共用方式為


Microsoft Defender 全面偵測回應與 Microsoft Sentinel 的整合

整合 Microsoft Defender 全面偵測回應與 Microsoft Sentinel,將全部 Defender 全面偵測回應事件和進階搜捕事件串流至 Microsoft Sentinel,並讓事件和活動在 Azure 入口網站和 Microsoft Defender 入口網站之間保持同步。 Microsoft Defender 全面偵測回應的事件包括所有關聯的警示、實體與相關資訊,供您掌握所有內容,以便於 Microsoft Sentinel 執行分級與初步調查。 進入 Microsoft Sentinel 後,事件會與 Defender 全面偵測回應維持雙向同步,供您於事件調查時利用兩個入口網站的優點。

或者,使用Defender XDR將Microsoft Sentinel 上線,以在Defender入口網站中Microsoft的統一安全性作業 (SecOps) 平臺。 Microsoft的整合 SecOps 平台彙集了專為網路安全而建置的 Microsoft Sentinel、Defender XDR 和產生式 AI 的完整功能。 如需詳細資訊,請參閱以下資源:

Microsoft Sentinel 和 Defender XDR

使用下列其中一種方法來整合 Microsoft Sentinel 與 Microsoft Defender XDR 服務:

  • 將 Microsoft Defender XDR 服務資料內嵌至 Microsoft Sentinel,並在 Azure 入口網站中檢視 Microsoft Sentinel 資料。 在 Microsoft Sentinel 中啟用 Defender XDR 連接器。

  • 將 Microsoft Sentinel 和 Defender XDR 整合至 Microsoft Defender 入口網站中的單一整合安全性作業平台。 在此情況下,使用其餘的 Defender 事件、警示、弱點和其他安全性資料,直接在 Microsoft Defender 入口網站中檢視 Microsoft Sentinel 資料。 在 Microsoft Sentinel 中啟用 Defender XDR 連接器,並將 Microsoft Sentinel 上線,以在 Defender 入口網站中Microsoft統一的 SecOps 平臺。

選取適當的索引標籤,以查看 Microsoft Sentinel 與 Defender XDR 整合的樣貌,視您使用的整合方法而定。

下圖顯示 MicrosoftXDR 解決方案如何順暢地與 Microsoft Sentinel 整合。

Microsoft Sentinel 與 MicrosoftXDR 整合的圖表。

在此圖表中:

  • 來自整個組織訊號的深入解析會傳送至適用於雲端的 Microsoft Defender XDR 和 Microsoft Defender。
  • Microsoft Defender XDR 和適用於雲端的 Microsoft Defender 會透過 Microsoft Sentinel 連接器傳送 SIEM 記錄資料。
  • 然後,SecOps 小組可以分析並回應 Microsoft Sentinel 和 Microsoft Defender XDRMicrosoft 中所識別的威脅。
  • Microsoft Sentinel 支援多雲端環境,並與第三方應用程式和合作夥伴整合。

事件相互關聯和警示

透過將 Defender XDR 與 Microsoft Sentinel 整合,Defender XDR 事件可從 Microsoft Sentinel Microsoft 內顯示和管理。 這可提供整個組織的主要事件佇列。 查看並讓 Defender 全面偵測回應事件與來自所有其他雲端和內部部署系統的事件相互關聯。 同時,此整合也可讓您利用 Defender 全面偵測回應的獨有優點和功能,在 Microsoft 365 生態系統中進行深入調查和獲得 Defender 特定體驗。

Defender 全面偵測回應擴充和群組來自多個 Microsoft Defender 產品的警示,這兩者都會減少 SOC 事件佇列的大小,並縮短解決時間。 下列 Microsoft Defender 產品和服務的警示也包含在 Defender 全面偵測回應與 Microsoft Sentinel 整合中:

  • 適用於端點的 Microsoft Defender
  • 適用於身分識別的 Microsoft Defender
  • 適用於 Office 365 的 Microsoft Defender
  • 適用於雲端應用程式的 Microsoft Defender
  • Microsoft Defender 弱點管理

Defender 全面偵測回應收集警示的其他服務包括:

