Intégration de Microsoft Defender XDR à Microsoft Sentinel

  • Article

L’intégration d’incidents Microsoft Defender XDR de Microsoft Sentinel vous permet de diffuser en continu tous les incidents Microsoft Defender XDR dans Microsoft Sentinel et de les garder synchronisés entre les deux portails. Les incidents de Microsoft Defender XDR incluent l’ensemble des alertes, entités et informations pertinentes associées, ce qui vous offre suffisamment de contexte pour effectuer un triage et une investigation préliminaire dans Microsoft Sentinel. Une fois dans Sentinel, les incidents restent synchronisés de manière bidirectionnelle avec Microsoft Defender XDR, ce qui vous permet de tirer parti des avantages des deux portails dans votre investigation d’incidents.

Cette intégration confère aux incidents de sécurité Microsoft 365 la visibilité nécessaire pour leur gestion à partir de Microsoft Sentinel dans le cadre de la file d’attente des incidents principale de toute l’organisation, ce qui vous permet de voir les incidents Microsoft 365, ainsi que de les corréler avec ceux de tous vos autres systèmes locaux et cloud. En même temps, elle vous permet de bénéficier de la puissance et des fonctionnalités uniques de Microsoft Defender XDR pour des investigations approfondies, ainsi que d’une expérience propre à Microsoft 365 dans tout l’écosystème de Microsoft 365. Microsoft Defender XDR enrichit et regroupe les alertes de plusieurs produits Microsoft 365, ce qui a pour effet de réduire la taille de la file d’attente des incidents de SOC et de raccourcir le temps de résolution. Les services de composants qui font partie de la pile Microsoft Defender XDR sont les suivants :

  • Microsoft Defender for Endpoint
  • Microsoft Defender pour Identity
  • Microsoft Defender pour Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour le cloud

Les autres services dont les alertes sont collectées par Microsoft Defender XDR incluent :

En plus de collecter des alertes à partir de ces composants et d’autres services, Microsoft Defender XDR génère ses propres alertes. Il crée des incidents à partir de toutes ces alertes et les envoie à Microsoft Sentinel.

Cas d’utilisation et scénarios courants

  • L’intégration de Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender, dont l’activation de l’intégration de Microsoft Defender XDR est une étape préliminaire nécessaire.

  • Connexion en un clic d’incidents Microsoft Defender XDR, y compris toutes les alertes et entités des composants Microsoft Defender XDR, dans Microsoft Sentinel.

  • Synchronisation bidirectionnelle entre les incidents Sentinel et Microsoft Defender XDR sur l’état, le propriétaire et le motif de clôture.

  • Application des fonctionnalités de regroupement et d’enrichissement des alertes Microsoft Defender XDR dans Microsoft Sentinel, permettant de réduire le temps de résolution.

  • Lien ciblé en contexte entre un incident Microsoft Sentinel et un incident Microsoft Defender XDR parallèle pour faciliter les investigations sur les deux portails.

Connexion à Microsoft Defender XDR

(« Incidents Microsoft Defender XDR et règles de création d’incidents Microsoft » redirige ici.)

Installez la solution Microsoft Defender XDR pour Microsoft Sentinel et activez le connecteur de données Microsoft Defender XDR pour la collecte des incidents et alertes. Les incidents Microsoft Defender XDR apparaissent dans la file d’attente des incidents de Microsoft Sentinel, avec Microsoft Defender XDR (ou le nom de l’un des services composants) dans le champ Nom du produit d’alerte, peu de temps après avoir été générés dans Microsoft Defender XDR.

  • Jusqu’à 10 minutes peuvent s’écouler entre le moment où un incident est généré dans Microsoft Defender XDR et le moment où il apparaît dans Microsoft Sentinel.

  • Les alertes et incidents de Microsoft Defender XDR (ces éléments qui remplissent les tables SecurityAlert et SecurityIncident) sont ingérés dans Microsoft Sentinel et synchronisés avec Microsoft Sentinel sans frais. Pour tous les autres types de données provenant de composants individuels de Defender (tels que les tableaux de chasse avancésDeviceInfo, DeviceFileEvents, EmailEvents, et ainsi de suite), l’ingestion sera facturée.

  • Lorsque le connecteur Microsoft Defender XDR est activé, les alertes créées par les services qui le composent (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender pour le cloud Apps, Microsoft Entra ID Protection) seront envoyées à Microsoft Defender XDR et regroupées en incidents. Les alertes et les incidents sont transmis à Microsoft Sentinel via le connecteur Microsoft Defender XDR. Si vous avez activé l’un des connecteurs des composants individuels au préalable, ils sembleront rester connectés, bien qu’aucune donnée ne circule à travers eux.

    L’exception à ce processus est Microsoft Defender pour le cloud. Bien que son intégration à Microsoft Defender XDR signifie que vous recevez des incidents Defender pour le cloud via Defender XDR, vous devez également activer un connecteur Microsoft Defender pour le cloud pour recevoir des alertes Defender pour le cloud. Pour les options disponibles et plus d’informations, voir Ingérer les incidents Microsoft Defender pour le cloud avec l’intégration Microsoft Defender XDR.

