Microsoft Defender XDR-integráció a Microsoft Sentinelrel
A Microsoft Sentinel Microsoft Defender XDR-incidensintegrációja lehetővé teszi, hogy az összes Microsoft Defender XDR-incidenst a Microsoft Sentinelbe streamelje, és szinkronizálja őket mindkét portál között. A Microsoft Defender XDR incidensei tartalmazzák az összes kapcsolódó riasztást, entitást és releváns információt, és elegendő kontextust biztosítanak a Microsoft Sentinelben végzett osztályozáshoz és előzetes vizsgálathoz. A Sentinelben az incidensek kétirányú szinkronizálást folytatnak a Microsoft Defender XDR-sel, így kihasználhatja mindkét portál előnyeit az incidensvizsgálat során.
Ez az integráció biztosítja a Microsoft 365 biztonsági incidenseinek láthatóságát a Microsoft Sentinelen belül az elsődleges incidenssor részeként a teljes szervezeten belül, így a Microsoft 365-incidenseket az összes többi felhőbeli és helyszíni rendszerével együtt láthatja és korrelálhatja. Ugyanakkor lehetővé teszi a Microsoft Defender XDR egyedi erősségeinek és képességeinek kihasználását a részletes vizsgálatokhoz és a Microsoft 365-specifikus microsoftos élményhez a Microsoft 365 ökoszisztémájában. A Microsoft Defender XDR több Microsoft 365-termék riasztásait bővíti és csoportosítja, így csökkenti az SOC incidenssorának méretét, és lerövidíti a feloldás idejét. A Microsoft Defender XDR-verem részét képező összetevő-szolgáltatások a következők:
- Végponthoz készült Microsoft Defender
- Microsoft Defender identitáshoz
- Office 365-höz készült Microsoft Defender
- Felhőhöz készült Microsoft Defender-alkalmazások
- Felhőhöz készült Microsoft Defender
A Microsoft Defender XDR által gyűjtött riasztásokat tartalmazó egyéb szolgáltatások a következők:
- Microsoft Purview adatveszteség-megelőzés (További információ)
- Microsoft Entra ID-védelem (További információ)
A Microsoft Defender XDR amellett, hogy riasztásokat gyűjt ezekből az összetevőkből és egyéb szolgáltatásokból, saját riasztásokat is létrehoz. Incidenseket hoz létre ezekből a riasztásokból, és elküldi őket a Microsoft Sentinelnek.
Gyakori használati esetek és forgatókönyvek
A Microsoft Sentinel előkészítése a Microsoft Defender portál egyesített biztonsági üzemeltetési platformjára, amelynek a Microsoft Defender XDR-integrációjának engedélyezése szükséges korai lépés.
Egy kattintással csatlakozhat a Microsoft Defender XDR-incidensekhez, beleértve a Microsoft Defender XDR összetevőitől származó összes riasztást és entitást a Microsoft Sentinelhez.
Kétirányú szinkronizálás a Sentinel és a Microsoft Defender XDR incidensei között az állapot, a tulajdonos és a záró ok alapján.
A Microsoft Defender XDR riasztási csoportosítási és bővítési képességeinek alkalmazása a Microsoft Sentinelben, így kevesebb időt kell megoldani.
A Microsoft Sentinel-incidens és a párhuzamos Microsoft Defender XDR-incidens közötti részletes kapcsolat a két portálon történő vizsgálat megkönnyítése érdekében.
Csatlakozás a Microsoft Defender XDR-be
(A "Microsoft Defender XDR-incidensek és Microsoft incidenslétrehozás szabályai" itt található.)
Telepítse a Microsoft Sentinelhez készült Microsoft Defender XDR-megoldást, és engedélyezze a Microsoft Defender XDR adatösszekötő számára az incidensek és riasztások gyűjtését. A Microsoft Defender XDR-incidensek a Microsoft Sentinel incidensek üzenetsorában jelennek meg, a Microsoft Defender XDR (vagy az összetevő-szolgáltatások neve) a Riasztás terméknév mezőjében, röviddel azután, hogy létrejöttek a Microsoft Defender XDR-ben.
Az incidens Microsoft Defender XDR-ben való generálásától a Microsoft Sentinelben való megjelenésig akár 10 percet is igénybe vehet.
A Microsoft Defender XDR riasztásai és incidensei (azok az elemek, amelyek feltöltik a SecurityAlert és a SecurityIncident táblákat) ingyenesen betöltődnek és szinkronizálódnak a Microsoft Sentinellel. Az egyes Defender-összetevők összes többi adattípusa (például a DeviceInfo, a DeviceFileEvents, a EmailEvents stb. speciális vadásztáblái) esetében a betöltési díjat számítjuk fel.
Ha a Microsoft Defender XDR-összekötő engedélyezve van, az összetevőszolgáltatásai által létrehozott riasztások (Defender for Endpoint, Defender for Identity, Office 365-höz készült Defender, Felhőhöz készült Defender Apps, Microsoft Entra ID-védelem) a rendszer elküldi a Microsoft Defender XDR-nek, és incidensekbe csoportosítja. A riasztások és az incidensek a Microsoft Defender XDR-összekötőn keresztül érkeznek a Microsoft Sentinelbe. Ha korábban engedélyezte az egyes összetevők összekötőit, azok továbbra is csatlakoztatva maradnak, de nem fognak rajtuk keresztül áramlani adatok.
A folyamat kivétele Felhőhöz készült Microsoft Defender. Bár a Microsoft Defender XDR-vel való integrációja azt jelenti, hogy Felhőhöz készült Defender incidenseket kap a Defender XDR-n keresztül, engedélyeznie kell egy Felhőhöz készült Microsoft Defender-összekötőt is a Felhőhöz készült Defender riasztásokat. A rendelkezésre álló lehetőségekről és további információkról lásd: Ingest Felhőhöz készült Microsoft Defender incidensek a Microsoft Defender XDR-integrációval.
