连接 Microsoft Defender XDR 连接器

已完成

使用 Microsoft Defender 扩展检测和响应 (XDR) 连接器以及事件集成，可以将所有 Microsoft Defender XDR 事件和警报流式传输到 Microsoft Sentinel。 该连接器使事件在两个门户之间保持同步。 Microsoft Defender XDR 事件包括其所有警报、实体和其他相关信息。 它们被分组在一起，并通过来自 Microsoft Defender XDR 的组件服务、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Office 365 和 Microsoft Defender for Cloud Apps 的警报进行了扩充。 连接 Microsoft Defender XDR 连接器是在 Microsoft Defender XDR 中配置统一安全运营平台或统一的 SIEM（安全信息和事件管理）与 XDR 体验的先决条件。

该连接器还让你能够将上述所有组件中的高级搜寻事件流式传输到 Microsoft Sentinel 中。 这样，你就可以将这些 Defender 组件的高级搜寻查询复制到 Microsoft Sentinel 中，使用 Defender 组件的原始事件数据扩充 Sentinel 警报以提供更多见解，并在 Log Analytics 中存储具有更长保留期的日志。

若要配置连接器，请执行以下操作：

1. 在 Microsoft Sentinel 左侧导航菜单中，展开“配置”，然后选择“数据连接器”。

2. 连接“Microsoft Defender XDR”连接器。

3. 在预览窗格中选择“打开连接器页面”按钮。

4. 在“说明”选项卡下，查看“先决条件”部分以确认你拥有所需的权限和许可证。

5. 接下来，在“配置”部分中，选择“连接事件和警报”按钮。

注意

如果取消选中“为这些产品禁用所有 Microsoft 事件创建规则。建议选中”复选框，你可能会在事件队列中收到重复项。

你还可以连接特定产品的“UEBA 实体”和“事件”日志（UEBA 即用户和实体行为分析）。

1. 选择“连接实体”和“连接事件”部分。

2. 对于事件，请标记要收集的事件类型的复选框，然后选择“应用更改”。