Stream данные из Microsoft Defender XDR в Microsoft Sentinel в портал Azure

Соединитель Defender XDR позволяет передавать все инциденты Microsoft Defender XDR, оповещения и события расширенной охоты в Microsoft Sentinel и обеспечивает синхронизацию инцидентов между обоими порталами. В этой статье объясняется, как настроить соединитель Microsoft Defender XDR для Microsoft Sentinel в портал Azure.

Примечание.

Соединитель Defender XDR автоматически включается при подключении Microsoft Sentinel на портал Defender. Действия по настройке вручную, описанные в этой статье, не требуются, если вы уже подключены Microsoft Sentinel к порталу Defender. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.

Microsoft Defender XDR инциденты включают оповещения, сущности и другую важную информацию из всех продуктов и служб Microsoft Defender. Дополнительные сведения см. в разделе интеграция Microsoft Defender XDR с Microsoft Sentinel.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

Перед началом работы необходимо иметь соответствующее лицензирование, доступ и настроенные ресурсы, описанные в этом разделе.

  • У вас должна быть действительная лицензия на Microsoft Defender XDR, как описано в Microsoft Defender XDR предварительных требований.
  • У пользователя должна быть роль администратора безопасности в клиенте, из которого вы хотите выполнить потоковую передачу журналов, или эквивалентные разрешения.
  • У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
  • Чтобы внести какие-либо изменения в параметры соединителя, ваша учетная запись должна быть членом того же Microsoft Entra клиента, с которым связана Microsoft Sentinel рабочая область.
  • Установите решение Microsoft Defender XDR из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого. Если вы работаете на портале Defender, это решение устанавливается автоматически.
  • Предоставьте доступ к Microsoft Sentinel в соответствии с вашей организацией. Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.

Для синхронизации локальная служба Active Directory через Microsoft Defender для удостоверений:

  • Клиент должен быть подключен к Microsoft Defender для удостоверений.
  • Необходимо установить датчик Microsoft Defender для удостоверений.

Дополнительные сведения см. в статье Развертывание Microsoft Defender для удостоверений.

Подключение к Microsoft Defender XDR

В Microsoft Sentinel выберите Соединители данных. Выберите Microsoft Defender XDR из коллекции и на странице Открыть соединитель.

Раздел Конфигурация состоит из трех частей:

  1. Подключение инцидентов и оповещений обеспечивает базовую интеграцию между Microsoft Defender XDR и Microsoft Sentinel, синхронизацию инцидентов и их оповещений между двумя платформами.

  2. Сущности Connect обеспечивают интеграцию локальная служба Active Directory удостоверений пользователей в Microsoft Sentinel через Microsoft Defender для удостоверений.

  3. События Connect позволяют собирать необработанные события расширенной охоты из компонентов Defender.

Дополнительные сведения см. в разделе интеграция Microsoft Defender XDR с Microsoft Sentinel.

Подключение инцидентов и оповещений

Чтобы принимать и синхронизировать инциденты Microsoft Defender XDR со всеми их оповещениями в очередь инцидентов Microsoft Sentinel, выполните следующие действия.

  1. Пометьте поле проверка с меткой Отключить все правила создания инцидентов Майкрософт для этих продуктов. Рекомендуется, чтобы избежать дублирования инцидентов. Это поле проверка не отображается после подключения соединителя Microsoft Defender XDR.

  2. Нажмите кнопку Подключить инциденты & оповещения .

  3. Убедитесь, что Microsoft Sentinel собирает Microsoft Defender XDR данные об инцидентах. В Microsoft Sentinel Logs in the портал Azure выполните следующую инструкцию в окне запроса:

       SecurityIncident
       | where ProviderName == "Microsoft XDR"
    

При включении соединителя Microsoft Defender XDR все соединители компонентов Microsoft Defender, которые ранее были подключены, автоматически отключаются в фоновом режиме. Хотя они по-прежнему кажутся подключенными, данные не проходят через них.

Примечание.

Замена автономных соединителей соединителем XDR изменяет схему оповещений и может повлиять на существующие запросы. Подробное сравнение см. в статье Различия схемы оповещений: изолированный и соединитель XDR.

Подключение сущностей

Используйте Microsoft Defender для удостоверений для синхронизации сущностей пользователей из локальная служба Active Directory с Microsoft Sentinel.

  1. Выберите ссылку Перейти на страницу конфигурации UEBA .

  2. Если вы не включили UEBA на странице Конфигурация поведения сущностей , в верхней части страницы переместите переключатель в значение Вкл.

  3. Пометьте поле Active Directory (предварительная версия) проверка и нажмите кнопку Применить.

    Снимок экрана: страница конфигурации UEBA для подключения сущностей пользователей к Microsoft Sentinel.

События подключения

Если вы хотите собирать расширенные события охоты из Microsoft Defender для конечной точки или Microsoft Defender для Office 365, из соответствующих таблиц расширенной охоты можно собирать следующие типы событий.

  1. Пометьте поля проверка таблиц типами событий, которые вы хотите собрать:

    Имя таблицы Тип событий
    DeviceInfo Сведения о компьютере, в том числе данные об ОС
    DeviceNetworkInfo Свойства сети устройств, включая физические адаптеры, IP-и MAC-адреса, а также подключенные сети и домены.
    DeviceProcessEvents Создание процессов и связанных с ними событий
    DeviceNetworkEvents Сетевое подключение и связанные события
    DeviceFileEvents Создание файла, изменение и другие события файловой системы
    DeviceRegistryEvents Создание и изменение записей реестра
    DeviceLogonEvents Входы и другие события проверки подлинности на устройствах
    DeviceImageLoadEvents События загрузки библиотек DLL
    DeviceEvents Несколько типов событий, в том числе события, запускаемые такими элементами управления безопасностью, как антивирусная программа "Защитник Windows" и защита от эксплойтов
    DeviceFileCertificateInfo Сведения о сертификатах подписанных файлов, полученные из событий проверки сертификатов на конечных точках
  2. Нажмите Применить изменения.

Чтобы выполнить запрос в таблицах расширенного поиска в Log Analytics, введите имя таблицы в окне запроса.

Проверка приема данных

Граф данных на странице соединителя указывает на то, что вы используете данные. Обратите внимание, что в ней отображается по одной строке для инцидентов, оповещений и событий, а строка событий представляет собой агрегирование тома событий во всех включенных таблицах. После включения соединителя используйте следующие запросы KQL для создания более конкретных графов.

Используйте следующий запрос KQL для графа входящих инцидентов Microsoft Defender XDR:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft XDR"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Используйте следующий запрос KQL, чтобы создать граф тома событий для одной таблицы ( измените таблицу DeviceEvents на требуемую таблицу по своему выбору):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации kusto:

Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).

Другие ресурсы

Следующее действие

В этом документе вы узнали, как интегрировать Microsoft Defender XDR инциденты, оповещения и расширенные данные о событиях охоты из служб Microsoft Defender в Microsoft Sentinel с помощью соединителя Microsoft Defender XDR.

Сведения об использовании Microsoft Sentinel вместе с Defender XDR на портале Defender см. в статье Подключение Microsoft Sentinel к порталу Microsoft Defender.