Defender 全面偵測回應連接器也會從適用於雲端的 Microsoft Defender 帶來事件。 若要同步處理這些事件的警示和實體,您必須在 Microsoft Sentinel 中啟用適用於雲端的 Defender 連接器。 否則,適用於雲端的 Defender 事件會顯示空白。 如需詳細資訊,請參閱擷取適用於雲端的 Microsoft Defender 事件與 Microsoft Defender 全面偵測回應整合

除了從這些元件和其他服務收集警示外,Microsoft Defender 全面偵測回應也會產生自己的警示。 這會從所有這些警示建立事件,並傳送至 Microsoft Sentinel。

常見使用案例和個案

請考慮針對下列使用案例和案例,將 Defender 全面偵測回應與 Microsoft Sentinel 整合:

  • 將Microsoft Sentinel 上線至 Microsoft Defender 入口網站中Microsoft的統一 SecOps 平臺。 啟用 Defender 全面偵測回應連接器是必要條件。

  • 啟用單鍵連線 Defender 全面偵測回應事件,包括 Defender 全面偵測回應元件中的所有警示和實體,連線到 Microsoft Sentinel。

  • 允許 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應事件間雙向同步處理狀態、擁有者和關閉原因。

  • 在 Microsoft Sentinel 中套用 Microsoft Defender 全面偵測回應警示群組和擴充功能,進而縮短解決時間。

  • 透過 Microsoft Sentinel 事件與其平行 Defender 全面偵測回應事件之間的內容中深層連結,協助在這兩個入口網站之間進行調查。

如需Microsoft統一 SecOps 平臺中Microsoft Sentinel 與 Defender XDR 整合功能的詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

正在連線至 Microsoft Defender 全面偵測回應

在 Microsoft Sentinel 中啟用 Microsoft Defender XDR 連接器,將全部 Defender XDR 事件和警示資訊傳送至 Microsoft Sentinel,並讓事件保持同步。

  • 首先,從 [內容中樞] 安裝適用於 Microsoft Sentinel 的 [Microsoft Defender 全面偵測回應] 解決方案。 然後,啟用 [Microsoft Defender 全面偵測回應] 資料連接器來收集事件和警示。 如需詳細資訊,請參閱將資料從 Microsoft Defender 全面偵測回應連線到 Microsoft Sentinel

  • 在 Defender 全面偵測回應資料連接器中啟用警示和事件收集之後,Defender 全面偵測回應事件在 Defender 全面偵測回應中產生後不久會出現在 Microsoft Sentinel 事件佇列中。 從事件產生 Defender 全面偵測回應到出現在 Microsoft Sentinel 的時間,最多可能需要 10 分鐘的時間。 在這些事件中,[警示產品名稱] 欄位包含 Microsoft Defender 全面偵測回應或其中一個元件 Defender 服務的名稱。

  • 若要將Microsoft Sentinel 工作區上線至 Defender 入口網站中Microsoft的統一 SecOps 平臺,請參閱將 sentinel Microsoft 連線至 Microsoft Defender 全面偵測回應

擷取成本

來自 Defender 全面偵測回應的警示和事件 (包含 SecurityAlertSecurityIncident 資料表的項目) 會免費擷取並與 Microsoft Sentinel 同步處理。 針對個別 Defender 元件的其他全部資料類型 (例如進階搜捕資料表 DeviceInfoDeviceFileEventsEmailEvents 等等),擷取會收取費用。 如需詳細資訊,請參閱規劃成本及了解 Microsoft Sentinel 定價和計費

資料擷取行為

啟用 Defender 全面偵測回應連接器時,Defender 全面偵測回應整合式產品所建立的警示會傳送至 Defender 全面偵測回應,並分組為事件。 警示和事件都會透過 Defender 全面偵測回應連接器流向 Microsoft Sentinel。 此程序的例外是適用於雲端的 Defender。 您可以選擇以租用戶為基礎,啟用適用於雲端的 Defender 警示,以透過 Defender 全面偵測回應接收所有警示和事件,或維持以訂用帳戶為基礎的警示,並在 Azure 入口網站中的 Microsoft Sentinel 內將其升級為事件。 如需可用選項和詳細資訊,請參閱下列文章:

