Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel

Статья
2024-11-26
Применяется к: Microsoft Sentinel with Defender XDR in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Соединитель XDR в Microsoft Defender для Microsoft Sentinel позволяет передавать все инциденты XDR в Microsoft Defender XDR, оповещения и расширенные события охоты в Microsoft Sentinel. Этот соединитель сохраняет синхронизацию инцидентов между обоими порталами. Инциденты XDR в Microsoft Defender включают оповещения, сущности и другие важные сведения из всех продуктов и служб Microsoft Defender. Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.

Соединитель XDR Defender, особенно компонент интеграции инцидентов, является основой единой платформы операций безопасности Майкрософт. При подключении Microsoft Sentinel к порталу Microsoft Defender необходимо сначала включить этот соединитель с интеграцией инцидентов.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.

Необходимые компоненты

Перед началом работы необходимо иметь соответствующее лицензирование, доступ и настроенные ресурсы, описанные в этом разделе.

У вас должна быть действительная лицензия на Microsoft Defender XDR, как описано в предварительных условиях для Microsoft Defender XDR.
У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
Чтобы внести изменения в параметры соединителя, ваша учетная запись должна быть членом одного клиента Microsoft Entra, с которым связана рабочая область Microsoft Sentinel.
Установите решение для Microsoft Defender XDR из Центра содержимого в Microsoft Sentinel. Для получения дополнительной информации ознакомьтесь с обнаружением и управлением готовым содержимым Microsoft Sentinel.
Предоставление доступа к Microsoft Sentinel в соответствии с вашей организацией. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.

Для синхронизации локальная служба Active Directory с помощью Microsoft Defender для удостоверений:

Клиент должен быть подключен к Microsoft Defender для удостоверений.
Необходимо установить датчик Microsoft Defender для удостоверений.

Дополнительные сведения см. в разделе «Развертывание Microsoft Defender для удостоверений».

Подключение к XDR в Microsoft Defender

В Microsoft Sentinel выберите соединители данных. Выберите Microsoft Defender XDR в галерее и откройте страницу соединителя.

Раздел "Конфигурация" состоит из трех частей:

Подключение инцидентов и оповещений обеспечивает базовую интеграцию между XDR Microsoft Defender и Microsoft Sentinel, синхронизацией инцидентов и их оповещениями между двумя платформами.
Подключение сущностей обеспечивает интеграцию локальных пользовательских учетных записей Active Directory с Microsoft Sentinel через Microsoft Defender для идентификации.
Подключение событий позволяет собирать необработанные события для расширенной охоты из компонентов Defender.

Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.

Подключение инцидентов и оповещений

Чтобы принять и синхронизировать инциденты XDR в Microsoft Defender со всеми оповещениями в очереди инцидентов Microsoft Sentinel, выполните следующие действия.

Пометьте флажок "Отключить все правила создания инцидентов Майкрософт" для этих продуктов. Рекомендуется избежать дублирования инцидентов. Этот флажок не отображается после подключения соединителя XDR в Microsoft Defender.
Нажмите кнопку "Подключить инциденты и оповещения ".
Убедитесь, что Microsoft Sentinel собирает данные об инцидентах XDR в Microsoft Defender. В журналах Microsoft Sentinel на портале Azure выполните следующую инструкцию в окне запроса:
```
   SecurityIncident
   | where ProviderName == "Microsoft XDR"
```

При включении соединителя XDR в Microsoft Defender все соединители компонентов Microsoft Defender, которые ранее были подключены, автоматически отключены в фоновом режиме. Хотя они продолжают отображаться, данные не передаются через них.

Подключение сущностей

Используйте Microsoft Defender для удостоверений, чтобы синхронизировать удостоверения пользователей из локальной службы Active Directory с Microsoft Sentinel.

Выберите ссылку на страницу конфигурации UEBA .
На странице конфигурации поведения сущностей, если вы не включили UEBA, в верхней части страницы переместите переключатель в "Вкл".
Установите флажок Active Directory (предварительная версия) и нажмите кнопку "Применить".

