Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как службы Microsoft Defender XDR интегрируются с Microsoft Sentinel на портале Microsoft Defender или в портал Azure.
Если вы впервые подключены к Microsoft Sentinel после 1 июля 2025 г. с разрешениями владельца подписки или администратора доступа пользователей, ваша рабочая область автоматически будет подключена к порталу Defender. В таких случаях вы используете Microsoft Sentinel только на портале Defender, где ваши данные можно интегрировать непосредственно с данными Defender XDR службы для унифицированных операций безопасности.
Если в противном случае вы используете портал Azure в дополнение к порталу Defender или вместо него, интегрируйте Microsoft Defender XDR с Microsoft Sentinel. Интеграция служб выполняет потоковую передачу всех инцидентов Defender XDR и расширенных событий охоты в Microsoft Sentinel, а также обеспечивает синхронизацию инцидентов и событий между Azure и Microsoft Defender порталами.
Инциденты из Defender XDR включают все связанные оповещения, сущности и соответствующую информацию, предоставляя достаточный контекст для рассмотрения и предварительного расследования в Microsoft Sentinel. После Microsoft Sentinel инциденты по-прежнему двунаправленно синхронизируются с Defender XDR, что позволяет воспользоваться преимуществами обоих порталов при расследовании инцидентов.
Microsoft Sentinel и Defender XDR
Используйте один из следующих методов для интеграции Microsoft Sentinel со службами Microsoft Defender XDR.
Прием данных службы Microsoft Defender XDR в Microsoft Sentinel и просмотр данных Microsoft Sentinel в портал Azure. Включите соединитель Defender XDR в Microsoft Sentinel.
Интеграция Microsoft Sentinel и Defender XDR непосредственно на портале Microsoft Defender. В этом случае просмотрите Microsoft Sentinel данные непосредственно с остальными инцидентами, оповещениями, уязвимостями и другими данными безопасности Defender. Для этого необходимо подключить Microsoft Sentinel к порталу Defender.
Выберите соответствующую вкладку, чтобы увидеть, как выглядит Microsoft Sentinel интеграция с Defender XDR в зависимости от используемого метода интеграции.
На следующем рисунке показано, как решение Майкрософт XDR легко интегрируется с Microsoft Sentinel на портале Microsoft Defender.
На этой схеме:
- Аналитические сведения, полученные от сигналов по всей организации, могут передаваться в Microsoft Defender XDR и Microsoft Defender для облака.
- Microsoft Sentinel обеспечивает поддержку многооблачных сред и интегрируется со сторонними приложениями и партнерами.
- Microsoft Sentinel данные будут приниматься вместе с данными вашей организации на портале Microsoft Defender.
- Затем команды SecOps могут анализировать угрозы, выявленные Microsoft Sentinel и Microsoft Defender XDR на портале Microsoft Defender, и реагировать на них.
Корреляция инцидентов и оповещения
Благодаря интеграции Defender XDR с Microsoft Sentinel Defender XDR инциденты становятся видимыми и управляемыми из Microsoft Sentinel. Это позволяет создать основную очередь инцидентов во всей организации. Просматривайте и сопоставляйте Defender XDR инциденты вместе с инцидентами из всех других облачных и локальных систем. В то же время эта интеграция позволяет воспользоваться уникальными преимуществами и возможностями Defender XDR для углубленного исследования и взаимодействия с Defender в экосистеме Microsoft 365.
Defender XDR дополняет и группирует оповещения из нескольких продуктов Microsoft Defender, уменьшая размер очереди инцидентов SOC и сокращая время их разрешения. Оповещения от следующих продуктов и служб Microsoft Defender также включены в интеграцию Defender XDR с Microsoft Sentinel:
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Microsoft Defender for Cloud Apps
К другим службам, оповещения которых собираются Defender XDR, относятся:
- Защита от потери данных в Microsoft Purview
- Защита Microsoft Entra ID
- Управление внутренними рисками Microsoft Purview
Соединитель Defender XDR также приносит инциденты из Microsoft Defender для облака. Для синхронизации оповещений и сущностей из этих инцидентов необходимо включить соединитель Defender для облака в Microsoft Sentinel. В противном случае инциденты Defender для облака будут пустыми. Дополнительные сведения см. в статье Прием Microsoft Defender для инцидентов в облаке с интеграцией Microsoft Defender XDR.
Помимо сбора оповещений от этих компонентов и других служб, Defender XDR создает собственные оповещения. Он создает инциденты из всех этих оповещений и отправляет их в Microsoft Sentinel.
Распространенные варианты использования и сценарии
Рассмотрите возможность интеграции Defender XDR с Microsoft Sentinel для следующих вариантов использования и сценариев:
Подключение Microsoft Sentinel к порталу Microsoft Defender.
Включите подключение одним щелчком Defender XDR инцидентов, включая все оповещения и сущности из Defender XDR компонентов, в Microsoft Sentinel.
Разрешите двунаправленную синхронизацию между Microsoft Sentinel и Defender XDR инцидентами по состоянию, владельцу и причине закрытия.
