Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Коннектор Defender XDR позволяет передавать все инциденты, оповещения и события расширенной охоты из Microsoft Defender XDR в Microsoft Sentinel, а также поддерживать синхронизацию инцидентов между обоими порталами. В этой статье объясняется, как настроить соединитель XDR в Microsoft Defender для Microsoft Sentinel на портале Azure.
Замечание
Соединитель XDR Defender автоматически включен при подключении Microsoft Sentinel к порталу Defender. Действия по настройке вручную, описанные в этой статье, не требуются, если вы уже подключены к порталу Defender Microsoft Sentinel. Для получения дополнительной информации см. раздел Microsoft Sentinel на портале Microsoft Defender.
Инциденты XDR в Microsoft Defender включают оповещения, сущности и другие важные сведения из всех продуктов и служб Microsoft Defender. Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Необходимые компоненты
Перед началом работы необходимо иметь соответствующее лицензирование, доступ и настроенные ресурсы, описанные в этом разделе.
- У вас должна быть действительная лицензия на Microsoft Defender XDR, как описано в предварительных условиях для Microsoft Defender XDR.
- У пользователя должна быть роль администратора безопасности в клиенте, из которого требуется потоковая передача журналов или эквивалентные разрешения.
- У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
- Чтобы внести изменения в параметры соединителя, ваша учетная запись должна быть членом одного клиента Microsoft Entra, с которым связана рабочая область Microsoft Sentinel.
- Установите решение Microsoft Defender XDR из Центра содержимого в Microsoft Sentinel. Для получения дополнительной информации ознакомьтесь с обнаружением и управлением готовым содержимым Microsoft Sentinel. Если вы работаете на портале Defender, это решение автоматически устанавливается.
- Предоставление доступа к Microsoft Sentinel в соответствии с вашей организацией. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.
Для синхронизации локальная служба Active Directory с помощью Microsoft Defender для удостоверений:
- Клиент должен быть подключен к Microsoft Defender для удостоверений.
- Необходимо установить датчик Microsoft Defender для удостоверений.
Дополнительные сведения см. в разделе «Развертывание Microsoft Defender для удостоверений».
Подключение к XDR в Microsoft Defender
В Microsoft Sentinel выберите соединители данных. Выберите Microsoft Defender XDR в галерее и откройте страницу соединителя.
Раздел "Конфигурация" состоит из трех частей:
Подключение инцидентов и оповещений обеспечивает базовую интеграцию между XDR Microsoft Defender и Microsoft Sentinel, синхронизацией инцидентов и их оповещениями между двумя платформами.
Подключение сущностей обеспечивает интеграцию локальных пользовательских учетных записей Active Directory с Microsoft Sentinel через Microsoft Defender для идентификации.
Подключение событий позволяет собирать необработанные события для расширенной охоты из компонентов Defender.
Дополнительные сведения см. в статье об интеграции XDR в Microsoft Defender с Microsoft Sentinel.
Подключение инцидентов и оповещений
Чтобы принять и синхронизировать инциденты XDR в Microsoft Defender со всеми оповещениями в очереди инцидентов Microsoft Sentinel, выполните следующие действия.
Пометьте флажок "Отключить все правила создания инцидентов Майкрософт" для этих продуктов. Рекомендуется избежать дублирования инцидентов. Этот флажок не отображается после подключения соединителя XDR в Microsoft Defender.
Нажмите кнопку "Подключить инциденты и оповещения ".
Убедитесь, что Microsoft Sentinel собирает данные об инцидентах XDR в Microsoft Defender. В журналах Microsoft Sentinel на портале Azure выполните следующую инструкцию в окне запроса:
SecurityIncident | where ProviderName == "Microsoft XDR"
При включении соединителя XDR в Microsoft Defender все соединители компонентов Microsoft Defender, которые ранее были подключены, автоматически отключены в фоновом режиме. Хотя они продолжают отображаться, данные не передаются через них.
Подключение сущностей
Используйте Microsoft Defender для удостоверений, чтобы синхронизировать удостоверения пользователей из локальной службы Active Directory с Microsoft Sentinel.
Выберите ссылку на страницу конфигурации UEBA .
На странице конфигурации поведения сущностей, если вы не включили UEBA, в верхней части страницы переместите переключатель в "Вкл".
Установите флажок Active Directory (предварительная версия) и нажмите кнопку "Применить".
Подключение событий
Если вы хотите собирать события расширенной охоты с помощью Microsoft Defender для конечной точки или Microsoft Defender для Office 365, можно собирать следующие типы событий из соответствующих таблиц расширенной охоты.
Установите флажки для таблиц с типами событий, которые вы хотите собирать:
- Защитник для конечных точек
- Defender для Office 365
- Microsoft Defender for Identity
- Defender для облачных приложений
- Оповещения Defender
Имя таблицы Тип событий DeviceInfo Сведения о компьютере, включая сведения об ОС DeviceNetworkInfo Свойства сети устройств, включая физические адаптеры, IP-адреса и MAC-адреса, а также подключенные сети и домены DeviceProcessEvents Создание процесса и связанные события DeviceNetworkEvents Сетевое подключение и связанные события DeviceFileEvents Создание, изменение файла и другие события файловой системы DeviceRegistryEvents Создание и изменение записей реестра DeviceLogonEvents Входы и другие события проверки подлинности на устройствах DeviceImageLoadEvents Загружаются события DDL DeviceEvents Несколько типов событий, включая события, активируемые такими элементами управления безопасности, как антивирусная программа "Защитник Windows" и защита от эксплойтов Информация о сертификате файла устройства Сведения о сертификате подписанных файлов, полученные от событий проверки сертификата на конечных точках Выберите "Применить изменения".
Чтобы запустить запрос в таблицах расширенной охоты в Log Analytics, введите имя таблицы в окне запроса.
Подтверждение приема данных
Граф данных на странице соединителя указывает, что вы используете данные. Обратите внимание, что в ней показана одна строка для инцидентов, оповещений и событий, а строка событий — это агрегирование тома событий во всех включенных таблицах. После включения соединителя используйте следующие запросы KQL для создания более конкретных графов.
Используйте следующий запрос KQL для графа входящих инцидентов XDR в Microsoft Defender:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft XDR"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Используйте следующий запрос KQL для создания графика объема событий для одной конкретной таблицы (измените таблицу DeviceEvents на необходимую таблицу).
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:
- Оператор let
- Оператор where
- Оператор расширения
- Оператор проекта
- оператор union
- Оператор сортировки
- Оператор резюмирования
- Оператор отрисовки
- функция ago()
- Функция iff()
- Функция агрегирования max()
- Функция агрегирования count()
Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).
Другие ресурсы:
Следующий шаг
В этом документе вы узнали, как интегрировать инциденты XDR в Microsoft Defender XDR, оповещения и дополнительные данные о событиях охоты из служб Microsoft Defender в Microsoft Sentinel с помощью соединителя XDR в Microsoft Defender.
Сведения об использовании Microsoft Sentinel вместе с XDR Defender на портале Defender см. в статье "Подключение Microsoft Sentinel" к порталу Microsoft Defender