Подключение событий

Если вы хотите собирать события расширенной охоты с помощью Microsoft Defender для конечной точки или Microsoft Defender для Office 365, можно собирать следующие типы событий из соответствующих таблиц расширенной охоты.

Установите флажки для таблиц с типами событий, которые вы хотите собирать:

Имя таблицы	Тип событий
DeviceInfo	Сведения о компьютере, включая сведения об ОС
DeviceNetworkInfo	Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены
DeviceProcessEvents	Создание процесса и связанные события
DeviceNetworkEvents	Сетевое подключение и связанные события
DeviceFileEvents	Создание, изменение файла и другие события файловой системы
DeviceRegistryEvents	Создание и изменение записей реестра
DeviceLogonEvents	Входы и другие события проверки подлинности на устройствах
DeviceImageLoadEvents	Загружаются события DDL
DeviceEvents	Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов
Информация о сертификате файла устройства	Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках

Имя таблицы	Тип событий
EmailAttachmentInfo	Сведения о вложенных файлах в электронных письмах
EmailEvents	События электронной почты Microsoft 365, включая доставку писем и события блокировки
СобытияДоставкиПослеПочты	События безопасности, возникающие после доставки, после доставки microsoft 365 сообщений электронной почты в почтовый ящик получателя
EmailUrlInfo	Сведения об URL-адресах электронной почты
UrlClickEvents	События, связанные с URL-адресами, выбранными или запрошенными на Microsoft Defender для Office 365

Имя таблицы	Тип событий
IdentityDirectoryEvents	Различные события, связанные с удостоверениями, такие как изменение или истечение срока действия пароля и изменение имени участника-пользователя (UPN), зафиксированные с помощью контроллера домена локального каталога Active Directory Также включает системные события на контроллере домена.
IdentityLogonEvents	Действия проверки подлинности, выполненные через локальная служба Active Directory, как записано Microsoft Defender для удостоверений Действия проверки подлинности, связанные с веб-службами Microsoft и зафиксированные в приложениях Microsoft Defender для облака
IdentityQueryEvents	Сведения о запросах к объектам Active Directory, таким как пользователи, группы, устройства и домены

Имя таблицы	Тип событий
CloudAppEvents	Сведения о действиях в различных облачных приложениях и службах, охваченных приложениями Microsoft Defender для облака

Имя таблицы	Тип событий
AlertInfo	Оповещения из Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender для удостоверений, включая сведения о серьезности и классификацию угроз
AlertEvidence	Сведения о различных сущностях— файлах, IP-адресах, URL-адресах, пользователях, устройствах, связанных с оповещениями из компонентов XDR в Microsoft Defender

Выберите "Применить изменения".

Чтобы запустить запрос в таблицах расширенной охоты в Log Analytics, введите имя таблицы в окне запроса.

Подтверждение приема данных

Граф данных на странице соединителя указывает, что вы используете данные. Обратите внимание, что в ней показана одна строка для инцидентов, оповещений и событий, а строка событий — это агрегирование тома событий во всех включенных таблицах. После включения соединителя используйте следующие запросы KQL для создания более конкретных графов.

Используйте следующий запрос KQL для графа входящих инцидентов XDR в Microsoft Defender:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft XDR"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Используйте следующий запрос KQL для создания графика объема событий для одной конкретной таблицы (измените таблицу DeviceEvents на необходимую таблицу).

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

Следующий шаг

В этом документе вы узнали, как интегрировать инциденты XDR в Microsoft Defender XDR, оповещения и дополнительные данные о событиях охоты из служб Microsoft Defender в Microsoft Sentinel с помощью соединителя XDR в Microsoft Defender.

Сведения об использовании Microsoft Sentinel, интегрированной с XDR Defender в единой платформе операций безопасности Майкрософт, см. в статье Connect Microsoft Sentinel на портале Microsoft Defender.