Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интегрируйте Microsoft Defender XDR с Microsoft Sentinel для потоковой обработки всех инцидентов Microsoft Defender XDR и событий расширенного поиска в Microsoft Sentinel и поддержания синхронизации этих инцидентов и событий между порталами Azure и Microsoft Defender. Инциденты из XDR Defender включают все связанные оповещения, сущности и соответствующую информацию, предоставляя достаточный контекст для выполнения оценки срочности и предварительного расследования в Microsoft Sentinel. Как только инциденты попадают в Microsoft Sentinel, они остаются в двунаправленной синхронизации с Defender XDR, что позволяет воспользоваться преимуществами обоих порталов в расследовании инцидентов.
Альтернативно, интеграция Microsoft Sentinel вместе с Defender XDR на единую платформу безопасности (SecOps) Microsoft в портале Защитника. Единая платформа SecOps Корпорации Майкрософт объединяет все возможности Microsoft Sentinel, Defender XDR и генерируемый ИИ, созданный специально для кибербезопасности. Дополнительные сведения см. на следующих ресурсах:
- Что такое единая платформа операций безопасности Майкрософт?
- Microsoft Sentinel на портале Microsoft Defender
Microsoft Sentinel и Defender XDR
Используйте один из следующих методов для интеграции Microsoft Sentinel со службами XDR в Microsoft Defender:
Загрузка данных службы Microsoft Defender XDR в Microsoft Sentinel и просмотр данных Microsoft Sentinel в портале Azure. Включите соединитель XDR Defender в Microsoft Sentinel.
Интеграция Microsoft Sentinel и Defender XDR в единую унифицированную платформу операций безопасности на портале Microsoft Defender. В этом случае просмотрите данные Microsoft Sentinel непосредственно на портале Microsoft Defender с остальными инцидентами Defender, оповещениями, уязвимостями и другими данными безопасности. Включите коннектор Defender XDR в Microsoft Sentinel и настройте Microsoft Sentinel в портале Defender.
Выберите соответствующую вкладку, чтобы увидеть, как выглядит интеграция Microsoft Sentinel с XDR Defender в зависимости от используемого метода интеграции.
На следующем рисунке показано, как решение XDR Майкрософт легко интегрируется с Microsoft Sentinel.
На этой схеме:
- Аналитические сведения о сигналах всей вашей организации поступают в Microsoft Defender XDR и Microsoft Defender для облака.
- Microsoft Defender XDR и Microsoft Defender для облака отправляют данные журнала SIEM через соединители Microsoft Sentinel.
- Затем команды SecOps могут анализировать и реагировать на угрозы, выявленные в Microsoft Sentinel и Microsoft Defender XDR.
- Microsoft Sentinel поддерживает многооблачные среды и интегрируется с сторонними приложениями и партнерами.
Корреляция инцидентов и оповещения
Благодаря интеграции XDR Defender с Microsoft Sentinel инциденты XDR Defender отображаются и управляются из Microsoft Sentinel. Это дает вам основную линию инцидентов, охватывающую всю организацию. Просматривайте и сопоставляйте инциденты XDR Defender вместе с инцидентами из всех других облачных и локальных систем. В то же время эта интеграция позволяет воспользоваться уникальными преимуществами и возможностями Defender XDR для проведения углубленных расследований и получения специфичного для Defender опыта в экосистеме Microsoft 365.
XDR Defender обогащает и группирует оповещения из нескольких продуктов Microsoft Defender, уменьшая объем очереди инцидентов SOC и сокращая время их разрешения. Оповещения из следующих продуктов и служб Microsoft Defender также включены в интеграцию XDR Defender с Microsoft Sentinel:
- Microsoft Defender для конечной точки
- Microsoft Defender for Identity
- Microsoft Defender для Office 365
- Microsoft Defender for Cloud Apps
- Управление уязвимостями Microsoft Defender
Другие службы, уведомления которых собираются системой Defender XDR, включают:
- Защита от потери данных Microsoft Purview
- Защита идентификации Microsoft Entra
- Управление внутренними рисками Microsoft Purview
Соединитель XDR Defender также приносит инциденты из Microsoft Defender для облака. Чтобы синхронизировать оповещения и сущности из этих инцидентов, необходимо включить соединитель Defender для облака в Microsoft Sentinel. В противном случае инциденты в Defender для облака отображаются как пустые. Для получения дополнительной информации см. раздел Прием инцидентов Microsoft Defender для облака с интеграцией Microsoft Defender XDR.
Помимо сбора оповещений из этих компонентов и других служб, Defender XDR создает собственные оповещения. На основе всех этих оповещений оно создает инциденты и отправляет их в Microsoft Sentinel.