Hasonlóképpen, annak érdekében, hogy ne hozzon létre ismétlődő incidenseket ugyanazon riasztásokhoz, a Microsoft Defender XDR-sel integrált termékek (Defender for Endpoint, Defender for Identity, Office 365-höz készült Defender, Felhőhöz készült Defender Apps és Microsoft Entra ID-védelem) a Microsoft Defender XDR csatlakoztatásakor. Ennek az az oka, hogy a Defender XDR saját incidens-létrehozási szabályokkal rendelkezik. Ennek a változásnak a következő lehetséges hatásai vannak:
A Microsoft Sentinel incidens-létrehozási szabályai lehetővé tették az incidensek létrehozásához használt riasztások szűrését. Ha ezek a szabályok le vannak tiltva, megőrizheti a riasztásszűrési képességet úgy, hogy konfigurálja a riasztáshangolást a Microsoft Defender portálon, vagy automatizálási szabályokkal letiltja a nem kívánt incidenseket.
Már nem definiálhatja előre az incidensek címét, mivel a Microsoft Defender XDR korrelációs motorja vezeti az incidensek létrehozását, és automatikusan elnevezi az általa létrehozott incidenseket. Ez a módosítás hatással lehet minden olyan automation-szabályra, amely az incidens nevét feltételként használja. Ennek a buktatónak a elkerülése érdekében az incidens nevén kívül más feltételeket is használjon (javasoljuk, hogy címkéket használjon) az automatizálási szabályok aktiválásának feltételeiként.
Microsoft Defender XDR-incidensek használata a Microsoft Sentinelben és kétirányú szinkronizálásban
A Microsoft Defender XDR-incidensek a Microsoft Sentinel incidensek üzenetsorában jelennek meg a Microsoft Defender XDR terméknévvel, valamint a többi Sentinel-incidenshez hasonló részletekkel és funkciókkal. Minden incidens tartalmaz egy hivatkozást a párhuzamos incidensre a Microsoft Defender portálon.
Ahogy az incidens a Microsoft Defender XDR-ben fejlődik, és további riasztások vagy entitások kerülnek hozzá, a Microsoft Sentinel-incidens ennek megfelelően frissül.
A Microsoft Defender XDR-incidens állapotában, záró okában vagy hozzárendelésében végrehajtott módosítások a Microsoft Defender XDR-ben vagy a Microsoft Sentinelben is ennek megfelelően frissülnek a másik incidensek várólistáján. A szinkronizálás mindkét portálon azonnal megtörténik az incidens módosítása után, késedelem nélkül. Előfordulhat, hogy frissítésre van szükség a legújabb módosítások megtekintéséhez.
A Microsoft Defender XDR-ben az egyik incidens összes riasztása továbbítható egy másikba, így az incidensek egyesülnek. Az egyesítés során a Microsoft Sentinel-incidensek tükrözik a változásokat. Az egyik incidens mindkét eredeti incidens összes riasztását tartalmazza, a másik incidens pedig automatikusan bezáródik, és hozzá lesz adva egy "átirányítás" címkével.
Feljegyzés
A Microsoft Sentinel incidensei legfeljebb 150 riasztást tartalmazhatnak. A Microsoft Defender XDR-incidensei ennél többel is rendelkezhetnek. Ha egy 150-nél több riasztást tartalmazó Microsoft Defender XDR-incidens szinkronizálva van a Microsoft Sentinelrel, a Sentinel-incidens "150+" riasztásként jelenik meg, és a Microsoft Defender XDR-ben a párhuzamos incidensre mutató hivatkozást jelenít meg, ahol megjelenik a riasztások teljes készlete.
Speciális vadászati eseménygyűjtemény
A Microsoft Defender XDR-összekötő lehetővé teszi, hogy speciális vadászati eseményeket – például nyers eseményadatokat – streamelje a Microsoft Defender XDR-ből és annak összetevőszolgáltatásaiból a Microsoft Sentinelbe. Most (2022 áprilisától) összegyűjtheti a speciális vadászati eseményeket az összes Microsoft Defender XDR-összetevőből, és közvetlenül a Microsoft Sentinel-munkaterületen lévő céltáblákba streamelheti őket. Ezek a táblák a Microsoft Defender portálon használt sémára épülnek, így teljes körű hozzáférést biztosít a speciális vadászati események teljes készletéhez, és lehetővé teszik a következőket:
Egyszerűen másolja a meglévő Végponthoz készült Microsoft Defender/Office 365/Identity/Cloud Apps speciális keresési lekérdezéseit a Microsoft Sentinelbe.
A nyers eseménynaplókkal további elemzéseket adhat a riasztásokhoz, a kereséshez és a vizsgálathoz, és összevetheti ezeket az eseményeket más adatforrásokból származó eseményekkel a Microsoft Sentinelben.
A naplókat a Microsoft Defender XDR vagy összetevőinek alapértelmezett 30 napos megőrzési időtartamán túl fokozott megőrzéssel tárolhatja. Ezt a munkaterület megőrzésének konfigurálásával vagy a Log Analytics táblánkénti adatmegőrzésének konfigurálásával teheti meg.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan használhatja a Microsoft Defender XDR-t a Microsoft Sentinellel együtt a Microsoft Defender XDR-összekötő használatával.
- Útmutatás a Microsoft Defender XDR-összekötő engedélyezéséhez.
- Ellenőrizze a Különböző Microsoft Defender XDR-adattípusok rendelkezésre állását a különböző Microsoft 365- és Azure-felhőkben.
- Egyéni riasztások létrehozása és incidensek kivizsgálása.