Microsoft 365 Defender integráció a Microsoft Sentinellel

  • Cikk
  • 5 perc alatt elolvasható

A Microsoft Sentinel Microsoft 365 Defender incidensintegrációja lehetővé teszi, hogy az összes Microsoft 365 Defender incidenst a Microsoft Sentinelbe streamelje, és szinkronizálja őket mindkét portál között. A Microsoft 365 Defender incidensei tartalmazzák az összes kapcsolódó riasztást, entitást és releváns információt, így elegendő kontextust biztosítanak a Microsoft Sentinel osztályozásának és előzetes vizsgálatának elvégzéséhez. A Sentinelben az incidensek kétirányú szinkronban maradnak a Microsoft 365 Defender, így mindkét portál előnyeit kihasználhatja az incidensvizsgálat során.

Ez az integráció lehetővé teszi, hogy a Microsoft 365-ös biztonsági incidensek a Microsoft Sentinelen belül, a teljes szervezet elsődleges incidenssorának részeként kezelhetők legyenek, így a Microsoft 365-incidenseket az összes többi felhőbeli és helyszíni rendszerével együtt láthatja és korrelálhatja. Ugyanakkor lehetővé teszi, hogy kihasználja a Microsoft 365 Defender egyedi erősségeit és képességeit a mélyreható vizsgálatokhoz és a Microsoft 365-specifikus élményhez a Microsoft 365 ökoszisztémájában. Microsoft 365 Defender több Microsoft 365-termék riasztásait bővíti és csoportosítja, csökkentve az SOC incidenssorának méretét, és lerövidíti a megoldási időt. A Microsoft 365 Defender verem részét képező összetevő-szolgáltatások a következők:

  • Végponthoz készült Microsoft Defender (korábbi nevén Microsoft Defender ATP)
  • Microsoft Defender for Identity (korábban Azure ATP)
  • Office 365-höz készült Microsoft Defender (korábban Office 365 ATP)
  • Microsoft Defender for Cloud Apps (korábban Microsoft Cloud App Security)

Az Microsoft 365 Defender által gyűjtött riasztásokat tartalmazó egyéb szolgáltatások közé tartoznak a következők:

Amellett, hogy riasztásokat gyűjt ezekből az összetevőkből és más szolgáltatásokból, Microsoft 365 Defender saját riasztásokat hoz létre. Incidenseket hoz létre az összes riasztásból, és elküldi őket a Microsoft Sentinelnek.

Fontos

A Microsoft 365 Defender-összekötő jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Gyakori használati esetek és forgatókönyvek

  • Egykattintásos csatlakozás Microsoft 365 Defender incidensekhez, beleértve Microsoft 365 Defender összetevők összes riasztását és entitását a Microsoft Sentinelhez.

  • Kétirányú szinkronizálás a Sentinel és Microsoft 365 Defender incidensek között az állapot, a tulajdonos és a záró ok alapján.

  • A Microsoft 365 Defender riasztások csoportosítási és bővítési képességeinek alkalmazása a Microsoft Sentinelben, ami csökkenti a megoldáshoz szükséges időt.

  • A Microsoft Sentinel-incidens és a párhuzamos Microsoft 365 Defender incidens közötti, kontextuson belüli mély kapcsolat mindkét portálon történő vizsgálat megkönnyítése érdekében.

Csatlakozás Microsoft 365 Defender

Miután engedélyezte a Microsoft 365 Defender adatösszekötőnek az incidensek és riasztások gyűjtését, Microsoft 365 Defender incidensek megjelennek a Microsoft Sentinel incidensek várólistájában, Microsoft 365 Defender a Terméknév mezőben, röviddel a létrehozásuk után Microsoft 365 Defender.

  • Akár 10 percet is igénybe vehet, amíg az incidens létrejön Microsoft 365 Defender a Microsoft Sentinelben való megjelenésig.

  • Az incidensek további költségek nélkül lesznek betöltve és szinkronizálva.

A Microsoft 365 Defender integráció csatlakoztatása után az összes összetevő riasztási összekötője (Defender for Endpoint, Defender for Identity, Office 365-höz készült Defender, Defender for Cloud Apps) automatikusan csatlakozik a háttérben, ha még nem voltak. Ha a Microsoft 365 Defender csatlakoztatása után vásároltak összetevő-licenceket, az új termék riasztásai és incidensei további konfiguráció vagy díj nélkül továbbra is a Microsoft Sentinelbe kerülnek.

Microsoft 365 Defender incidensek és a Microsoft incidens-létrehozási szabályai

  • A Microsoft 365 Defender által létrehozott, a Microsoft 365 biztonsági termékeiből származó riasztásokon alapuló incidensek egyéni Microsoft 365 Defender logikával jönnek létre.

  • A Microsoft incidens-létrehozási szabályai a Microsoft Sentinelben ugyanabból a riasztásból is létrehoznak incidenseket( egy másik) egyéni Microsoft Sentinel-logika használatával.

