将 Microsoft Defender for Office 365 连接到 Microsoft Sentinel

可以将Microsoft Defender for Office 365数据 (以及Microsoft Defender XDR套件的其余部分的数据) （包括事件）引入 Microsoft Sentinel。

利用丰富的安全信息事件管理 (SIEM) 与其他 Microsoft 365 源的数据相结合，同步事件和警报，以及高级搜寻。

所需内容

• Microsoft Defender for Office 365计划 2 或更高版本。 E5 计划中包含的 ()
• Microsoft Sentinel 快速入门指南。
• Microsoft 365 中的足够权限 (安全管理员 & Sentinel) 的读取/写入权限。

添加Microsoft Defender XDR连接器

1. 登录到 Azure 门户并导航到 Microsoft Sentinel>选择要与Microsoft Defender XDR集成的相关工作区。
2. 在导航窗格中的 “配置”下，转到 “数据连接器”。
3. 加载页面时，搜索Microsoft Defender XDR并选择Microsoft Defender XDR连接器。
4. 在右侧浮出控件上，选择“ 打开连接器页”。
5. 在加载页面的 “配置 ”部分下，选择“ 连接事件 & 警报”，同时选择 “关闭这些产品的所有 Microsoft 事件创建规则 ”。
6. 滚动到页面的“连接事件”部分中的Microsoft Defender for Office 365。 选择 “EmailEvents”、“EmailUrlInfo”、“EmailAttachmentInfo & EmailPostDeliveryEvents ”，然后在页面底部 应用更改 。 (在此步骤中从其他 Defender 产品中选择表（如果有用且适用）。)

后续步骤

管理员现在可以在 Microsoft Sentinel 中查看事件、警报和原始数据，并使用此数据进行高级搜寻、透视Microsoft Defender中的现有数据和新数据。

更多信息

将Microsoft Defender XDR数据连接到 Microsoft Sentinel |Microsoft Docs。

将 Microsoft Teams 连接到 Microsoft Sentinel。