Integrasi Microsoft Defender XDR dengan Microsoft Azure Sentinel

  • Artikel

Integrasi insiden Microsoft Defender XDR Microsoft Sentinel memungkinkan Anda mengalirkan semua insiden Microsoft Defender XDR ke Microsoft Sentinel dan membuatnya tetap sinkron di antara kedua portal. Insiden dari Microsoft Defender XDR mencakup semua pemberitahuan, entitas, dan informasi yang relevan terkait, memberi Anda konteks yang cukup untuk melakukan triase dan investigasi awal di Microsoft Azure Sentinel. Setelah berada di Sentinel, insiden akan tetap disinkronkan dua arah dengan Microsoft Defender XDR, yang memungkinkan Anda memanfaatkan manfaat kedua portal dalam penyelidikan insiden Anda.

Integrasi ini memberi insiden keamanan Microsoft 365 visibilitas yang akan dikelola dari dalam Microsoft Azure Sentinel, sebagai bagian dari antrean insiden utama di seluruh organisasi, sehingga Anda dapat melihat - dan mengorelasikan - insiden Microsoft 365 bersama dengan insiden dari semua sistem cloud dan lokal lainnya. Pada saat yang sama, ini memungkinkan Anda memanfaatkan kekuatan dan kemampuan unik Microsoft Defender XDR untuk penyelidikan mendalam dan pengalaman khusus Microsoft 365 di seluruh ekosistem Microsoft 365. Microsoft Defender XDR memperkaya dan mengelompokkan pemberitahuan dari beberapa produk Microsoft 365, baik mengurangi ukuran antrean insiden SOC dan mempersingkat waktu untuk mengatasinya. Layanan komponen yang merupakan bagian dari tumpukan Microsoft Defender XDR adalah:

  • Microsoft Defender untuk Titik Akhir
  • Pertahanan Microsoft untuk Identitas
  • Microsoft Defender untuk Office 365
  • Aplikasi Microsoft Defender untuk Cloud
  • Microsoft Defender untuk Cloud

Layanan lain yang pemberitahuannya dikumpulkan oleh Microsoft Defender XDR meliputi:

Selain mengumpulkan pemberitahuan dari komponen ini dan layanan lainnya, Microsoft Defender XDR menghasilkan pemberitahuannya sendiri. Ini menciptakan insiden dari semua pemberitahuan ini dan mengirimkannya ke Microsoft Azure Sentinel.

Kasus dan skenario penggunaan umum

  • Onboarding Microsoft Sentinel ke platform operasi keamanan terpadu di portal Pertahanan Microsoft, yang memungkinkan integrasi Pertahanan Microsoft XDR adalah langkah awal yang diperlukan.

  • Koneksi satu klik insiden Microsoft Defender XDR, termasuk semua pemberitahuan dan entitas dari komponen Microsoft Defender XDR, ke Microsoft Sentinel.

  • Sinkronisasi dua arah antara insiden Sentinel dan Microsoft Defender XDR pada status, pemilik, dan alasan penutupan.

  • Aplikasi kemampuan pengelompokan dan pengayaan pemberitahuan Microsoft Defender XDR di Microsoft Sentinel, sehingga mengurangi waktu untuk menyelesaikannya.

  • Hubungan mendalam dalam konteks antara insiden Microsoft Azure Sentinel dan insiden XDR Pertahanan Microsoft paralelnya, untuk memfasilitasi penyelidikan di kedua portal.

Koneksi ke Pertahanan Microsoft XDR

("Insiden Pertahanan Microsoft XDR dan aturan pembuatan insiden Microsoft" dialihkan ke sini.)

Instal solusi Microsoft Defender XDR untuk Microsoft Azure Sentinel dan aktifkan konektor data Microsoft Defender XDR untuk mengumpulkan insiden dan pemberitahuan. Insiden Microsoft Defender XDR muncul di antrean insiden Microsoft Azure Sentinel, dengan Microsoft Defender XDR (atau salah satu nama layanan komponen) di bidang Nama produk pemberitahuan, tak lama setelah dibuat di Microsoft Defender XDR.

  • Dibutuhkan waktu hingga 10 menit sejak insiden dihasilkan di Pertahanan Microsoft XDR hingga muncul di Microsoft Sentinel.

  • Pemberitahuan dan insiden dari Microsoft Defender XDR (item yang mengisi tabel SecurityAlert dan SecurityIncident ) diserap dan disinkronkan dengan Microsoft Sentinel tanpa biaya. Untuk semua jenis data lainnya dari komponen Defender individual (seperti tabel Perburuan tingkat lanjut DeviceInfo, DeviceFileEvents, EmailEvents, dan sebagainya), penyerapan akan dikenakan biaya.

  • Saat konektor Microsoft Defender XDR diaktifkan, pemberitahuan yang dibuat oleh layanan komponennya (Pertahanan untuk Titik Akhir, Pertahanan untuk Identitas, Defender untuk Office 365, aplikasi Defender untuk Cloud, Microsoft Entra ID Protection) akan dikirim ke Microsoft Defender XDR dan dikelompokkan ke dalam insiden. Baik pemberitahuan maupun insiden akan mengalir ke Microsoft Sentinel melalui konektor Microsoft Defender XDR. Jika Anda telah mengaktifkan salah satu konektor komponen individual sebelumnya, konektor tersebut akan tampak tetap terhubung, meskipun tidak ada data yang akan mengalir melaluinya.

    Pengecualian untuk proses ini Microsoft Defender untuk Cloud. Meskipun integrasinya dengan Microsoft Defender XDR berarti Anda menerima insiden Defender untuk Cloud melalui Defender XDR, Anda juga harus mengaktifkan konektor Microsoft Defender untuk Cloud untuk menerima pemberitahuan Defender untuk Cloud. Untuk opsi yang tersedia dan informasi selengkapnya, lihat Menyerap insiden Microsoft Defender untuk Cloud dengan integrasi Microsoft Defender XDR.

