Интеграция XDR в Microsoft Defender с Microsoft Sentinel
Интеграция XDR Microsoft Defender с Microsoft Sentinel для потоковой передачи всех инцидентов XDR Defender и расширенных событий охоты в Microsoft Sentinel и поддержания синхронизации инцидентов и событий между порталами Azure и Microsoft Defender. Инциденты из XDR Defender включают все связанные оповещения, сущности и соответствующие сведения, предоставляя достаточно контекста для выполнения трижа и предварительного расследования в Microsoft Sentinel. Как только в Microsoft Sentinel инциденты остаются двунаправленными синхронизированными с XDR Defender, что позволяет воспользоваться преимуществами обоих порталов в расследовании инцидентов.
Кроме того, подключение Microsoft Sentinel с XDR Defender к единой платформе безопасности Майкрософт (SecOps) на портале Defender. Единая платформа SecOps Корпорации Майкрософт объединяет все возможности Microsoft Sentinel, Defender XDR и генерируемый ИИ, созданный специально для кибербезопасности. Дополнительные сведения см. на следующих ресурсах:
- Запись блога: общая доступность единой платформы операций безопасности Майкрософт
- Microsoft Sentinel на портале Microsoft Defender
- Microsoft Copilot в Microsoft Defender
Microsoft Sentinel и Defender XDR
Используйте один из следующих методов для интеграции Microsoft Sentinel со службами XDR в Microsoft Defender:
Прием данных службы XDR в Microsoft Sentinel и просмотр данных Microsoft Sentinel в портал Azure. Включите соединитель XDR Defender в Microsoft Sentinel.
Интеграция Microsoft Sentinel и Defender XDR в единую унифицированную платформу операций безопасности на портале Microsoft Defender. В этом случае просмотрите данные Microsoft Sentinel непосредственно на портале Microsoft Defender с остальными инцидентами Defender, оповещениями, уязвимостями и другими данными безопасности. Включите соединитель XDR Defender в Microsoft Sentinel и подключение Microsoft Sentinel к единой платформе SecOps Майкрософт на портале Defender.
Выберите соответствующую вкладку, чтобы увидеть, как выглядит интеграция Microsoft Sentinel с XDR Defender в зависимости от используемого метода интеграции.
На следующем рисунке показано, как решение XDR Майкрософт легко интегрируется с Microsoft Sentinel.
На этой схеме:
- Аналитические сведения о сигналах всей организации в microsoft Defender XDR и Microsoft Defender для облака.
- XDR в Microsoft Defender и Microsoft Defender для облака отправлять данные журнала SIEM через соединители Microsoft Sentinel.
- Затем команды SecOps могут анализировать и реагировать на угрозы, выявленные в Microsoft Sentinel и XDR в Microsoft Defender.
- Microsoft Sentinel поддерживает многооблачные среды и интегрируется с сторонними приложениями и партнерами.
Корреляция инцидентов и оповещения
Благодаря интеграции XDR Defender с Microsoft Sentinel инциденты XDR Defender отображаются и управляются из Microsoft Sentinel. Это дает вам основную очередь инцидентов во всей организации. Просматривайте и сопоставляйте инциденты XDR Defender вместе с инцидентами из всех других облачных и локальных систем. В то же время эта интеграция позволяет воспользоваться уникальными преимуществами и возможностями XDR Defender для подробных исследований и взаимодействия с Защитником в экосистеме Microsoft 365.
XDR Defender обогатляет и группирует оповещения из нескольких продуктов Microsoft Defender, уменьшая размер очереди инцидентов SOC и сокращая время разрешения. Оповещения из следующих продуктов и служб Microsoft Defender также включены в интеграцию XDR Defender с Microsoft Sentinel:
- Защитник Майкрософт для конечных точек
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365;
- Microsoft Defender for Cloud Apps
- Управление уязвимостями Microsoft Defender
Другие службы, оповещения которых собираются XDR Defender, включают:
- Защита от потери данных Microsoft Purview (дополнительные сведения)
- Защита идентификации Microsoft Entra (дополнительные сведения)
Соединитель XDR Defender также приносит инциденты из Microsoft Defender для облака. Чтобы синхронизировать оповещения и сущности из этих инцидентов, необходимо включить соединитель Defender для облака в Microsoft Sentinel. В противном случае Defender для облака инциденты отображаются пустыми. Дополнительные сведения см. в разделе "Прием Microsoft Defender для облака инцидентов с интеграцией XDR в Microsoft Defender".
Помимо сбора оповещений из этих компонентов и других служб, XDR Defender создает оповещения о своих собственных возможностях. На основе всех этих оповещений оно создает инциденты и отправляет их в Microsoft Sentinel.
Распространенные варианты использования и сценарии
Рассмотрите возможность интеграции XDR Defender с Microsoft Sentinel для следующих вариантов использования и сценариев:
Подключение Microsoft Sentinel к унифицированной платформе SecOps в Microsoft Defender на портале Microsoft Defender. Включение соединителя XDR Defender является обязательным условием.
Включите одно щелчком подключение инцидентов XDR Defender, включая все оповещения и сущности из компонентов XDR Defender, в Microsoft Sentinel.
Разрешить двунаправленную синхронизацию между инцидентами Microsoft Sentinel и Defender XDR по состоянию, владельцу и закрытию причины.
Применение возможностей группирования оповещений и обогащения в Microsoft Sentinel в Defender XDR, что сокращает время разрешения.
Упрощение расследований на обоих порталах с помощью глубоких связей между инцидентом Microsoft Sentinel и параллельным инцидентом XDR Defender.
Дополнительные сведения о возможностях интеграции Microsoft Sentinel с XDR Defender в единой платформе SecOps майкрософт см . на портале Microsoft Sentinel.
Подключение к XDR в Microsoft Defender
Включите соединитель XDR в Microsoft Sentinel в Microsoft Sentinel для отправки всех инцидентов XDR Defender и оповещений в Microsoft Sentinel и поддержания синхронизации инцидентов.
Сначала установите решение XDR в Microsoft Defender для Microsoft Sentinel из центра содержимого. Затем включите соединитель данных XDR в Microsoft Defender для сбора инцидентов и оповещений. Дополнительные сведения см. в статье "Подключение данных из XDR Microsoft Defender к Microsoft Sentinel".
После включения сбора оповещений и инцидентов в соединителе данных XDR Defender инциденты Защитника отображаются в очереди инцидентов Microsoft Sentinel вскоре после создания в Защитнике XDR. Это может занять до 10 минут с момента создания инцидента в Защитнике XDR до времени его появления в Microsoft Sentinel. В этих инцидентах поле имени продукта генерации оповещений содержит XDR в Microsoft Defender или одно из имен служб Defender компонента.
Чтобы подключить рабочую область Microsoft Sentinel к единой платформе SecOps Майкрософт на портале Defender, см. статью "Подключение Microsoft Sentinel к XDR в Microsoft Defender".
Затраты на прием
Оповещения и инциденты из XDR Defender, включая элементы, которые заполняют таблицы SecurityAlert и SecurityIncident , передаются и синхронизируются с Microsoft Sentinel без платы. Для всех других типов данных из отдельных компонентов Defender, таких как расширенные таблицы охоты DeviceInfo, DeviceFileEvents, EmailEvents и т. д., взимается прием. Дополнительные сведения см. в разделе "Планирование затрат" и сведения о ценах и выставлении счетов в Microsoft Sentinel.
Поведение приема данных
Если соединитель XDR Defender включен, оповещения, созданные продуктами, интегрированными с Защитником XDR, отправляются в XDR Defender и группируются в инциденты. Оповещения и поток инцидентов в Microsoft Sentinel через соединитель XDR Defender. Исключение для этого процесса Defender для облака. У вас есть возможность включить Defender для облака оповещения на основе клиента для получения всех оповещений и инцидентов через XDR Defender или сохранить оповещения на основе подписки и повысить их до инцидентов в Microsoft Sentinel в портал Azure. Доступные варианты и дополнительные сведения см. в следующих статьях:
- Microsoft Defender для облака на портале Microsoft Defender
- Прием инцидентов Microsoft Defender для облака с интеграцией XDR в Microsoft Defender
Правила создания инцидентов Майкрософт
Чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, параметр правил создания инцидентов Майкрософт отключен для продуктов, интегрированных с Защитником XDR при подключении XDR Defender. Продукты, интегрированные с защитником XDR, включают Microsoft Defender для удостоверений, Microsoft Defender для Office 365 и многое другое. Кроме того, правила создания инцидентов Майкрософт не поддерживаются на унифицированной платформе SecOps корпорации Майкрософт. В Защитнике XDR есть собственные правила создания инцидентов. Это изменение может повлиять на следующие потенциальные последствия:
Правила создания инцидентов Microsoft Sentinel позволяют фильтровать оповещения, которые будут использоваться для создания инцидентов. Если эти правила отключены, сохраните возможность фильтрации оповещений, настроив настройку оповещений на портале Microsoft Defender или используя правила автоматизации для подавления или закрытия инцидентов, которые не нужны.