Распространенные варианты использования и сценарии
Рассмотрите возможность интеграции XDR Defender с Microsoft Sentinel для следующих вариантов использования и сценариев:
Подключение Microsoft Sentinel к унифицированной платформе SecOps в Microsoft Defender. Включение соединителя XDR Defender является обязательным условием.
Разрешите подключение инцидентов Defender XDR одним щелчком, включая все оповещения и сущности из компонентов Defender XDR, в Microsoft Sentinel.
Разрешить двунаправленную синхронизацию инцидентов между Microsoft Sentinel и Defender XDR по состоянию, владельцу и причине закрытия.
Используйте возможности группирования и обогащения оповещений в Microsoft Sentinel в Defender XDR, таким образом сокращая время разрешения проблем.
Упростите проведение расследований на обоих порталах с помощью контекстных глубоких ссылок между инцидентом Microsoft Sentinel и параллельным инцидентом Defender XDR.
Дополнительные сведения о возможностях интеграции Microsoft Sentinel с Defender XDR в единой платформе SecOps Майкрософт см. в разделе Microsoft Sentinel на портале Microsoft Defender.
Подключение к Microsoft Defender XDR
Интеграция XDR Defender зависит от того, планируете ли вы подключить Microsoft Sentinel к порталу Defender или продолжить работу на портале Azure.
Интеграция портала Defender
Если вы подключаете Microsoft Sentinel к порталу Defender и у вас есть лицензия на Defender XDR, то Microsoft Sentinel автоматически подключается к Defender XDR. Соединитель данных для Defender XDR настраивается автоматически. Все соединители данных для поставщиков оповещений, включенных в соединитель XDR Defender, отключены. К ним относятся следующие соединители данных:
- Microsoft Defender для облачных приложений (оповещения)
- Microsoft Defender для Endpoint
- Microsoft Defender для идентификации
- Microsoft Defender для Office 365
- Защита идентификации Microsoft Entra
Интеграция с порталом Azure.
Если вы хотите синхронизировать данные Defender XDR с Microsoft Sentinel на портале Azure, необходимо включить соединитель Microsoft Defender XDR в Microsoft Sentinel. При включении соединителя вся информация о инцидентах и оповещениях Defender XDR будет отправляться в Microsoft Sentinel, и инциденты и оповещения будут оставаться синхронизированы.
Сначала установите решение Microsoft Defender XDR для Microsoft Sentinel из Центра содержания. Затем включите соединитель данных Microsoft Defender XDR для сбора инцидентов и оповещений. Дополнительные сведения см. в статье "Подключение данных из XDR Microsoft Defender к Microsoft Sentinel".
После активации сбора оповещений и инцидентов в соединителе данных Defender XDR инциденты Defender XDR отображаются в очереди инцидентов Microsoft Sentinel вскоре после их создания в программе Defender XDR. Это может занять до 10 минут с момента создания инцидента в Защитнике XDR до времени его появления в Microsoft Sentinel. В этих инцидентах поле имени продукта оповещений содержит Microsoft Defender XDR или одно из имён служб компонентов Defender.
Затраты на прием
Оповещения и инциденты из XDR Defender, включая элементы, которые заполняют таблицы SecurityAlert и SecurityIncident , передаются и синхронизируются с Microsoft Sentinel без платы. Для всех других типов данных из отдельных компонентов Defender, таких как таблицы расширенного поиска DeviceInfo, DeviceFileEvents, EmailEvents и т. д., взимается плата за обработку данных.
Дополнительные сведения см. в разделе "Планирование затрат" и сведения о ценах и выставлении счетов в Microsoft Sentinel.
Поведение приема данных
Оповещения, созданные интегрированными с продуктами Defender XDR, отправляются в Defender XDR и группируются в инциденты. Оповещения и инциденты направляются в Microsoft Sentinel через коннектор Defender XDR.
Исключение из этого процесса — это Defender для Cloud. У вас есть возможность включить оповещения Defender для облака на основе арендатора, чтобы получать все оповещения и инциденты через Defender XDR, или оставить оповещения на основе подписки и повысить их до инцидентов в Microsoft Sentinel в портале Azure.
Для получения информации о доступных параметрах и дополнительных сведениях смотрите следующие источники:
- Microsoft Defender для облака на портале Microsoft Defender
- Обработка инцидентов Microsoft Defender для облака с интеграцией Microsoft Defender XDR
Правила создания инцидентов Майкрософт
Чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, параметр правил создания инцидентов Майкрософт отключен для продуктов, интегрированных с Защитником XDR при подключении XDR Defender. Продукты, интегрированные с Microsoft Defender XDR, включают Microsoft Defender для идентификации, Microsoft Defender для Office 365 и многое другое. Кроме того, правила создания инцидентов Майкрософт не поддерживаются на портале Defender, так как портал Defender имеет собственный механизм создания инцидентов. Это изменение может повлиять на следующие потенциальные последствия:
Фильтрация оповещений. Правила создания инцидентов Microsoft Sentinel позволяют фильтровать оповещения, которые будут использоваться для создания инцидентов. Если эти правила отключены, сохраните возможность фильтрации оповещений, настроив настройку оповещений на портале Microsoft Defender или используя правила автоматизации для подавления или закрытия инцидентов, которые не нужны.
