Share via

تكامل Microsoft Defender XDR مع Microsoft Sentinel

  • مقالة

يسمح لك تكامل الحادث Microsoft Sentinel Microsoft Defender XDR ببث جميع حوادث Microsoft Defender XDR إلى Microsoft Sentinel والحفاظ على مزامنتها بين كلا المدخلين. تتضمن الحوادث من Microsoft Defender XDR جميع التنبيهات والكيانات والمعلومات ذات الصلة المرتبطة، ما يوفر لك سياقا كافيا لإجراء الفرز والتحقيق الأولي في Microsoft Sentinel. بمجرد الوصول إلى Sentinel، ستظل الحوادث متزامنة ثنائية الاتجاه مع Microsoft Defender XDR، مما يسمح لك بالاستفادة من فوائد كلا المدخلين في التحقيق في الحوادث.

يمنح هذا التكامل أحداث أمان Microsoft 365 الرؤية التي ستتم إدارتها من داخل Microsoft Azure Sentinel، كجزء من قائمة انتظار الأحداث الأساسية عبر المؤسسة بأكملها، حتى تتمكن من رؤية - وربط - أحداث Microsoft 365 مع تلك من جميع الأنظمة السحابية والأنظمة المحلية الأخرى. في الوقت نفسه، يسمح لك بالاستفادة من نقاط القوة والقدرات الفريدة ل Microsoft Defender XDR لإجراء تحقيقات متعمقة وتجربة خاصة ب Microsoft 365 عبر النظام البنائي ل Microsoft 365. يقوم Microsoft Defender XDR بإثراء التنبيهات ومجموعاتها من منتجات Microsoft 365 المتعددة، سواء من حيث تقليل حجم قائمة انتظار الحوادث الخاصة ب SOC أو تقصير الوقت اللازم لحلها. خدمات المكونات التي تعد جزءا من مكدس Microsoft Defender XDR هي:

  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Cloud

تشمل الخدمات الأخرى التي يتم تجميع تنبيهاتها بواسطة Microsoft Defender XDR ما يلي:

بالإضافة إلى جمع التنبيهات من هذه المكونات والخدمات الأخرى، يقوم Microsoft Defender XDR بإنشاء تنبيهات خاصة به. تنشئ أحداث من كل هذه التنبيهات وترسلها إلى Microsoft Azure Sentinel.

السيناريوهات وحالات الاستخدام الشائعة

  • يعد إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، والذي يعد تمكين تكامل Microsoft Defender XDR خطوة مبكرة مطلوبة.

  • الاتصال بنقرة واحدة لحوادث Microsoft Defender XDR، بما في ذلك جميع التنبيهات والكيانات من مكونات Microsoft Defender XDR، إلى Microsoft Sentinel.

  • مزامنة ثنائية الاتجاه بين أحداث Sentinel وMicrosoft Defender XDR حول الحالة والمالك وسبب الإغلاق.

  • تطبيق قدرات تجميع تنبيه Microsoft Defender XDR وإثراءه في Microsoft Sentinel، وبالتالي تقليل الوقت لحله.

  • ارتباط عميق في السياق بين حادث Microsoft Sentinel وحادث Microsoft Defender XDR المتوازي، لتسهيل التحقيقات عبر كلا المدخلين.

الاتصال إلى Microsoft Defender XDR

(تتم إعادة توجيه "أحداث Microsoft Defender XDR وقواعد إنشاء الحوادث من Microsoft" هنا.)

تثبيت حل Microsoft Defender XDR ل Microsoft Sentinel وتمكين موصل بيانات Microsoft Defender XDR لجمع الحوادث والتنبيهات. تظهر حوادث Microsoft Defender XDR في قائمة انتظار أحداث Microsoft Sentinel، مع Microsoft Defender XDR (أو أحد أسماء خدمات المكونات) في حقل اسم منتج التنبيه، بعد وقت قصير من إنشائها في Microsoft Defender XDR.

