Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel
Соединитель XDR в Microsoft Defender для Microsoft Sentinel позволяет передавать все инциденты XDR в Microsoft Defender XDR, оповещения и расширенные события охоты в Microsoft Sentinel. Этот соединитель сохраняет синхронизацию инцидентов между обоими порталами. Инциденты XDR в Microsoft Defender включают оповещения, сущности и другие важные сведения из всех продуктов и служб Microsoft Defender. Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.
Соединитель XDR Defender, особенно компонент интеграции инцидентов, является основой единой платформы операций безопасности Майкрософт. При подключении Microsoft Sentinel к порталу Microsoft Defender необходимо сначала включить этот соединитель с интеграцией инцидентов.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
Перед началом работы необходимо иметь соответствующее лицензирование, доступ и настроенные ресурсы, описанные в этом разделе.
- У вас должна быть допустимая лицензия на XDR в Microsoft Defender, как описано в предварительных требованиях для XDR в Microsoft Defender.
- У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.
- У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
- Чтобы внести изменения в параметры соединителя, ваша учетная запись должна быть членом одного клиента Microsoft Entra, с которым связана рабочая область Microsoft Sentinel.
- Установите решение для XDR в Microsoft Defender из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
- Предоставление доступа к Microsoft Sentinel в соответствии с вашей организацией. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.
Для синхронизации локальная служба Active Directory с помощью Microsoft Defender для удостоверений:
- Клиент должен быть подключен к Microsoft Defender для удостоверений.
- Необходимо установить датчик Microsoft Defender для удостоверений.
Подключение к XDR в Microsoft Defender
В Microsoft Sentinel выберите соединители данных. Выберите XDR в Microsoft Defender в коллекции и на странице "Открыть соединитель".
Раздел Конфигурация состоит из трех частей:
Подключение инцидентов и оповещений обеспечивает базовую интеграцию между XDR Microsoft Defender и Microsoft Sentinel, синхронизацией инцидентов и их оповещениями между двумя платформами.
Подключение сущностей: обеспечивает интеграцию локальных удостоверений пользователей Active Directory и Microsoft Sentinel с помощью Microsoft Defender для удостоверений.
События подключения: позволяет собирать необработанные расширенные события охоты от компонентов Defender.
Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.
Подключение инцидентов и оповещений
Чтобы принять и синхронизировать инциденты XDR в Microsoft Defender со всеми оповещениями в очереди инцидентов Microsoft Sentinel, выполните следующие действия.
Пометьте флажок "Отключить все правила создания инцидентов Майкрософт" для этих продуктов. Рекомендуется избежать дублирования инцидентов. Этот флажок не отображается после подключения соединителя XDR в Microsoft Defender.
Нажмите кнопку "Подключить инциденты и оповещения".
Убедитесь, что Microsoft Sentinel собирает данные об инцидентах XDR в Microsoft Defender. В журналах Microsoft Sentinel в портал Azure выполните следующую инструкцию в окне запроса:
SecurityIncident | where ProviderName == "Microsoft 365 Defender"
При включении соединителя XDR в Microsoft Defender все соединители компонентов Microsoft Defender, которые ранее были подключены, автоматически отключены в фоновом режиме. Хотя они продолжают отображаться, данные не передаются через них.
Подключение сущностей
Используйте Microsoft Defender для удостоверений, чтобы синхронизировать удостоверения пользователей из локальной службы Active Directory с Microsoft Sentinel.
Перейдите по ссылке на страницу конфигурации UEBA.
На странице конфигурации поведения сущностей, если вы не включите UEBA, в верхней части страницы переместите переключатель в "Вкл".
Установите флажок Active Directory (предварительная версия) и нажмите кнопку Применить.
Подключение событий
Если вы хотите собирать события расширенной охоты с помощью Microsoft Defender для конечной точки или Microsoft Defender для Office 365, можно собирать следующие типы событий из соответствующих таблиц расширенной охоты.
Установите флажки для таблиц с типами событий, которые вы хотите собирать:
- Defender для конечной точки
- Defender для Office 365
- Defender для удостоверений
- приложения Defender для облака
- Оповещения Defender
Имя таблицы Тип событий DeviceInfo Сведения о компьютере, включая сведения об ОС DeviceNetworkInfo Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены DeviceProcessEvents Создание процесса и связанные события DeviceNetworkEvents Сетевое подключение и связанные события DeviceFileEvents Создание, изменение файла и другие события файловой системы DeviceRegistryEvents Создание и изменение записей реестра DeviceLogonEvents Входы и другие события проверки подлинности на устройствах DeviceImageLoadEvents Загружаются события DDL DeviceEvents Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов DeviceFileCertificateInfo Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках Выберите Применить изменения.
Чтобы запустить запрос в таблицах расширенной охоты в Log Analytics, введите имя таблицы в окне запроса.
Подтверждение приема данных
Граф данных на странице соединителя указывает, что вы используете данные. Обратите внимание, что в ней показана одна строка для инцидентов, оповещений и событий, а строка событий — это агрегирование тома событий во всех включенных таблицах. После включения соединителя используйте следующие запросы KQL для создания более конкретных графов.
Используйте следующий запрос KQL для графа входящих инцидентов XDR в Microsoft Defender:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Используйте следующий запрос KQL для создания графа количества событий для одной таблицы (измените таблицу DeviceEvents на нужную таблицу по своему усмотрению):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Следующие шаги
В этом документе вы узнали, как интегрировать инциденты XDR в Microsoft Defender XDR, оповещения и дополнительные данные о событиях охоты из служб Microsoft Defender в Microsoft Sentinel с помощью соединителя XDR в Microsoft Defender.
Сведения об использовании Microsoft Sentinel, интегрированной с XDR Defender в единой платформе операций безопасности Майкрософт, см. в статье Connect Microsoft Sentinel на портале Microsoft Defender.