  • Demikian pula, untuk menghindari pembuatan insiden duplikat untuk pemberitahuan yang sama, aturan pembuatan insiden Microsoft akan dinonaktifkan untuk produk terintegrasi Pertahanan Microsoft XDR (Pertahanan untuk Titik Akhir, Pertahanan untuk Identitas, Defender untuk Office 365, aplikasi Defender untuk Cloud, dan Perlindungan ID Microsoft Entra) saat menyambungkan Pertahanan Microsoft XDR. Ini karena Defender XDR memiliki aturan pembuatan insiden sendiri. Perubahan ini memiliki potensi dampak berikut:

    • Aturan pembuatan insiden Microsoft Sentinel memungkinkan Anda memfilter pemberitahuan yang akan digunakan untuk membuat insiden. Dengan aturan ini dinonaktifkan, Anda dapat mempertahankan kemampuan pemfilteran pemberitahuan dengan mengonfigurasi penyetelan pemberitahuan di portal Pertahanan Microsoft, atau dengan menggunakan aturan otomatisasi untuk menekan (menutup) insiden yang tidak ingin Anda buat.

    • Anda tidak dapat lagi menentukan judul insiden, karena mesin korelasi Pertahanan Microsoft XDR memimpin pembuatan insiden dan secara otomatis memberi nama insiden yang dibuatnya. Perubahan ini bertanggung jawab untuk memengaruhi aturan otomatisasi apa pun yang telah Anda buat yang menggunakan nama insiden sebagai kondisi. Untuk menghindari jebakan ini, gunakan kriteria selain nama insiden (sebaiknya gunakan tag) sebagai kondisi untuk memicu aturan otomatisasi.

Bekerja dengan insiden Microsoft Defender XDR di Microsoft Azure Sentinel dan sinkronisasi dua arah

Insiden Microsoft Defender XDR akan muncul dalam antrean insiden Microsoft Sentinel dengan nama produk Microsoft Defender XDR, dan dengan detail dan fungsionalitas serupa dengan insiden Sentinel lainnya. Setiap insiden berisi tautan kembali ke insiden paralel di Portal Pertahanan Microsoft.

Seiring berkembangnya insiden di Microsoft Defender XDR, dan lebih banyak pemberitahuan atau entitas ditambahkan ke dalamnya, insiden Microsoft Azure Sentinel akan diperbarui.

Perubahan yang dilakukan pada status, alasan penutupan, atau penugasan insiden Microsoft Defender XDR, baik di Microsoft Defender XDR atau Microsoft Sentinel, juga akan diperbarui sesuai dengan antrean insiden lainnya. Sinkronisasi akan berlangsung di kedua portal segera setelah perubahan insiden diterapkan, tanpa penundaan. Refresh mungkin diperlukan untuk melihat perubahan terbaru.

Di Microsoft Defender XDR, semua pemberitahuan dari satu insiden dapat ditransfer ke insiden lain, yang mengakibatkan insiden digabungkan. Saat penggabungan ini terjadi, insiden Microsoft Azure Sentinel akan mencerminkan perubahan tersebut. Satu insiden akan berisi semua peringatan dari kedua insiden asli, dan insiden lainnya akan ditutup secara otomatis, dengan ditutup tag "dialihkan".

Catatan

Insiden di Microsoft Azure Sentinel dapat berisi maksimum 150 pemberitahuan. Insiden Microsoft Defender XDR dapat memiliki lebih dari ini. Jika insiden Microsoft Defender XDR dengan lebih dari 150 pemberitahuan disinkronkan ke Microsoft Azure Sentinel, insiden Sentinel akan ditampilkan memiliki pemberitahuan "150+" dan akan memberikan tautan ke insiden paralel di Microsoft Defender XDR tempat Anda akan melihat serangkaian pemberitahuan lengkap.

Kumpulan peristiwa perburuan lanjutan

Konektor Microsoft Defender XDR juga memungkinkan Anda mengalirkan peristiwa perburuan tingkat lanjut - jenis data peristiwa mentah - dari Microsoft Defender XDR dan layanan komponennya ke Microsoft Sentinel. Anda sekarang dapat (mulai April 2022) mengumpulkan peristiwa perburuan tingkat lanjut dari semua komponen Microsoft Defender XDR, dan mengalirkannya langsung ke tabel yang dibuat khusus di ruang kerja Microsoft Azure Sentinel Anda. Tabel ini dibangun di atas skema yang sama yang digunakan di Portal Pertahanan Microsoft, memberi Anda akses lengkap ke serangkaian peristiwa perburuan tingkat lanjut, dan memungkinkan Anda melakukan hal berikut:

  • Salin dengan mudah kueri berburu tingkat lanjut Pertahanan Microsoft untuk Titik Akhir/Office 365/Identitas/Aplikasi Cloud Anda ke dalam Microsoft Sentinel.

  • Menggunakan log peristiwa mentah untuk memberikan wawasan lebih lanjut untuk pemberitahuan, perburuan, dan investigasi, serta mengaitkan peristiwa ini dengan peristiwa dari sumber daya lain di Microsoft Azure Sentinel.

  • Simpan log dengan retensi yang ditingkatkan, di luar retensi default Microsoft Defender XDR atau komponennya selama 30 hari. Anda dapat melakukannya dengan mengonfigurasi retensi ruang kerja atau dengan mengonfigurasi retensi per-tabel di Analitik Log.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara mendapatkan manfaat dari menggunakan Microsoft Defender XDR bersama dengan Microsoft Sentinel, menggunakan konektor Microsoft Defender XDR.