Conexión de datos de Microsoft 365 Defender con Microsoft Sentinel

  • Artículo
  • 5 minutos para leer

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

Importante

Microsoft 365 Defender se conocía antes como Microsoft Threat Protection o MTP.

Microsoft Defender para punto de conexión se conocía antes como Protección contra amenazas avanzada de Microsoft Defender o MDATP.

Microsoft Defender para Office 365 se conocía anteriormente como Protección contra amenazas avanzada de Office 365.

Es posible que vea que los nombres antiguos todavía están en uso durante un tiempo.

Nota

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Fondo

El conector Microsoft 365 Defender (M365D) de Microsoft Sentinel con la integración de incidentes le permite transmitir todos los incidentes y alertas de M365D a Microsoft Sentinel y mantiene los incidentes sincronizados entre ambos portales. Los incidentes de M365D incluyen todas sus alertas, entidades y otra información relevante, y se enriquecen y agrupan las alertas de los servicios de componentes de M365D Microsoft Defender para punto de conexión, Microsoft Defender for Identity, Microsoft Defender para Office 365 y Microsoft Defender for Cloud Apps.

El conector también permite transmitir eventos de búsqueda avanzada desde Microsoft Defender para punto de conexión y Microsoft Defender para Office 365 a Microsoft Sentinel, lo que permite copiar dichas consultas de búsqueda avanzada de los componentes de Defender en Microsoft Sentinel, enriquecer las alertas de Sentinel con datos de eventos sin formato de los componentes de Defender para proporcionar información adicional y almacenar los registros con una mayor retención en Log Analytics.

Para obtener más información sobre la integración de incidentes y la recopilación de eventos de búsqueda avanzada, consulte Integración de Microsoft 365 Defender en Microsoft Sentinel.

Importante

El conector Microsoft 365 Defender está actualmente en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

Conexión a Microsoft 365 Defender

  1. En Microsoft Sentinel, seleccione Conectores de datos, elija Microsoft 365 Defender (versión preliminar) en la galería y seleccione Abrir página del conector.

  2. En la sección Conectar incidentes y alertas de Configuración, seleccione el botón Conectar incidentes y alertas.

  3. Para evitar la duplicación de incidentes, se recomienda marcar la casilla Turn off all Microsoft incident creation rules for these products (Desactivar todas las reglas de creación de incidentes de Microsoft para estos productos).

    Nota

    Cuando se habilita el conector de Microsoft 365 Defender, todos los conectores de los componentes de M365D (los que se mencionan al principio de este artículo) se conectan automáticamente en segundo plano. Para desconectar uno de los conectores de los componentes, primero debe desconectar el conector de Microsoft 365 Defender.

  4. Para consultar los datos de incidentes de Microsoft 365 Defender, use la instrucción siguiente en la ventana de consulta:

    SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

  5. Si quiere recopilar eventos de búsqueda avanzada de Microsoft Defender para punto de conexión o Microsoft Defender para Office 365, se pueden recopilar los siguientes tipos de eventos de sus tablas de búsqueda avanzada correspondientes.

    1. Marque las casillas de las tablas con los tipos de evento que quiera recopilar:

      Nombre de la tabla Tipo de eventos
      DeviceInfo Información de la máquina, incluida la información del sistema operativo
      DeviceNetworkInfo Propiedades de red de los dispositivos, incluidos adaptadores físicos y direcciones IP y MAC, así como redes y dominios conectados
      DeviceProcessEvents Creación de procesos y eventos relacionados
      DeviceNetworkEvents Conexión de red y eventos relacionados
      DeviceFileEvents Creación y modificación de archivos, y otros eventos del sistema de archivos
      DeviceRegistryEvents Creación y modificación de entradas del Registro
      DeviceLogonEvents Inicios de sesión y otros eventos de autenticación en dispositivos
      DeviceImageLoadEvents Eventos de carga de DLL
      DeviceEvents Varios tipos de eventos, incluidos los desencadenados por controles de seguridad como Antivirus de Windows Defender y protección contra vulnerabilidades
      DeviceFileCertificateInfo Información de certificado de los archivos firmados obtenidos de los eventos de comprobación de certificados en los puntos de conexión

    2. Haga clic en Aplicar cambios.

    3. Para consultar las tablas de búsqueda avanzada en Log Analytics, escriba el nombre de la tabla de la lista anterior en la ventana de consulta.

Comprobación de la ingesta de datos

El grafo de datos de la página del conector indica que se están ingiriendo datos. Observará que se muestra una línea para incidentes, alertas y eventos, y la línea de eventos es una agregación del volumen de eventos en todas las tablas habilitadas. Una vez que haya habilitado el conector, puede usar las siguientes consultas de KQL para generar grafos más específicos.

Use la siguiente consulta de KQL para obtener un grafo de los incidentes de Microsoft 365 Defender entrantes:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Use la siguiente consulta de KQL para generar un grafo de volumen de eventos para una sola tabla (cambie la tabla DeviceEvents por la tabla necesaria que prefiera):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

En la pestaña Pasos siguientes encontrará algunos libros útiles, consultas de ejemplo y plantillas de reglas de análisis que se han incluido. Puede ejecutarlas en el acto o modificarlas y guardarlas.

Pasos siguientes

En este documento, ha obtenido información sobre cómo integrar incidentes de Microsoft 365 Defender y datos de eventos de búsqueda avanzada de Microsoft Defender para punto de conexión y Microsoft Defender para Office 365 en Microsoft Sentinel mediante el conector de Microsoft 365 Defender. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: