Verknüpfen von Daten aus Microsoft 365 Defender mit Microsoft Sentinel

Hinweis

Azure Sentinel heißt jetzt Microsoft Sentinel, und wir werden diese Seiten in den nächsten Wochen aktualisieren. Erfahren Sie mehr über die aktuellen Sicherheitsverbesserungen von Microsoft.

Wichtig

Microsoft Defender for Cloud-Apps wurde früher als Microsoft Cloud App Security oder MCAS bezeichnet.

Die alten Namen werden möglicherweise eine Zeit lang weiterhin verwendet.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Hintergrund

Der Microsoft 365 Defender-Connector von Microsoft Sentinel mit Incidentintegration ermöglicht es Ihnen, alle Microsoft 365 Defender-Incidents und -Warnungen in Microsoft Sentinel zu streamen. Außerdem sorgt er dafür, dass die Incidents zwischen den beiden Portalen synchronisiert werden. Microsoft 365 Defender-Incidents enthalten alle dazugehörigen Warnungen, Entitäten und andere relevante Informationen. Sie werden zusammen mit Warnungen aus den Komponentendiensten von M365D, Microsoft Defender für Endpunkt, Microsoft Defender for Identity, Microsoft Defender für Office 365 und Microsoft Defender for Cloud Apps gruppiert und von diesen angereichert.

Mit dem Connector können Sie auch Ereignisse aus der erweiterten Bedrohungssuche von allen oben genannten Komponenten an Microsoft Sentinel streamen. So können Sie die Abfragen für die erweiterte Bedrohungssuche dieser Defender-Komponenten in Microsoft Sentinel kopieren, Sentinel-Warnungen mit den Ereignisrohdaten der Defender-Komponenten anreichern, um zusätzliche Erkenntnisse zu gewinnen, und die Protokolle mit einer längeren Aufbewahrungsdauer in Log Analytics speichern.

Weitere Informationen zur Incidentintegration und zur Erfassung von Ereignissen aus der erweiterten Bedrohungssuche finden Sie unter Microsoft 365 Defender-Integration in Microsoft Sentinel.

Wichtig

Der Microsoft 365 Defender-Connector ist derzeit als VORSCHAU verfügbar. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

Herstellen einer Verbindung mit Microsoft 365 Defender

  1. Klicken Sie in Microsoft Sentinel auf Datenconnectors, dann im Katalog auf Microsoft 365 Defender (Preview) und anschließend auf Connectorseite öffnen.

  2. Klicken Sie unter Configuration (Konfiguration) im Abschnitt Connect incidents & alerts (Incidents und Warnungen verknüpfen) auf die Schaltfläche Connect incidents & alerts (Incidents und Warnungen verknüpfen).

  3. Damit Incidents nicht dupliziert werden, sollten Sie das Kontrollkästchen mit der Bezeichnung Turn off all Microsoft incident creation rules for these products (Alle Incidenterstellungsregeln von Microsoft für diese Produkte deaktivieren) aktivieren.

    Hinweis

    Wenn Sie den Microsoft 365 Defender-Connector aktivieren, werden alle Connectors der Microsoft 365 Defender-Komponenten (wie zu Beginn dieses Artikels erwähnt) automatisch im Hintergrund verbunden. Damit die Verbindung eines der Connectors der Komponenten getrennt wird, müssen Sie zunächst die Verbindung des Microsoft 365 Defender-Connectors aufheben.

  4. Wenn Sie Microsoft 365 Defender-Incidentdaten abfragen möchten, verwenden Sie die folgende Anweisung im Abfragefenster:

    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    
  5. Wenn Sie erweiterte Suchereignisse von Microsoft Defender für Endpoint oder Microsoft Defender für Office 365 sammeln möchten, können die folgenden Ereignistypen aus den entsprechenden erweiterten Suchtabellen gesammelt werden.

    1. Aktivieren Sie die Kontrollkästchen der Tabellen mit den Ereignistypen, die Sie erfassen möchten:

      Tabellenname Ereignistyp
      DeviceInfo Maschineninformationen, einschließlich Betriebssysteminformationen
      DeviceNetworkInfo Netzwerkeigenschaften von Geräten, einschließlich physischer Adapter, IP- und MAC-Adressen sowie verbundener Netzwerke und Domänen
      DeviceProcessEvents Prozesserstellung und zugehörige Ereignisse
      DeviceNetworkEvents Netzwerkverbindung und zugehörige Ereignisse
      DeviceFileEvents Dateierstellung, Änderung und andere Dateisystemereignisse
      DeviceRegistryEvents Erstellen und Ändern von Registrierungseinträgen
      DeviceLogonEvents Anmeldungen und andere Authentifizierungsereignisse auf Geräten
      DeviceImageLoadEvents DLL-Ladeereignisse
      DeviceEvents Mehrere Ereignistypen, einschließlich Ereignissen, die durch Sicherheitskontrollen wie Windows Defender Antivirus und Exploit-Schutz ausgelöst werden
      DeviceFileCertificateInfo Zertifikatsinformationen von signierten Dateien, die aus Zertifikatsüberprüfungsereignissen auf Endpunkten gewonnen werden
    2. Klicken Sie auf Apply Changes.

    3. Zum Abfragen der erweiterten Huntingtabellen in Log Analytics geben Sie den Tabellennamen aus der Liste oben im Abfragefenster ein.

Überprüfen der Datenerfassung

Das Datendiagramm auf der Connectorseite weist darauf hin, dass Sie Daten erfassen. Wie Sie sehen können wird für Incidents, Warnungen und Ereignisse jeweils eine Zeile angezeigt. Bei der Ereigniszeile handelt es sich um eine Aggregation des Ereignisvolumens für alle aktivierten Tabellen. Sobald Sie den Connector aktiviert haben, können Sie die folgenden KQL-Abfragen verwenden, um spezifischere Graphen zu generieren.

Verwenden Sie die folgende KQL-Abfrage für einen Graph der eingehenden Microsoft 365 Defender-Incidents:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Verwenden Sie die folgenden KQL-Abfrage, um einen Graph des Ereignisvolumens für eine einzelne Tabelle zu erzeugen. Ändern Sie die Tabelle DeviceEvents in die erforderliche Tabelle Ihrer Wahl:

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Auf der Registerkarte Next steps (Weitere Schritte) finden Sie hilfreiche Arbeitsmappen, Beispielabfragen und Vorlagen für Analyseregeln, die enthalten sind. Sie können sie sofort ausführen oder sie ändern und speichern.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Microsoft 365 Defender-Incidents und Ereignisse aus der erweiterten Bedrohungssuche von Microsoft Defender für Endpunkt und Defender für Office 365 mithilfe des Microsoft 365 Defender-Connectors in Microsoft Sentinel integrieren. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln: