Поделиться через


Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel

Соединитель XDR в Microsoft Defender для Microsoft Sentinel позволяет передавать все инциденты XDR в Microsoft Defender XDR, оповещения и расширенные события охоты в Microsoft Sentinel. Этот соединитель сохраняет синхронизацию инцидентов между обоими порталами. Инциденты XDR в Microsoft Defender включают оповещения, сущности и другие важные сведения из всех продуктов и служб Microsoft Defender. Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.

Соединитель XDR Defender, особенно компонент интеграции инцидентов, является основой единой платформы операций безопасности Майкрософт. При подключении Microsoft Sentinel к порталу Microsoft Defender необходимо сначала включить этот соединитель с интеграцией инцидентов.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Перед началом работы необходимо иметь соответствующее лицензирование, доступ и настроенные ресурсы, описанные в этом разделе.

  • У вас должна быть допустимая лицензия на XDR в Microsoft Defender, как описано в предварительных требованиях для XDR в Microsoft Defender.
  • У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.
  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
  • Чтобы внести изменения в параметры соединителя, ваша учетная запись должна быть членом одного клиента Microsoft Entra, с которым связана рабочая область Microsoft Sentinel.
  • Установите решение для XDR в Microsoft Defender из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
  • Предоставление доступа к Microsoft Sentinel в соответствии с вашей организацией. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.

Для синхронизации локальная служба Active Directory с помощью Microsoft Defender для удостоверений:

  • Клиент должен быть подключен к Microsoft Defender для удостоверений.
  • Необходимо установить датчик Microsoft Defender для удостоверений.

Подключение к XDR в Microsoft Defender

В Microsoft Sentinel выберите соединители данных. Выберите XDR в Microsoft Defender в коллекции и на странице "Открыть соединитель".

Раздел Конфигурация состоит из трех частей:

  1. Подключение инцидентов и оповещений обеспечивает базовую интеграцию между XDR Microsoft Defender и Microsoft Sentinel, синхронизацией инцидентов и их оповещениями между двумя платформами.

  2. Подключение сущностей: обеспечивает интеграцию локальных удостоверений пользователей Active Directory и Microsoft Sentinel с помощью Microsoft Defender для удостоверений.

  3. События подключения: позволяет собирать необработанные расширенные события охоты от компонентов Defender.

Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.

Подключение инцидентов и оповещений

Чтобы принять и синхронизировать инциденты XDR в Microsoft Defender со всеми оповещениями в очереди инцидентов Microsoft Sentinel, выполните следующие действия.

  1. Пометьте флажок "Отключить все правила создания инцидентов Майкрософт" для этих продуктов. Рекомендуется избежать дублирования инцидентов. Этот флажок не отображается после подключения соединителя XDR в Microsoft Defender.

  2. Нажмите кнопку "Подключить инциденты и оповещения".

  3. Убедитесь, что Microsoft Sentinel собирает данные об инцидентах XDR в Microsoft Defender. В журналах Microsoft Sentinel в портал Azure выполните следующую инструкцию в окне запроса:

       SecurityIncident
       |    where ProviderName == "Microsoft 365 Defender"
    

При включении соединителя XDR в Microsoft Defender все соединители компонентов Microsoft Defender, которые ранее были подключены, автоматически отключены в фоновом режиме. Хотя они продолжают отображаться, данные не передаются через них.

Подключение сущностей

Используйте Microsoft Defender для удостоверений, чтобы синхронизировать удостоверения пользователей из локальной службы Active Directory с Microsoft Sentinel.

  1. Перейдите по ссылке на страницу конфигурации UEBA.

  2. На странице конфигурации поведения сущностей, если вы не включите UEBA, в верхней части страницы переместите переключатель в "Вкл".

  3. Установите флажок Active Directory (предварительная версия) и нажмите кнопку Применить.

    Снимок экрана: страница конфигурации UEBA для подключения сущностей пользователей к Sentinel.

Подключение событий

Если вы хотите собирать события расширенной охоты с помощью Microsoft Defender для конечной точки или Microsoft Defender для Office 365, можно собирать следующие типы событий из соответствующих таблиц расширенной охоты.

  1. Установите флажки для таблиц с типами событий, которые вы хотите собирать:

    Имя таблицы Тип событий
    DeviceInfo Сведения о компьютере, включая сведения об ОС
    DeviceNetworkInfo Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены
    DeviceProcessEvents Создание процесса и связанные события
    DeviceNetworkEvents Сетевое подключение и связанные события
    DeviceFileEvents Создание, изменение файла и другие события файловой системы
    DeviceRegistryEvents Создание и изменение записей реестра
    DeviceLogonEvents Входы и другие события проверки подлинности на устройствах
    DeviceImageLoadEvents Загружаются события DDL
    DeviceEvents Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов
    DeviceFileCertificateInfo Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках
  2. Выберите Применить изменения.

Чтобы запустить запрос в таблицах расширенной охоты в Log Analytics, введите имя таблицы в окне запроса.

Подтверждение приема данных

Граф данных на странице соединителя указывает, что вы используете данные. Обратите внимание, что в ней показана одна строка для инцидентов, оповещений и событий, а строка событий — это агрегирование тома событий во всех включенных таблицах. После включения соединителя используйте следующие запросы KQL для создания более конкретных графов.

Используйте следующий запрос KQL для графа входящих инцидентов XDR в Microsoft Defender:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Используйте следующий запрос KQL для создания графа количества событий для одной таблицы (измените таблицу DeviceEvents на нужную таблицу по своему усмотрению):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Следующие шаги

В этом документе вы узнали, как интегрировать инциденты XDR в Microsoft Defender XDR, оповещения и дополнительные данные о событиях охоты из служб Microsoft Defender в Microsoft Sentinel с помощью соединителя XDR в Microsoft Defender.

Сведения об использовании Microsoft Sentinel, интегрированной с XDR Defender в единой платформе операций безопасности Майкрософт, см. в статье Connect Microsoft Sentinel на портале Microsoft Defender.