Microsoft 365 Defender integrace s Microsoft Sentinel

Integrace incidentů

integrace s Microsoft 365 Defendermi incidentů společnosti microsoft umožňuje streamování všech Microsoft 365 Defender incidentů do programu Microsoft sentinel a jejich synchronizace mezi oběma portály. incidenty od Microsoft 365 Defender (dřív označované jako ochrana před internetovými útoky nebo MTP) obsahují všechny přidružené výstrahy, entity a relevantní informace, které vám poskytnou dostatečný kontext k provedení třídění a předběžného šetření v rámci Microsoft Sentinel. jednou v sentinele budou incidenty stále synchronizované s Microsoft 365 Defender, což vám umožní využít výhody obou portálů při vyšetřování incidentů.

tato integrace poskytuje Microsoft 365 bezpečnostní incidenty, které je možné spravovat v rámci Microsoft Sentinel, jako součást primární fronty incidentů napříč celou organizací, takže můžete vidět a korelovat – Microsoft 365 incidenty společně s těmito možnostmi ze všech ostatních cloudových a místních systémů. ve stejnou dobu vám umožňuje využít jedinečné síly a možnosti Microsoft 365 Defender pro důkladné vyšetřování a Microsoft 365 prostředí v rámci Microsoft 365 ekosystému. Microsoft 365 Defender vylepšuje a seskupuje výstrahy z více Microsoft 365 produktů, zmenšuje velikost fronty incidentů SOC a zkrátí dobu, která se má vyřešit. služby komponent, které jsou součástí Microsoft 365 Defender stacku:

• Microsoft Defender pro koncový bod (dříve ATP v programu Microsoft Defender)
• Microsoft Defender pro identitu (dříve atp. Azure)
• Microsoft Defender pro Office 365 (dřív Office 365 ATP)
• Microsoft Defender for Cloud Apps

kromě shromažďování výstrah z těchto součástí Microsoft 365 Defender generuje výstrahy vlastní. Vytvoří incidenty ze všech těchto výstrah a pošle je do služby Microsoft Sentinel.

Běžné případy použití a scénáře

• připojte se Microsoft 365 Defender incidenty jedním kliknutím, včetně všech výstrah a entit ze Microsoft 365 Defender komponent, do Microsoft Sentinel.

• obousměrná synchronizace mezi ověřovacími a Microsoft 365 Defendermi incidenty na základě stavu, vlastníka a důvodu uzavření.

• aplikace Microsoft 365 Defender možnosti seskupování a obohacení výstrah v programu Microsoft Sentinel, což zkracuje dobu, kterou je potřeba vyřešit.

• obsáhlý odkaz v kontextu mezi incidentem Sentinel microsoftu a jeho paralelním Microsoft 365 Defender incidentem, který usnadňuje šetření napříč oběma portály.

Připojování k Microsoft 365 Defender

jakmile povolíte Microsoft 365 Defender datový konektor pro shromáždění incidentů a výstrah, Microsoft 365 Defender incidenty se zobrazí ve frontě incidentů Sentinel společnosti Microsoft s Microsoft 365 Defender v poli název produktu krátce po jejich vygenerování. Microsoft 365 Defender.

• může trvat až 10 minut od času, kdy se incident generuje v Microsoft 365 Defender v době, kdy se objeví v nástroji Microsoft Sentinel.

• Incidenty se ingestují a synchronizují bez dalších poplatků.

jakmile je integrace Microsoft 365 Defender propojená, všechny konektory výstrah komponent (defender pro koncový bod, defender pro identitu, defender pro Office 365, defender pro cloudové aplikace) se automaticky připojí na pozadí, pokud už nejsou. pokud jste po připojení Microsoft 365 Defender zakoupili licence na součást, budou upozornění a incidenty z nového produktu nadále předávány do programu Microsoft Sentinel bez další konfigurace nebo poplatku.

Microsoft 365 Defender incidentů a pravidla vytváření incidentů microsoftu

• incidenty vygenerované Microsoft 365 Defender, na základě výstrah přicházejících z bezpečnostních produktů Microsoft 365, se vytvářejí pomocí vlastní logiky Microsoft 365 Defender.

• Pravidla vytváření incidentu Microsoftu v rámci Microsoft Sentinel taky vytvářejí incidenty ze stejných výstrah, a to pomocí (jiné) vlastní logiky Microsoft Sentinel.

