Připojení dat z Microsoft 365 Defender do Microsoft Sentinelu

Článek
11/18/2021
4 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Důležité

Microsoft 365 Defender se dříve označované jako Microsoft Threat Protection nebo MTP.

Microsoft Defender for Endpoint byl dříve označován jako Rozšířená ochrana před internetovými útoky v programu Microsoft Defender nebo MDATP.

Microsoft Defender for Office 365 byl dříve označován jako Office 365 Advanced Threat Protection.

Můžete vidět staré názvy, které se po určitou dobu stále používají.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tématu věnovaném tabulkám Sentinel Microsoftu v cloudu dostupnost funkcí pro státní správu USA.

Pozadí

Konektor Microsoft 365 Defender (M365D) microsoft Sentinelu s integrací incidentů umožňuje streamovat všechny incidenty a výstrahy M365D do Microsoft Sentinelu a udržuje incidenty synchronizované mezi oběma portály. Incidenty M365D zahrnují všechna jejich upozornění, entity a další důležité informace a jsou obohacené o a seskupují upozornění ze služeb komponent M365D Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365 a Microsoft Defender for Cloud Apps.

Konektor také umožňuje streamovat pokročilé proaktivní události z Microsoft Defenderu for Endpoint a Microsoft Defenderu pro Office 365 do Microsoft Sentinelu, což vám umožní zkopírovat pokročilé dotazy komponent Defenderu pro proaktivní vyhledávání do Microsoft Sentinelu, obohatit výstrahy služby Sentinel o nezpracovaná data událostí komponent Defenderu a poskytnout tak další přehledy a ukládat protokoly s vyšším uchováváním v Log Analytics.

Další informace o integraci incidentů a rozšířeném shromažďování událostí pro proašeře najdete v Microsoft 365 Defender s Microsoft Sentinelu.

Důležité

Konektor Microsoft 365 Defender je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.

Požadavky

Musíte mít platnou licenci pro Microsoft 365 Defender, jak je popsáno v Microsoft 365 Defender požadavky.
Musíte být globálním správcem nebo správcem zabezpečení v Azure Active Directory.

Připojení na Microsoft 365 Defender

V Microsoft Sentinelu vyberte Datové konektory, v galerii vyberte Microsoft 365 Defender (Preview) a pak vyberte Otevřít stránku konektoru.
V části Konfigurace v Připojení incidenty & výstrahy vyberte tlačítko Připojení incidenty & výstrahy.
Pokud se chcete vyhnout duplikaci incidentů, doporučujeme zaškrtnout políčko Vypnout všechna pravidla vytváření incidentů Microsoftu pro tyto produkty.

Poznámka

Když povolíte konektor Microsoft 365 Defender, všechny konektory komponent M365D (ty, které jsou uvedené na začátku tohoto článku) se automaticky připojí na pozadí. Pokud chcete odpojit jeden z konektorů komponent, musíte nejprve odpojit konektor Microsoft 365 Defender konektoru.
K dotazování Microsoft 365 Defender incidentů použijte v okně dotazu následující příkaz:
```
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
```

Pokud chcete shromažďovat pokročilé události pro proadění z Microsoft Defenderu for Endpoint nebo Microsoft Defenderu for Office 365, můžete z odpovídajících tabulek pokročilých proaků shromažďovat následující typy událostí.

Označte zaškrtávací políčka tabulek typy událostí, které chcete shromáždit:

Defender pro koncový bod
Defender for Office 365

Název tabulky	Typ událostí
Deviceinfo	Informace o počítači, včetně informací o operačním systému
Informace o síti zařízení	Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a ADRES MAC, a také připojených sítí a domén
DeviceProcessEvents	Vytváření procesů a související události
DeviceNetworkEvents	Síťové připojení a související události
DeviceFileEvents	Vytváření, úpravy a další události systému souborů
DeviceRegistryEvents	Vytvoření a úprava položek registru
DeviceLogonEvents	Přihlášení a další události ověřování na zařízeních
DeviceImageLoadEvents	Události načítání knihoven DLL
Události zařízení	Několik typů událostí, včetně událostí aktivných ovládacími prvky zabezpečení, jako jsou Antivirová ochrana v programu Windows Defender a ochrana před zneužitím
DeviceFileCertificateInfo	Informace o certifikátu podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech

Název tabulky	Typ událostí
EmailAttachmentInfo	Informace o souborech připojených k e-mailům
EmailEvents	Microsoft 365 e-mailových událostí, včetně událostí doručování e-mailů a blokování
EmailPostDeliveryEvents	Události zabezpečení, ke kterým dojde po doručení, Microsoft 365 doručí e-maily do poštovní schránky příjemce.
EmailUrlInfo	Informace o adresách URL v e-mailech

Klikněte na Použít změny.
Pokud se chcete dotazovat na rozšířené tabulky proaktivního vyhledávání v Log Analytics, zadejte název tabulky ze seznamu výše v okně dotazu.

Ověření příjmu dat

Datový graf na stránce konektoru indikuje, že ingestová data ingestujete. Všimněte si, že každý řádek zobrazuje jeden řádek pro incidenty, výstrahy a události a řádek událostí je agregací objemu událostí ve všech povolených tabulkách. Po povolení konektoru můžete pomocí následujících dotazů KQL vygenerovat konkrétnější grafy.

Následující dotaz KQL použijte pro graf příchozích incidentů Microsoft 365 Defender incidenty:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Pomocí následujícího dotazu KQL vygenerování grafu objemu událostí pro jednu tabulku (změňte tabulku DeviceEvents na požadovanou tabulku podle vašeho výběru):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Na kartě Další kroky najdete některé užitečné sešity, ukázkové dotazy a šablony analytických pravidel, které byly zahrnuty. Můžete je spustit na místě nebo je upravit a uložit.

Další kroky

V tomto dokumentu jste zjistili, jak integrovat incidenty Microsoft 365 Defender a pokročilá data o událostech proacích z Microsoft Defenderu for Endpoint a Defenderu for Office 365 do služby Microsoft Sentinel pomocí konektoru Microsoft 365 Defender. Další informace o Microsoft Sentinelu najdete v následujících článcích:

Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
Začínáme s detekcí hrozeb pomocí služby Microsoft Sentinel