Ansluta Microsoft Defender XDR-anslutningsappen

  • 6 minuter

Med XDR-anslutningsappen (Utökad identifiering och svar i Microsoft Defender) med incidentintegrering kan du strömma alla Microsoft Defender XDR-incidenter och aviseringar till Microsoft Sentinel. Anslutningsappen håller incidenterna synkroniserade mellan båda portalerna. Microsoft Defender XDR-incidenter omfattar alla deras aviseringar, entiteter och annan relevant information. De grupperas tillsammans och berikas av aviseringar från Microsoft Defender XDR:s komponenttjänster, Microsoft Defender för Endpoint, Microsoft Defender för identitet, Microsoft Defender för Office 365 och Microsoft Defender för molnet Appar. Att ansluta Microsoft Defender XDR-anslutningsappen är en förutsättning för att konfigurera Unified Security Operations Platform eller enhetlig säkerhetsinformation och händelsehantering (SIEM) och XDR-upplevelsen i Microsoft Defender XDR.

Med anslutningsappen kan du också strömma avancerade jakthändelser från alla ovanstående komponenter till Microsoft Sentinel. På så sätt kan du kopiera defender-komponenternas avancerade jaktfrågor till Microsoft Sentinel, utöka Sentinel-aviseringar med Defender-komponenternas rådata för att ge mer insikter och lagra loggarna med ökad kvarhållning i Log Analytics.

Utför följande steg för att distribuera anslutningsappen:

  1. På den vänstra navigeringsmenyn i Microsoft Sentinel expanderar du Konfiguration och väljer sedan Dataanslutningar.

  2. Välj Microsoft Defender XDR-anslutningsappen.

  3. Välj knappen Öppna anslutningsappssidan i förhandsgranskningsfönstret.

  4. Under fliken Instruktioner granskar du kraven för att bekräfta att du har de behörigheter och licenser som krävs.

  5. I avsnittet Konfiguration väljer du sedan knappen Anslut incidenter och aviseringar.

Skärmdump av konfigurationen av Defender XDR-dataanslutningsappen.

Kommentar

Om du avmarkerar Inaktivera alla regler för att skapa Microsoft-incidenter för dessa produkter. Rekommenderad kryssruta kan du få dupliceringar i incidentkön.

Du kan också ansluta (användar- och entitetsbeteendeanalys) UEBA-entiteter och händelseloggar från specifika produkter.

  1. Välj avsnitten Anslut entiteter och Anslut händelser .

  2. Markera kryssrutorna för de händelsetyper som du vill samla in för händelser och välj sedan Tillämpa ändringar.