AI som skapats specifikt för cybersäkerhet. Mer information finns i följande resurser:
- Blogginlägg: Allmän tillgänglighet för Microsofts enhetliga säkerhetsåtgärdsplattform
- Microsoft Sentinel i Microsoft Defender-portalen
- Microsoft Copilot i Microsoft Defender
Microsoft Sentinel och Defender XDR
Använd någon av följande metoder för att integrera Microsoft Sentinel med Microsoft Defender XDR-tjänster:
Mata in Microsoft Defender XDR-tjänstdata i Microsoft Sentinel och visa Microsoft Sentinel-data i Azure Portal. Aktivera Defender XDR-anslutningsappen i Microsoft Sentinel.
Integrera Microsoft Sentinel och Defender XDR i en enda enhetlig säkerhetsåtgärdsplattform i Microsoft Defender-portalen. I det här fallet kan du visa Microsoft Sentinel-data direkt i Microsoft Defender-portalen med resten av dina Defender-incidenter, aviseringar, sårbarheter och andra säkerhetsdata. Aktivera Defender XDR-anslutningsappen i Microsoft Sentinel och registrera Microsoft Sentinel på Microsofts enhetliga SecOps-plattform i Defender-portalen.
Välj lämplig flik för att se hur Microsoft Sentinel-integreringen med Defender XDR ser ut beroende på vilken integrationsmetod du använder.
Följande bild visar hur Microsofts XDR-lösning sömlöst integreras med Microsoft Sentinel.
I det här diagrammet:
- Insikter från signaler i hela organisationen matas in i Microsoft Defender XDR och Microsoft Defender för molnet.
- Microsoft Defender XDR och Microsoft Defender för molnet skicka SIEM-loggdata via Microsoft Sentinel-anslutningsappar.
- SecOps-team kan sedan analysera och svara på hot som identifierats i Microsoft Sentinel och Microsoft Defender XDR.
- Microsoft Sentinel tillhandahåller stöd för miljöer med flera moln och integreras med appar och partner från tredje part.
Incidentkorrelation och aviseringar
Med integreringen av Defender XDR med Microsoft Sentinel är Defender XDR-incidenter synliga och hanterbara inifrån Microsoft Sentinel. Detta ger dig en primär incidentkö i hela organisationen. Se och korrelera Defender XDR-incidenter tillsammans med incidenter från alla dina andra moln- och lokala system. Samtidigt kan du med den här integreringen dra nytta av de unika styrkorna och funktionerna i Defender XDR för djupgående undersökningar och en Defender-specifik upplevelse i Microsoft 365-ekosystemet.
Defender XDR berikar och grupperar aviseringar från flera Microsoft Defender-produkter, vilket både minskar storleken på SOC:s incidentkö och förkortar tiden för att lösa problemet. Aviseringar från följande Microsoft Defender-produkter och -tjänster ingår också i integreringen av Defender XDR till Microsoft Sentinel:
- Microsoft Defender för slutpunkter
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender – hantering av säkerhetsrisker
Andra tjänster vars aviseringar samlas in av Defender XDR är:
Defender XDR-anslutningsappen innehåller även incidenter från Microsoft Defender för molnet. Om du vill synkronisera aviseringar och entiteter från dessa incidenter måste du även aktivera Defender för molnet-anslutningsappen i Microsoft Sentinel. Annars visas dina Defender för molnet incidenter tomma. Mer information finns i Mata in Microsoft Defender för molnet incidenter med Microsoft Defender XDR-integrering.
Förutom att samla in aviseringar från dessa komponenter och andra tjänster genererar Defender XDR egna aviseringar. Den skapar incidenter från alla dessa aviseringar och skickar dem till Microsoft Sentinel.
Vanliga användningsfall och scenarier
Överväg att integrera Defender XDR med Microsoft Sentinel för följande användningsfall och scenarier:
Publicera Microsoft Sentinel till Microsofts enhetliga SecOps-plattform i Microsoft Defender-portalen. Det är en förutsättning att du aktiverar Defender XDR-anslutningsappen.
Aktivera en klickning av Defender XDR-incidenter, inklusive alla aviseringar och entiteter från Defender XDR-komponenter, till Microsoft Sentinel.
Tillåt dubbelriktad synkronisering mellan Microsoft Sentinel- och Defender XDR-incidenter för status, ägare och stängningsorsak.
Använd funktionerna för att gruppera och berika Defender XDR-aviseringar i Microsoft Sentinel, vilket minskar tiden för att lösa problemet.
Underlätta undersökningar i båda portalerna med djupgående länkar i kontexten mellan en Microsoft Sentinel-incident och dess parallella Defender XDR-incident.
Mer information om funktionerna i Microsoft Sentinel-integreringen med Defender XDR i Microsofts enhetliga SecOps-plattform finns i Microsoft Sentinel i Microsoft Defender-portalen.
Ansluta till Microsoft Defender XDR
Aktivera Microsoft Defender XDR-anslutningsappen i Microsoft Sentinel för att skicka alla Defender XDR-incidenter och aviseringsinformation till Microsoft Sentinel och hålla incidenterna synkroniserade.
Installera först Microsoft Defender XDR-lösningen för Microsoft Sentinel från innehållshubben. Aktivera sedan Microsoft Defender XDR-dataanslutningen för att samla in incidenter och aviseringar. Mer information finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.
När du har aktiverat aviserings- och incidentinsamling i Defender XDR-dataanslutningsappen visas Defender XDR-incidenter i Microsoft Sentinel-incidentkön kort efter att de har genererats i Defender XDR. Det kan ta upp till 10 minuter från det att en incident genereras i Defender XDR till den tidpunkt då den visas i Microsoft Sentinel. I dessa incidenter innehåller fältet Aviseringsproduktnamn Microsoft Defender XDR eller något av komponentens Defender-tjänsters namn.
Information om hur du registrerar din Microsoft Sentinel-arbetsyta på Microsofts enhetliga SecOps-plattform i Defender-portalen finns i Ansluta Microsoft Sentinel till Microsoft Defender XDR.
Inmatningskostnader
Aviseringar och incidenter från Defender XDR, inklusive objekt som fyller i tabellerna SecurityAlert och SecurityIncident , matas in i och synkroniseras utan kostnad med Microsoft Sentinel. För alla andra datatyper från enskilda Defender-komponenter, till exempel Avancerade jakttabeller DeviceInfo, DeviceFileEvents, EmailEvents och så vidare, debiteras inmatning. Mer information finns i Planera kostnader och förstå priser och fakturering för Microsoft Sentinel.
Datainmatningsbeteende
När Defender XDR-anslutningsappen är aktiverad skickas aviseringar som skapats av Defender XDR-integrerade produkter till Defender XDR och grupperas i incidenter. Både aviseringarna och incidenterna flödar till Microsoft Sentinel via Defender XDR-anslutningsappen. Undantaget till den här processen är Defender för molnet. Du kan aktivera klientbaserade Defender för molnet-aviseringar för att ta emot alla aviseringar och incidenter via Defender XDR, eller behålla prenumerationsbaserade aviseringar och befordra dem till incidenter i Microsoft Sentinel i Azure Portal. Tillgängliga alternativ och mer information finns i följande artiklar:
- Microsoft Defender för molnet i Microsoft Defender-portalen
- Mata in Microsoft Defender för molnet incidenter med Microsoft Defender XDR-integrering
Regler för skapande av Microsoft-incidenter
För att undvika att skapa dubblettincidenter för samma aviseringar inaktiveras inställningen För att skapa Microsoft-incidentregler för Defender XDR-integrerade produkter när du ansluter Defender XDR. Defender XDR-integrerade produkter inkluderar Microsoft Defender för identitet, Microsoft Defender för Office 365 med mera. Dessutom stöds inte Microsofts regler för incidentskapande i Microsofts enhetliga SecOps-plattform. Defender XDR har egna regler för att skapa incidenter. Den här ändringen har följande potentiella effekter:
Med Microsoft Sentinels regler för incidentskapande kunde du filtrera de aviseringar som skulle användas för att skapa incidenter. När dessa regler är inaktiverade bevarar du funktionen för aviseringsfiltrering genom att konfigurera aviseringsjustering i Microsoft Defender-portalen eller genom att använda automatiseringsregler för att förhindra eller stänga incidenter som du inte vill använda.