• použití obou mechanismů je zcela podporováno a lze je použít k usnadnění přechodu na novou Microsoft 365 Defender logiku vytváření incidentů. V takovém případě se ale pro stejné výstrahy vytvoří duplicitní incidenty .

• aby nedocházelo k vytváření duplicitních incidentů pro stejné výstrahy, doporučujeme, aby zákazníci při připojení Microsoft 365 Defender vypnuli všechna pravidla vytváření incidentu microsoftu pro Microsoft 365 produktů (defender pro koncový bod, defender pro identitu a defender pro Office 365 a defender pro cloudové aplikace). To se dá udělat tak, že na stránce konektoru zakážete vytváření incidentu. mějte na paměti, že pokud to uděláte, nepoužijí se u Microsoft 365 Defender integrace incidentů žádné filtry, které byly aplikovány na základě pravidel vytváření incidentů.

  Poznámka

  U všech typů výstrah programu Microsoft Defender for Cloud Apps se nyní používá Microsoft 365 Defender.

práce s incidenty Microsoft 365 Defender v rámci Microsoft Sentinel a obousměrné synchronizace

Microsoft 365 Defender incidenty se zobrazí ve frontě ověřovacích incidentů společnosti Microsoft s názvem produktu Microsoft 365 Defender a s podobnými podrobnostmi a funkcemi pro jakékoli jiné incidenty Sentinel. každý incident obsahuje odkaz zpátky na paralelní incident na portálu Microsoft 365 Defender.

v případě, že se incident vyvíjí v Microsoft 365 Defender a do něj se přidají další výstrahy nebo entity, bude se odpovídajícím způsobem aktualizovat incident Microsoft Sentinel.

změny stavu, důvodu uzavření nebo přiřazení Microsoft 365ho incidentu v Microsoft 365 Defender nebo v rámci Microsoft Sentinel se také aktualizují ve frontě incidentů druhé. Synchronizace bude provedena na obou portálech hned po použití změny incidentu bez prodlení. K zobrazení nejnovějších změn může být potřeba aktualizovat.

v Microsoft 365 Defender lze všechny výstrahy z jednoho incidentu přenést do jiného, což vede ke sloučení incidentů. Když k tomuto sloučení dojde, projeví se změny v incidentech Sentinel společnosti Microsoft. Jeden incident bude obsahovat všechny výstrahy z původních incidentů a druhý incident bude automaticky uzavřen s příznakem "Přesměrováno".

Pokročilá kolekce událostí pro lov

konektor Microsoft 365 Defender také umožňuje streamovat pokročilé události pro lovecké události – typ nezpracovaných dat událostí – od Microsoft 365 Defender a jeho služeb komponent do programu Microsoft Sentinel. v současné době můžete shromažďovat rozšířené lovecké události z programu microsoft defender pro koncový bod a (od října 2021) od microsoft defenderu po Office 365 a streamovat je přímo do účelově sestavených tabulek v pracovním prostoru Microsoft Sentinel. tyto tabulky jsou postavené na stejném schématu, které se používá na Microsoft 365 Defenderovém portálu. získáte tak úplný přístup k celé sadě pokročilých loveckých událostí a budete moct provádět tyto akce:

• do programu microsoft Sentinel můžete snadno kopírovat stávající dotazy na službu microsoft Defender pro koncové body nebo Office 365.

• V protokolech nezpracovaných událostí můžete poskytovat další informace o výstrahách, jejich lovu a vyšetřování a korelovat tyto události s událostmi z jiných zdrojů dat v rámci Microsoft Sentinel.

• ukládat protokoly se zvýšeným uchováváním, a to nad rámec programu Microsoft Defender pro výchozí uchování koncového bodu/Office 365 nebo Microsoft 365 Defender na 30 dní. Můžete to udělat tak, že nakonfigurujete uchovávání pracovního prostoru nebo nakonfigurujete uchovávání podle jednotlivých tabulek v Log Analytics.

Další kroky

v tomto dokumentu jste zjistili, jak využít Microsoft 365 Defender společně s Microsoft Sentinel pomocí konektoru Microsoft 365 Defender.

• získejte pokyny , jak povolit konektor Microsoft 365 Defender.
• Vytvářejte vlastní výstrahy a Prozkoumejte incidenty.