Microsoft 事件建立規則

為了避免建立相同警示的重複事件,當連線 Defender 全面偵測回應時,Microsoft 事件建立規則設定會針對 Defender 全面偵測回應整合產品關閉。 Defender XDR 整合產品包括適用於身分識別的 DefenderMicrosoft、適用於 Office365 的 DefenderMicrosoft Defender 等等。 此外,Microsoft統一的 SecOps 平臺不支援Microsoft事件建立規則。 Defender 全面偵測回應有自己的事件建立規則。 這項變更有下列潛在影響:

  • Microsoft Sentinel 的事件建立規則可讓您篩選用來建立事件的警示。 停用這些規則後,設定在 Microsoft Defender 入口網站中的警示微調,或使用自動化規則以抑制或關閉您不想要的事件,藉以保留警示篩選功能。

  • 啟用 Defender XDR 連接器之後,您再也無法預先決定事件的標題。 Defender 全面偵測回應相互關聯引擎會主持事件建立,並自動命名其所建立的事件。 這項變更可能會影響您使用事件名稱作為條件所建立的任何自動化規則。 若要避免這個陷阱,請使用事件名稱以外的準則作為觸發自動化規則的條件。 建議您使用標籤

  • 如果您使用Microsoft Sentinel 的事件建立規則,用於未整合到 Defender XDR 的其他Microsoft安全性解決方案或產品,例如 Microsoft Purview 內部風險管理,而且您打算在 Defender 入口網站中將Microsoft的統一 SecOps 平台上線,請將事件建立規則取代為已排程的分析規則

在 Microsoft Sentinel 和雙向同步處理中使用 Microsoft Defender 全面偵測回應事件

Microsoft Defender 全面偵測回應事件會出現在 Microsoft Sentinel 事件佇列中,包含產品名稱 Microsoft Defender 全面偵測回應,以及與任何其他 Microsoft Sentinel 事件類似的詳細資料和功能。 每個事件都包含 Microsoft Defender 入口網站中平行事件的連結。

隨著事件在 Microsoft Defender 全面偵測回應中演進,並新增更多警示或實體,Microsoft Sentinel 事件將會隨之更新。

在 Defender 全面偵測回應或 Microsoft Sentinel 中,對 Defender 全面偵測回應事件的狀態、關閉原因或指派所做的變更,也會在其他的事件佇列中據以更新。 同步處理會在套用事件的變更之後,會立即在兩個入口網站中進行,且不會延遲。 可能需要重新整理才能查看最新的變更。

在 Defender 全面偵測回應中,來自某個事件的所有警示都可以傳輸到另一個事件,進而合併事件。 發生合併時,Microsoft Sentinel 事件會反映變更。 一個事件將包含來自原始事件的所有警示,而其他事件將自動關閉,並加上「重新導向」標記。

注意

Microsoft Sentinel 中的事件最多可以包含 150 個警示。 Defender 全面偵測回應事件可能超過此數量。 如果具有超過 150 個警示的 Defender 全面偵測回應事件已同步處理至 Microsoft Sentinel,Microsoft Sentinel 事件會顯示為具有「150+」警示,且會在 Defender 全面偵測回應中提供平行事件的連結,您可以在其中看到完整的警示集。

進階搜尋事件集合

Defender 全面偵測回應連接器也可將進階搜捕事件 (一種原始事件資料) 從 Defender 全面偵測回應及其元件服務串流到 Microsoft Sentinel。 收集來自所有 Defender 全面偵測回應元件的進階搜捕事件,並將其直接串流至 Microsoft Sentinel 工作區中專門建置的資料表。 這些資料表是以 Defender 入口網站中使用的相同結構描述為基礎,可讓您完整存取一組完整的進階搜捕事件,並允許下列作業:

  • 將現有適用於端點/Office 365/雲端應用程式的 Microsoft Defender 進階搜尋查詢複製到 Microsoft Sentinel 中。

  • 使用原始事件日志提供相關警報、搜尋和調查的更多見解,並將 Microsoft Sentinel 中其他資料來源建立關聯。

  • 儲存加長保留期的記錄,超過 Defender 全面偵測回應或其元件的預設保留期 30 天。 您可以藉由設定工作區的保留期,或在記錄分析中設定對應各資料表的保留期間以達到目的。

在本文件中,您已瞭解在 Microsoft Sentinel Microsoft 啟用 Defender XDR 連接器的優點。