Названия инцидентов. С включенным коннектором Defender XDR вы больше не сможете заранее определять заголовки инцидентов. Подсистема корреляции XDR Defender управляет созданием инцидентов и автоматически именует инциденты, которые она создает. Это изменение может повлиять на все правила автоматизации, созданные при использовании имени инцидента в качестве условия. Чтобы избежать этой ошибки, используйте критерии, отличные от имени инцидента, в качестве условий для активации правил автоматизации. Рекомендуется использовать теги.
Правила запланированной аналитики. Если вы используете правила создания инцидентов Microsoft Sentinel для других решений безопасности Майкрософт или продуктов, не интегрированных в XDR Defender, таких как Управление внутренними рисками Microsoft Purview, и планируете подключиться к порталу Defender, замените правила создания инцидентов запланированными правилами аналитики.
Работа с инцидентами Microsoft Defender XDR в Microsoft Sentinel и двунаправленной синхронизацией
Инциденты XDR Defender отображаются в очереди инцидентов Microsoft Sentinel с именем продукта Microsoft Defender XDR, а также с аналогичными сведениями и функциональными возможностями для любых других инцидентов Microsoft Sentinel. Каждый инцидент содержит ссылку обратно на параллельный инцидент на портале Microsoft Defender.
По мере развития инцидента в XDR Defender и добавления в него дополнительных оповещений или сущностей инцидент Microsoft Sentinel обновляется соответствующим образом.
Изменения, внесенные в статус, причину закрытия или назначение инцидента Defender XDR, в Defender XDR или Microsoft Sentinel, также обновляются в соответствующей очереди инцидентов другого. Синхронизация на обоих порталах осуществляется сразу после внесения изменений в инцидент, без задержки. Для просмотра последних изменений может потребоваться обновление страницы.
В Defender XDR все оповещения из одного инцидента могут быть перенесены в другой, что приводит к их слиянию. Когда происходит слияние, инциденты Microsoft Sentinel отражают изменения. Один инцидент содержит все оповещения обоих исходных инцидентов, а другой инцидент автоматически закрывается с добавленным тегом "перенаправлено."
Примечание.
Инциденты в Microsoft Sentinel могут содержать не более 150 оповещений. Инциденты XDR в Защитнике могут иметь больше, чем это. Если инцидент XDR Defender с более чем 150 оповещениями синхронизируется с Microsoft Sentinel, инцидент Microsoft Sentinel показывает наличие оповещений "150+" и предоставляет ссылку на параллельный инцидент в Защитнике XDR, где отображается полный набор оповещений.
Сбор событий расширенной охоты
Соединитель Defender XDR также позволяет передавать расширенные события поиска — тип необработанных данных событий из Defender XDR и его составных служб в Microsoft Sentinel. Сбор событий расширенной охоты из всех компонентов Defender XDR и потоковая передача их непосредственно в специально предназначенные таблицы в рабочей области Microsoft Sentinel. Эти таблицы основаны на той же схеме, которая используется на портале Defender, предоставляя полный доступ к полному набору расширенных событий охоты и позволяя выполнять следующие задачи:
Легко копируйте существующие запросы расширенной охоты Microsoft Defender для конечных точек/Office 365/Identity/облачных приложений в Microsoft Sentinel.
Использовать необработанные журналы событий, чтобы получать дополнительные сведения об оповещениях, охоте и расследовании инцидентов, а также сопоставлять эти события в Microsoft Sentinel с событиями из других источников данных.
Сохраните журналы с увеличенным сроком хранения, превышающим стандартное хранение в 30 дней в Defender XDR или его компонентах. Для этого можно настроить срок хранения рабочей области или срок хранения для каждой таблицы в Log Analytics.
Связанный контент
В этом документе вы узнали о преимуществах включения соединителя XDR Defender в Microsoft Sentinel.
- Соедините данные из Microsoft Defender XDR с Microsoft Sentinel
- Для использования Microsoft Sentinel на портале Defender см. статью Подключение Microsoft Sentinel к порталу Microsoft Defender.
- Проверьте доступность различных типов данных XDR в Microsoft Defender в разных облаках Microsoft 365 и Azure.