  • قد يستغرق الأمر ما يصل إلى 10 دقائق من وقت إنشاء حادث في Microsoft Defender XDR إلى الوقت الذي يظهر فيه في Microsoft Sentinel.

  • يتم استيعاب التنبيهات والحوادث من Microsoft Defender XDR (تلك العناصر التي تملأ جداول SecurityAlert وSecurityIncident) ومزامنتها مع Microsoft Sentinel دون أي رسوم. بالنسبة لجميع أنواع البيانات الأخرى من مكونات Defender الفردية (مثل جداول التتبع المتقدمة DeviceInfo وDeviceFileEvents و EmailEvents وما إلى ذلك)، سيتم فرض رسوم على الاستيعاب.

  • عند تمكين موصل Microsoft Defender XDR، سيتم إرسال التنبيهات التي تم إنشاؤها بواسطة خدمات المكونات الخاصة به (Defender for Endpoint، Defender for Identity، Defender لـ Office 365، Defender for Cloud Apps، Microsoft Entra ID Protection) إلى Microsoft Defender XDR وتجميعها في الحوادث. ستتدفق كل من التنبيهات والحوادث إلى Microsoft Sentinel من خلال موصل Microsoft Defender XDR. إذا قمت بتمكين أي من موصلات المكونات الفردية مسبقا، فستظهر أنها ستظل متصلة، على الرغم من أنه لن تتدفق أي بيانات من خلالها.

    الاستثناء لهذه العملية هو Microsoft Defender for Cloud. على الرغم من أن تكامله مع Microsoft Defender XDR يعني أنك تتلقى أحداث Defender for Cloud من خلال Defender XDR، تحتاج أيضا إلى تمكين موصل Microsoft Defender for Cloud من أجل تلقي تنبيهات Defender for Cloud. للحصول على الخيارات المتوفرة والمزيد من المعلومات، راجع استيعاب أحداث Microsoft Defender for Cloud مع تكامل Microsoft Defender XDR.

  • وبالمثل، لتجنب إنشاء حوادث مكررة لنفس التنبيهات، سيتم إيقاف تشغيل قواعد إنشاء الحوادث من Microsoft للمنتجات المتكاملة ل Microsoft Defender XDR (Defender for Endpoint وDefender for Identity Defender لـ Office 365 وDefender for Cloud Apps وMicrosoft Entra ID Protection) عند توصيل Microsoft Defender XDR. وذلك لأن Defender XDR لديه قواعد إنشاء الحدث الخاصة به. هذا التغيير له التأثيرات المحتملة التالية:

    • سمحت لك قواعد إنشاء الحوادث في Microsoft Sentinel بتصفية التنبيهات التي سيتم استخدامها لإنشاء الحوادث. مع تعطيل هذه القواعد، يمكنك الاحتفاظ بقدرة تصفية التنبيه عن طريق تكوين ضبط التنبيه في مدخل Microsoft Defender، أو باستخدام قواعد الأتمتة لمنع (إغلاق) الحوادث التي لم ترغب في إنشائها.

    • لم يعد بإمكانك تعيين عناوين الحوادث مسبقا، نظرا لأن محرك الارتباط Microsoft Defender XDR يرأس إنشاء الحادث ويسمي تلقائيا الحوادث التي ينشئها. هذا التغيير عرضة للتأثير على أي قواعد أتمتة قمت بإنشائها تستخدم اسم الحدث كشرط. لتجنب هذه العثرة، استخدم معايير أخرى غير اسم الحدث (نوصي باستخدام العلامات) كشروط لتشغيل قواعد التشغيل التلقائي.

العمل مع أحداث Microsoft Defender XDR في Microsoft Sentinel والمزامنة ثنائية الاتجاه

ستظهر أحداث Microsoft Defender XDR في قائمة انتظار أحداث Microsoft Sentinel باسم المنتج Microsoft Defender XDR، وبالتفاصيل والوظائف المماثلة لأي حوادث Sentinel أخرى. يحتوي كل حادث على ارتباط للحدث المتوازي في مدخل Microsoft Defender.

مع تطور الحدث في Microsoft Defender XDR، وإضافة المزيد من التنبيهات أو الكيانات إليه، سيتم تحديث حدث Microsoft Sentinel وفقا لذلك.

سيتم تحديث التغييرات التي تم إجراؤها على حالة حدث Microsoft Defender XDR أو سبب إغلاقه أو تعيينه، إما في Microsoft Defender XDR أو Microsoft Sentinel، وفقا لذلك في قائمة انتظار الحوادث الخاصة بالآخر. ستتم المزامنة في كلا المنفذين مباشرة بعد تطبيق التغيير على الحدث، دون أي تأخير. قد يكون التحديث مطلوباً للاطلاع على أحدث التغييرات.

في Microsoft Defender XDR، يمكن نقل جميع التنبيهات من حادث واحد إلى حادث آخر، ما يؤدي إلى دمج الحوادث. عند حدوث هذا الدمج، ستعكس أحداث Microsoft Azure Sentinel التغييرات. سيحتوي أحد الأحداث على جميع التنبيهات من كلا الحدثين الأصليين، وسيتم إغلاق الحدث الآخر تلقائياً، مع إضافة علامة "إعادة التوجيه".

إشعار

يمكن أن تحتوي الأحداث في Microsoft Azure Sentinel على 150 تنبيهاً كحد أقصى. يمكن أن يكون لحوادث Microsoft Defender XDR أكثر من ذلك. إذا تمت مزامنة حدث Microsoft Defender XDR مع أكثر من 150 تنبيها إلى Microsoft Sentinel، فسيظهر حدث Sentinel على أنه يحتوي على تنبيهات "150+" وسيوفر ارتباطا للحدث المتوازي في Microsoft Defender XDR حيث سترى المجموعة الكاملة من التنبيهات.

مجموعة أحداث التتبع المتقدمة

يتيح لك موصل Microsoft Defender XDR أيضا دفق أحداث التتبع المتقدمة - نوع من بيانات الأحداث الأولية - من Microsoft Defender XDR وخدمات المكونات الخاصة به إلى Microsoft Sentinel. يمكنك الآن (اعتبارا من أبريل 2022) جمع أحداث التتبع المتقدمة من جميع مكونات Microsoft Defender XDR، وبثها مباشرة إلى جداول مصممة لغرض ما في مساحة عمل Microsoft Sentinel. تم إنشاء هذه الجداول على نفس المخطط المستخدم في مدخل Microsoft Defender، مما يتيح لك الوصول الكامل إلى المجموعة الكاملة من أحداث التتبع المتقدمة، ويسمح لك بالقيام بما يلي:

  • نسخ استعلامات التتبع المتقدمة الحالية خاصتك من Microsoft Defender لنقطة النهاية/Office 365/Identity/Cloud Apps بسهولة إلى Microsoft Azure Sentinel.

  • استخدام سجلات الأحداث الأولية لتوفير المزيد من الأفكار للتنبيهات والتتبع والتحقيق وربط الأحداث بالبيانات من مصادر البيانات الأخرى في Microsoft Azure Sentinel.

  • قم بتخزين السجلات مع زيادة الاحتفاظ، بعد الاحتفاظ الافتراضي ل Microsoft Defender XDR أو مكوناته لمدة 30 يوما. يمكنك القيام بذلك عن طريق تكوين الاحتفاظ بمساحة العمل الخاصة بك أو عن طريق تكوين الاحتفاظ لكل جدول في تحليلات السجل.

الخطوات التالية

في هذا المستند، تعلمت كيفية الاستفادة من استخدام Microsoft Defender XDR مع Microsoft Sentinel، باستخدام موصل Microsoft Defender XDR.