Применение Defender XDR возможностей группирования оповещений и обогащения в Microsoft Sentinel, что сокращает время на разрешение.
Упрощение исследований на обоих порталах с помощью контекстных глубоких связей между инцидентом Microsoft Sentinel и его параллельным инцидентом Defender XDR.
Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.
Подключение к Microsoft Defender XDR
Способ интеграции Defender XDR зависит от того, планируете ли вы подключить Microsoft Sentinel к порталу Defender или продолжить работу в портал Azure.
Интеграция портала Defender
Если вы Microsoft Sentinel подключаетесь к порталу Defender и имеете лицензию на Defender XDR, Microsoft Sentinel автоматически подключается к Defender XDR. Соединитель данных для Defender XDR настраивается автоматически. Все соединители данных для поставщиков оповещений, включенные в соединитель Defender XDR, отключены. Сюда входят следующие соединители данных:
- Microsoft Defender for Cloud Apps (оповещения)
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Защита Microsoft Entra ID
интеграция портал Azure
Если вы хотите синхронизировать данные Defender XDR с Microsoft Sentinel в портал Azure, необходимо включить соединитель Microsoft Defender XDR в Microsoft Sentinel. При включении соединителя все Defender XDR инциденты и оповещения отправляются в Microsoft Sentinel и обеспечивают синхронизацию инцидентов.
Сначала установите решение Microsoft Defender XDR для Microsoft Sentinel из Центра содержимого. Затем включите соединитель данных Microsoft Defender XDR для сбора инцидентов и оповещений. Дополнительные сведения см. в статье Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.
После включения сбора оповещений и инцидентов в соединителе данных Defender XDR Defender XDR инциденты отображаются в очереди инцидентов Microsoft Sentinel вскоре после их создания в Defender XDR. В обычных рабочих условиях инциденты, созданные в Defender XDR, обычно отображаются в пользовательском интерфейсе и API Microsoft Sentinel в течение пяти минут. Прием в таблицу
securityIncidentможет занять несколько минут. В этих инцидентах поле Название продукта оповещения содержит Microsoft Defender XDR или одно из имен служб Defender компонента.
Затраты на прием
Оповещения и инциденты из Defender XDR, включая элементы, которые заполняют таблицы SecurityAlert и SecurityIncident, поставляются в Microsoft Sentinel и синхронизируются с ними бесплатно. Для всех других типов данных из отдельных компонентов Defender, таких как таблицы Расширенной охотыDeviceInfo, DeviceFileEvents, EmailEvents и т. д., взимается плата за прием.
Дополнительные сведения см. в статье Планирование затрат и сведения о ценах и выставлении счетов Microsoft Sentinel.
Поведение приема данных
Оповещения, созданные Defender XDR интегрированными продуктами, отправляются в Defender XDR и группируются в инциденты. Оповещения и инциденты передаются в Microsoft Sentinel через соединитель Defender XDR.
Исключением из этого процесса является Defender для облака. Вы можете включить оповещения Defender для облака на основе клиента, чтобы получать все оповещения и инциденты через Defender XDR, а также сохранять оповещения на основе подписки и повышать их до инцидентов в Microsoft Sentinel в портал Azure.
Доступные параметры и дополнительные сведения см. в следующих разделах:
- Microsoft Defender для облака на портале Microsoft Defender
- Прием Microsoft Defender для инцидентов в облаке с интеграцией Microsoft Defender XDR
Правила создания инцидентов Майкрософт
Чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, параметр правил создания инцидентов Майкрософт отключен для продуктов, интегрированных Defender XDR при подключении Defender XDR. Defender XDR интегрированные продукты включают Microsoft Defender для удостоверений, Microsoft Defender для Office 365 и многое другое. Кроме того, правила создания инцидентов Майкрософт не поддерживаются на портале Defender, так как на портале Defender есть собственный механизм создания инцидентов. Это изменение может повлиять на следующие последствия:
Фильтрация оповещений. Правила создания инцидентов Microsoft Sentinel позволяют фильтровать оповещения, которые будут использоваться для создания инцидентов. Если эти правила отключены, сохраните возможность фильтрации оповещений, настроив настройку оповещений на портале Microsoft Defender или используя правила автоматизации для подавления или закрытия инцидентов, которые вам не нужны.
Названия инцидентов. Если соединитель Defender XDR включен, вы больше не сможете предопределить названия инцидентов. Подсистема корреляции Defender XDR руководит созданием инцидентов и автоматически присваивает именам инцидентов, которые он создает. Это изменение может повлиять на все созданные вами правила автоматизации, использующие имя инцидента в качестве условия. Чтобы избежать этой ошибки, используйте критерии, отличные от имени инцидента, в качестве условий для запуска правил автоматизации. Рекомендуется использовать теги.
Правила аналитики по расписанию. Если вы используете правила создания инцидентов Microsoft Sentinel для других решений или продуктов Майкрософт по обеспечению безопасности, не интегрированных в Defender XDR, например Управление внутренними рисками Microsoft Purview, и планируете подключиться к порталу Defender, замените правила создания инцидентов. с правилами аналитики по расписанию.