  • De même, pour éviter de créer des incidents dupliqués pour les mêmes alertes, les règles de création d’incidents de Microsoft seront désactivées pour les produits intégrés à Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Defender for Office 365, les applications Defender pour le cloud, et Microsoft Entra ID Protection) lors de la connexion à Microsoft Defender XDR. Cela est dû au fait que Defender XDR a ses propres règles de création d’incident. Cette modification a les incidences potentielles suivantes :

    • Les règles de création d’incidents de Microsoft Sentinel vous permettent de filtrer les alertes qui seront utilisées pour créer des incidents. Avec ces règles désactivées, vous pouvez conserver la fonctionnalité de filtrage des alertes en configurant paramétrage des alertes dans le portail Microsoft Defender, ou en utilisant règles d’automatisation pour supprimer (fermer) les incidents que vous ne souhaitez pas créer.

    • Vous ne pouvez plus prédéterminer les titres des incidents, puisque le moteur de corrélation de Microsoft Defender XDR préside à la création des incidents et nomme automatiquement les incidents qu’il crée. Cette modification est susceptible d’affecter toutes les règles d’automatisation que vous avez créées et qui utilisent le nom de l’incident comme condition. Pour éviter ce piège, utilisez des critères autres que le nom de l’incident (nous vous recommandons d’utiliser balises) comme conditions pour déclencher des règles d’automatisation.

Utilisation d’incidents Microsoft Defender XDR dans Microsoft Sentinel et synchronisation bidirectionnelle

Les incidents Microsoft Defender XDR s’affichent dans la file d’attente des incidents de Microsoft Sentinel avec le nom de produit Microsoft Defender XDR, ainsi qu’avec des détails et fonctionnalités similaires à ceux d’autres incidents de Sentinel. Chaque incident contient un lien vers l’incident parallèle dans le portail Microsoft Defender XDR.

À mesure que l’incident évolue dans Microsoft Defender XDR et qu’un plus grand nombre d’alertes ou d’entités y est ajouté, l’incident Microsoft Sentinel est mis à jour en conséquence.

Les modifications apportées à l’état, au motif de clôture ou à l’affectation d’un incident Microsoft Defender XDR, tant dans Microsoft Defender XDR que dans Microsoft Sentinel, sont également mises à jour en conséquence dans la file d’attente des incidents de l’autre. La synchronisation aura lieu dans les deux portails immédiatement après l’application de la modification de l’incident. Une actualisation peut être nécessaire pour voir les dernières modifications.

Dans Microsoft Defender XDR, toutes les alertes d’un incident peuvent être transférées vers un autre, ce qui a pour effet de fusionner les incidents. Quand cette fusion se produit, les incidents Microsoft Sentinel reflètent les modifications. Un incident contiendra toutes les alertes des incidents d’origine, et l’autre sera automatiquement clos, avec ajout de l’étiquette « redirigé ».

Notes

Les incidents dans Microsoft Sentinel peuvent contenir jusqu’à 150 alertes. Les incidents Microsoft Defender XDR peuvent en avoir plus que cela. Si un incident Microsoft Defender XDR contenant plus de 150 alertes est synchronisé sur Microsoft Sentinel, l’incident Sentinel indique la présence de « 150+ » alertes et fournit un lien vers l’incident parallèle dans Microsoft Defender XDR, où il est possible de voir l’ensemble complet d’alertes.

Collecte d’événements de repérage avancé

Le connecteur Microsoft Defender XDR vous permet de diffuser des événements de repérage avancé (un type de données d’événement brutes) de Microsoft Defender XDR vers Microsoft Sentinel. Vous pouvez désormais (depuis avril 2022) collecter des événements de repérage avancé à partir de tous les composants Microsoft Defender XDR et les diffuser directement dans des tables spécialement conçues dans votre espace de travail Microsoft Sentinel. Ces tables sont générées sur le même schéma que celui utilisé dans le portail Microsoft Defender XDR, ce qui vous donne un accès complet à l’ensemble des événements de repérage avancé, et vous permet d’effectuer les opérations suivantes :

  • Copiez facilement vos requêtes de repérage avancé Microsoft Defender pour point de terminaison/Office 365/Identité/Applications cloud existantes dans Microsoft Sentinel.

  • Utilisez les journaux des événements bruts afin de fournir des insights supplémentaires pour vos alertes, la recherche de menaces et l’investigation, et mettez en corrélation les événements avec ceux provenant d’autres sources de données dans Microsoft Sentinel.

  • Stocker les journaux avec une période de conservation accrue, au-delà de la période par défaut de 30 jours de Microsoft Defender XDR. Pour ce faire, vous pouvez configurer la période de conservation de votre espace de travail ou la conservation par table dans Log Analytics.

Étapes suivantes

Dans ce document, vous avez découvert comment tirer parti de l’utilisation conjointe de Microsoft Defender XDR et de Microsoft Sentinel à l’aide du connecteur Microsoft Defender XDR.