  • Mindkét mechanizmus együttes használata teljes mértékben támogatott, és felhasználható az új Microsoft 365 Defender incidens-létrehozási logikára való áttérés megkönnyítésére. Ez azonban duplikált incidenseket hoz létre ugyanazokhoz a riasztásokhoz.

  • Ha nem szeretne ismétlődő incidenseket létrehozni ugyanazon riasztásokhoz, javasoljuk, hogy az ügyfelek kikapcsolják a Microsoft 365-termékek (Defender for Endpoint, Defender for Identity, Office 365-höz készült Defender és Defender for Cloud Apps) összes incidens-létrehozási szabályát a Microsoft 365 Defender csatlakoztatásakor. Ezt úgy teheti meg, hogy letiltja az incidensek létrehozását az összekötő oldalán. Ne feledje, hogy ha ezt teszi, az incidens-létrehozási szabályok által alkalmazott szűrők nem lesznek alkalmazva Microsoft 365 Defender incidensintegrációra.

    Megjegyzés

    Az összes Microsoft Defender for Cloud Apps riasztástípus előkészítése folyamatban van a Microsoft 365 Defender.

Microsoft 365 Defender incidensek használata a Microsoft Sentinelben és a kétirányú szinkronizálásban

Microsoft 365 Defender incidensek a Microsoft Sentinel incidensek várólistájában jelennek meg a Microsoft 365 Defender terméknévvel, valamint a többi Sentinel-incidenshez hasonló részletekkel és funkciókkal. Minden incidens tartalmaz egy hivatkozást a párhuzamos incidenshez a Microsoft 365 Defender portálon.

Ahogy az incidens Microsoft 365 Defender fejlődik, és egyre több riasztást vagy entitást adnak hozzá, a Microsoft Sentinel-incidens ennek megfelelően frissül.

A Microsoft 365-incidens állapotában, záró okában vagy hozzárendelésében végrehajtott módosítások Microsoft 365 Defender vagy Microsoft Sentinel esetén is ennek megfelelően frissülnek a másik incidensek várólistáján. A szinkronizálás mindkét portálon azonnal megtörténik az incidens módosítása után, késedelem nélkül. Előfordulhat, hogy frissítésre van szükség a legújabb módosítások megtekintéséhez.

Az Microsoft 365 Defender az egyik incidensből származó összes riasztás átadható egy másiknak, ami az incidensek egyesítését eredményezi. Az egyesítés során a Microsoft Sentinel incidensei tükrözik a változásokat. Az egyik incidens tartalmazza az összes riasztást mindkét eredeti incidensből, a másik incidens pedig automatikusan lezáródik, és hozzá lesz adva egy "átirányítás" címkével.

Megjegyzés

A Microsoft Sentinel incidensei legfeljebb 150 riasztást tartalmazhatnak. Microsoft 365 Defender incidensek ennél többel is rendelkezhetnek. Ha egy 150-nél több riasztást tartalmazó Microsoft 365 Defender incidens szinkronizálva van a Microsoft Sentinellel, a Sentinel-incidens "150+" riasztásként jelenik meg, és hivatkozást biztosít a párhuzamos incidensre Microsoft 365 Defender, ahol a riasztások teljes készletét láthatja.

Speciális vadászati eseménygyűjtemény

A Microsoft 365 Defender összekötő lehetővé teszi a speciális vadászati események – például a nyers eseményadatok – streamelését Microsoft 365 Defender és összetevőszolgáltatásaiból a Microsoft Sentinelbe. Mostantól (2022 áprilisától) speciális vadászati eseményeket gyűjthet az összes Microsoft 365 Defender összetevőből, és közvetlenül a Microsoft Sentinel-munkaterületen lévő célalapú táblákba streamelheti őket. Ezek a táblák a Microsoft 365 Defender portálon használt sémára épülnek, így teljes hozzáférést biztosítanak a speciális vadászati események teljes készletéhez, és lehetővé teszik a következőket:

  • Egyszerűen másolja a meglévő Végponthoz készült Microsoft Defender/Office 365/Identity/Cloud Apps speciális keresési lekérdezéseit a Microsoft Sentinelbe.

  • A nyers eseménynaplókkal további információkat kaphat a riasztásokról, a keresésről és a vizsgálatról, és összevetheti ezeket az eseményeket a Microsoft Sentinel más adatforrásaiból származó eseményekkel.

  • A naplók tárolása nagyobb megőrzéssel, Microsoft 365 Defender vagy összetevőinek alapértelmezett 30 napos megőrzési időtartamán túl. Ehhez konfigurálja a munkaterület megőrzését, vagy konfigurálja a táblánkénti adatmegőrzést a Log Analyticsben.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan használhatja a Microsoft 365 Defender a Microsoft Sentinellel együtt az Microsoft 365 Defender-összekötő használatával.