Работа с инцидентами Microsoft Defender XDR в Microsoft Sentinel и двунаправленная синхронизация
Defender XDR инциденты отображаются в очереди инцидентов Microsoft Sentinel с названием продукта Microsoft Defender XDR, а также со сведениями и функциями, аналогичными любым другим инцидентам Microsoft Sentinel. Каждый инцидент содержит ссылку на параллельный инцидент на портале Microsoft Defender.
По мере развития инцидента в Defender XDR и добавления в него дополнительных оповещений или сущностей, Microsoft Sentinel инцидент обновляется соответствующим образом.
Изменения, внесенные в определенные поля или атрибуты инцидента Defender XDR в Defender XDR или Microsoft Sentinel, также обновляются соответствующим образом в очереди инцидентов другого. Синхронизация выполняется на обоих порталах сразу после применения изменения инцидента без задержек. Для просмотра последних изменений может потребоваться обновление.
Следующие поля синхронизируются "как есть" между инцидентами на портале Defender и в Microsoft Sentinel в портал Azure:
- Название
- Описание
- ProductName
- Severity
- Пользовательские теги
- Дополнительные данные
- Примечания (только новые)
- LastModifiedBy
Следующие поля преобразуются во время синхронизации, чтобы их значения соответствовали схеме каждой платформы:
| Поле | Значение на портале Defender | Значение в Microsoft Sentinel |
|---|---|---|
| Состояние | ||
| Активное | Создать | |
|
Классификации/ Причина классификации |
||
| True Positive/ Любой |
True Positive/ Подозрительное действие |
|
| Ложноположительный результат/ Любой |
Ложноположительный результат/ Неточные данные |
|
| Н/Д | Ложноположительный результат/ Неточная логика оповещений |
|
| Доброкачественный положительный/ Информационное ожидаемое действие |
Доброкачественный положительный/ Подозрительное, но ожидаемое |
|
| Не задано | Undetermined (не определено) |
В Defender XDR все оповещения из одного инцидента могут быть перенесены в другой, что приводит к объединянию инцидентов. Когда это слияние происходит, Microsoft Sentinel инциденты отражают изменения. Один инцидент содержит все оповещения из обоих исходных инцидентов, а другой инцидент автоматически закрывается с добавлением тега "перенаправлено".
Примечание.
Инциденты в Microsoft Sentinel могут содержать не более 150 оповещений. Defender XDR инцидентов может быть больше. Если инцидент Defender XDR с более чем 150 оповещениями синхронизирован с Microsoft Sentinel, Microsoft Sentinel инцидент отображается как оповещение "150+" и предоставляет ссылку на параллельный инцидент в Defender XDR, где отображается полный набор оповещений.
Расширенная коллекция событий охоты
Соединитель Defender XDR также позволяет передавать события расширенной охоты (тип необработанных данных о событиях) из Defender XDR и служб компонентов в Microsoft Sentinel. Собирайте события расширенной охоты из всех компонентов Defender XDR и выполняйте их потоковую передачу непосредственно в целевые таблицы в рабочей области Microsoft Sentinel. Эти таблицы основаны на той же схеме, которая используется на портале Defender, предоставляя полный доступ к полному набору расширенных событий охоты и позволяя выполнять следующие задачи:
С легкостью копируйте существующие запросы Microsoft Defender для конечной точки/Office 365/Identity/Cloud Apps в Microsoft Sentinel.
Используйте необработанные журналы событий, чтобы предоставить дополнительные сведения об оповещениях, поиске и исследовании, а также сопоставить эти события с событиями из других источников данных в Microsoft Sentinel.
Храните журналы с увеличенным сроком хранения за пределами Defender XDR хранения по умолчанию в 30 дней. Это можно сделать, настроив хранение рабочей области или настроив хранение для каждой таблицы в Log Analytics.
Создание пользовательских правил обнаружения
Пользовательское обнаружение в Microsoft Defender теперь является лучшим способом создания новых правил в Microsoft Sentinel управления информационной безопасностью и событиями безопасности (SIEM) и Microsoft Defender XDR. Он поддерживает единый центр управления безопасностью (SOC) на портале Defender и предоставляет более широкие возможности для усовершенствований.
Благодаря пользовательским обнаружениям можно сократить затраты на прием данных, получить неограниченное количество обнаружения в режиме реального времени и воспользоваться преимуществами простой интеграции с Defender XDR данными, функциями и действиями по исправлению с помощью автоматического сопоставления сущностей. Microsoft Sentinel пользователи по-прежнему могут использовать правила аналитики, но мы рекомендуем использовать пользовательские обнаружения, чтобы воспользоваться преимуществами последних инноваций.
Связанные материалы
В этом документе вы узнали о преимуществах включения соединителя Defender XDR в Microsoft Sentinel.
- Подключение данных из Microsoft Defender XDR к Microsoft Sentinel
- Сведения об использовании Microsoft Sentinel на портале Defender см. в статье Подключение Microsoft Sentinel к порталу Microsoft Defender.
- Проверьте доступность различных типов данных Microsoft Defender XDR в разных облаках Microsoft 365 и Azure.