När du har aktiverat Defender XDR-anslutningsappen kan du inte längre förutbestäma rubrikerna för incidenter. Defender XDR-korrelationsmotorn leder skapandet av incidenter och namnger automatiskt de incidenter som skapas. Den här ändringen kan påverka alla automatiseringsregler som du har skapat och som använder incidentnamnet som ett villkor. Undvik den här fallgropen genom att använda andra kriterier än incidentnamnet som villkor för att utlösa automatiseringsregler. Vi rekommenderar att du använder taggar.
Om du använder Microsoft Sentinels regler för incidentskapande för andra Microsoft-säkerhetslösningar eller produkter som inte är integrerade i Defender XDR, till exempel Hantering av interna risker i Microsoft Purview, och du planerar att registrera dig för Microsofts enhetliga SecOps-plattform i Defender-portalen, ersätter du reglerna för incidentskapande med schemalagda analysregler.
Arbeta med Microsoft Defender XDR-incidenter i Microsoft Sentinel och dubbelriktad synkronisering
Defender XDR-incidenter visas i Microsoft Sentinel-incidentkön med produktnamnet Microsoft Defender XDR och med liknande information och funktioner som andra Microsoft Sentinel-incidenter. Varje incident innehåller en länk tillbaka till den parallella incidenten i Microsoft Defender-portalen.
När incidenten utvecklas i Defender XDR, och fler aviseringar eller entiteter läggs till i den, uppdateras Microsoft Sentinel-incidenten i enlighet med detta.
Ändringar som gjorts i status, stängningsorsak eller tilldelning av en Defender XDR-incident, antingen i Defender XDR eller Microsoft Sentinel, uppdateras på samma sätt i den andras incidentkö. Synkroniseringen sker i båda portalerna omedelbart efter att ändringen av incidenten har tillämpats, utan fördröjning. En uppdatering kan krävas för att se de senaste ändringarna.
I Defender XDR kan alla aviseringar från en incident överföras till en annan, vilket resulterar i att incidenterna slås samman. När den här sammanfogningen sker återspeglar Microsoft Sentinel-incidenterna ändringarna. En incident innehåller alla aviseringar från båda de ursprungliga incidenterna och den andra incidenten stängs automatiskt, med taggen "omdirigerad" tillagd.
Kommentar
Incidenter i Microsoft Sentinel kan innehålla högst 150 aviseringar. Defender XDR-incidenter kan ha mer än så här. Om en Defender XDR-incident med fler än 150 aviseringar synkroniseras med Microsoft Sentinel visas Microsoft Sentinel-incidenten som "150+"-aviseringar och ger en länk till den parallella incidenten i Defender XDR där du ser hela uppsättningen av aviseringar.
Avancerad insamling av jakthändelser
Med Defender XDR-anslutningsappen kan du också strömma avancerade jakthändelser – en typ av rådata – från Defender XDR och dess komponenttjänster till Microsoft Sentinel. Samla in avancerade jakthändelser från alla Defender XDR-komponenter och strömma dem direkt till specialbyggda tabeller på din Microsoft Sentinel-arbetsyta. De här tabellerna bygger på samma schema som används i Defender-portalen, vilket ger dig fullständig åtkomst till den fullständiga uppsättningen avancerade jakthändelser och tillåter följande uppgifter:
Kopiera enkelt dina befintliga Microsoft Defender för Endpoint/Office 365/Identity/Cloud Apps avancerade jaktfrågor till Microsoft Sentinel.
Använd rådatahändelseloggarna för att ge ytterligare insikter om dina aviseringar, jakt och undersökning och korrelera dessa händelser med händelser från andra datakällor i Microsoft Sentinel.
Lagra loggarna med ökad kvarhållning, utöver Defender XDR eller dess komponenters standardkvarhållning på 30 dagar. Du kan göra det genom att konfigurera kvarhållningen av din arbetsyta eller genom att konfigurera kvarhållning per tabell i Log Analytics.
Relaterat innehåll
I det här dokumentet har du lärt dig fördelarna med att aktivera Defender XDR-anslutningsappen i Microsoft Sentinel.
- Ansluta data från Microsoft Defender XDR till Microsoft Sentinel
- Information om hur du använder Microsofts enhetliga SecOps-plattform i Defender-portalen finns i Ansluta Microsoft Sentinel till Microsoft Defender-portalen.
- Kontrollera tillgängligheten för olika Microsoft Defender XDR-datatyper i de olika Microsoft 365- och Azure-molnen.