После включения соединителя XDR Defender вы больше не сможете заранее определить названия инцидентов. Подсистема корреляции XDR Defender председательствует над созданием инцидентов и автоматически присваивает именам инцидентов, которые он создает. Это изменение может повлиять на все правила автоматизации, созданные при использовании имени инцидента в качестве условия. Чтобы избежать этой ошибки, используйте критерии, отличные от имени инцидента, в качестве условий для активации правил автоматизации. Рекомендуется использовать теги.
Если вы используете правила создания инцидентов Microsoft Sentinel для других решений безопасности Майкрософт или продуктов, не интегрированных в XDR Defender, таких как Управление внутренними рисками Microsoft Purview, и планируете подключиться к единой платформе SecOps Корпорации Майкрософт на портале Defender, замените правила создания инцидентов запланированными правилами аналитики.
Работа с инцидентами XDR в Microsoft Sentinel и двунаправленной синхронизации
Инциденты XDR Defender отображаются в очереди инцидентов Microsoft Sentinel с именем продукта Microsoft Defender XDR, а также с аналогичными сведениями и функциональными возможностями для любых других инцидентов Microsoft Sentinel. Каждый инцидент содержит ссылку обратно на параллельный инцидент на портале Microsoft Defender.
По мере развития инцидента в XDR Defender и добавления в него дополнительных оповещений или сущностей инцидент Microsoft Sentinel обновляется соответствующим образом.
Изменения, внесенные в состояние, закрытие или назначение инцидента XDR в Defender XDR или Microsoft Sentinel, также обновляются соответствующим образом в очереди инцидентов другого. Синхронизация выполняется на обоих порталах сразу после применения изменения инцидента без задержки. Для просмотра последних изменений может потребоваться обновление страницы.
В Защитнике XDR все оповещения одного инцидента могут быть переданы другому, что приводит к слиянию инцидентов. При слиянии инциденты Microsoft Sentinel отражают изменения. Один инцидент содержит все оповещения обоих исходных инцидентов, а другой инцидент автоматически закрывается с тегом перенаправленного.
Примечание.
Инциденты в Microsoft Sentinel могут содержать не более 150 оповещений. Инциденты XDR в Защитнике могут иметь больше, чем это. Если инцидент XDR Defender с более чем 150 оповещениями синхронизируется с Microsoft Sentinel, инцидент Microsoft Sentinel показывает наличие оповещений "150+" и предоставляет ссылку на параллельный инцидент в Защитнике XDR, где отображается полный набор оповещений.
Сбор событий расширенной охоты
Соединитель XDR Defender также позволяет передавать расширенные события охоты ( тип необработанных данных событий) из Защитника XDR и ее служб компонентов в Microsoft Sentinel. Сбор событий расширенной охоты из всех компонентов XDR Defender и потоковая передача их непосредственно в встроенные таблицы в рабочей области Microsoft Sentinel. Эти таблицы основаны на той же схеме, которая используется на портале Defender, предоставляя полный доступ к полному набору расширенных событий охоты и позволяя выполнять следующие задачи:
Без затруднений копируйте существующие запросы расширенной охоты Microsoft Defender для конечной точки/Office 365/идентификатора/облачных приложений в Microsoft Sentinel.
Использовать необработанные журналы событий, чтобы получать дополнительные сведения об оповещениях, охоте и расследовании инцидентов, а также сопоставлять эти события в Microsoft Sentinel с событиями из других источников данных.
Сохраните журналы с повышенным сроком хранения, за исключением хранения XDR в Защитнике или его компонентов по умолчанию в 30 дней. Для этого можно настроить срок хранения рабочей области или срок хранения для каждой таблицы в Log Analytics.
Связанный контент
В этом документе вы узнали о преимуществах включения соединителя XDR Defender в Microsoft Sentinel.
- Подключение данных из XDR в Microsoft Defender к Microsoft Sentinel
- Чтобы использовать единую платформу SecOps Корпорации Майкрософт на портале Defender, см. статью Connect Microsoft Sentinel на портале Microsoft Defender.
- Проверьте доступность различных типов данных XDR в Microsoft Defender в разных облаках Microsoft 365 и Azure.