Integrazione di Microsoft Defender XDR con Microsoft Sentinel

  • Articolo

L'integrazione degli eventi imprevisti di Microsoft Defender XDR di Microsoft Sentinel consente di trasmettere tutti gli eventi imprevisti di Microsoft Defender XDR in Microsoft Sentinel e mantenerli sincronizzati tra entrambi i portali. Gli eventi imprevisti di Microsoft Defender XDR includono tutti gli avvisi, le entità e le informazioni pertinenti associati, fornendo un contesto sufficiente per eseguire la valutazione e l'analisi preliminare in Microsoft Sentinel. Una volta in Sentinel, gli eventi imprevisti rimarranno sincronizzati in modo bidirezionale con Microsoft Defender XDR, consentendo di sfruttare i vantaggi di entrambi i portali nell'indagine sugli eventi imprevisti.

Questa integrazione offre agli eventi imprevisti di sicurezza di Microsoft 365 la visibilità da gestire all'interno di Microsoft Sentinel, come parte della coda degli eventi imprevisti principali nell'intera organizzazione, in modo da poter visualizzare e correlare gli eventi imprevisti di Microsoft 365 insieme a quelli di tutti gli altri sistemi cloud e locali. Allo stesso tempo, consente di sfruttare i punti di forza e le funzionalità unici di Microsoft Defender XDR per indagini approfondite e un'esperienza specifica di Microsoft 365 nell'ecosistema Microsoft 365. Microsoft Defender XDR arricchisce e raggruppa gli avvisi di più prodotti Microsoft 365, riducendo le dimensioni della coda degli eventi imprevisti del SOC e riducendo il tempo necessario per la risoluzione. I servizi componenti che fanno parte dello stack XDR di Microsoft Defender sono:

  • Microsoft Defender per endpoint
  • Microsoft Defender per identità
  • Microsoft Defender per Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender per il cloud

Altri servizi i cui avvisi vengono raccolti da Microsoft Defender XDR includono:

Oltre a raccogliere avvisi da questi componenti e altri servizi, Microsoft Defender XDR genera avvisi propri. Crea eventi imprevisti da tutti questi avvisi e li invia a Microsoft Sentinel.

Casi d'uso e scenari comuni

  • L'onboarding di Microsoft Sentinel nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, di cui l'abilitazione dell'integrazione XDR di Microsoft Defender è un passaggio anticipato necessario.

  • Connessione con un clic degli eventi imprevisti di Microsoft Defender XDR, inclusi tutti gli avvisi e le entità dei componenti XDR di Microsoft Defender, in Microsoft Sentinel.

  • Sincronizzazione bidirezionale tra Gli eventi imprevisti di Sentinel e Microsoft Defender XDR sullo stato, il proprietario e il motivo di chiusura.

  • Applicazione delle funzionalità di raggruppamento e arricchimento degli avvisi di Microsoft Defender XDR in Microsoft Sentinel, riducendo così il tempo necessario per la risoluzione.

  • Collegamento diretto nel contesto tra un evento imprevisto di Microsoft Sentinel e il relativo evento imprevisto parallelo di Microsoft Defender XDR, per facilitare le indagini in entrambi i portali.

Connessione a Microsoft Defender XDR

Qui vengono reindirizzi gli eventi imprevisti di Microsoft Defender XDR e le regole di creazione degli eventi imprevisti Microsoft.

Installare la soluzione Microsoft Defender XDR per Microsoft Sentinel e abilitare il connettore dati XDR di Microsoft Defender per raccogliere eventi imprevisti e avvisi. Gli eventi imprevisti di Microsoft Defender XDR vengono visualizzati nella coda degli eventi imprevisti di Microsoft Sentinel, con Microsoft Defender XDR (o uno dei nomi dei servizi componenti) nel campo Nome prodotto avviso, poco dopo che sono stati generati in Microsoft Defender XDR.

  • Possono essere necessari fino a 10 minuti dal momento in cui viene generato un evento imprevisto in Microsoft Defender XDR fino al momento in cui viene visualizzato in Microsoft Sentinel.

  • Gli avvisi e gli eventi imprevisti di Microsoft Defender XDR (gli elementi che popolano le tabelle SecurityAlert e SecurityIncident ) vengono inseriti e sincronizzati con Microsoft Sentinel senza costi aggiuntivi. Per tutti gli altri tipi di dati di singoli componenti di Defender (ad esempio le tabelle di ricerca avanzata DeviceInfo, DeviceFileEvents, EmailEvents e così via), l'inserimento verrà addebitato.

  • Quando il connettore Microsoft Defender XDR è abilitato, gli avvisi creati dai relativi servizi componenti (Defender per endpoint, Defender per identità, Defender per Office 365, app Defender per il cloud, Microsoft Entra ID Protection) verranno inviati a Microsoft Defender XDR e raggruppati in eventi imprevisti. Sia gli avvisi che gli eventi imprevisti verranno trasmessi a Microsoft Sentinel tramite il connettore Microsoft Defender XDR. Se in precedenza è stato abilitato uno dei singoli connettori di componenti, verranno visualizzati per rimanere connessi, anche se non verranno trasmessi dati.

    L'eccezione a questo processo è Microsoft Defender per il cloud. Anche se l'integrazione con Microsoft Defender XDR significa che si ricevono eventi imprevisti Defender per il cloud tramite Defender XDR, è necessario avere anche un connettore Microsoft Defender per il cloud abilitato per ricevere avvisi Defender per il cloud. Per le opzioni disponibili e altre informazioni, vedere Inserire Microsoft Defender per il cloud eventi imprevisti con l'integrazione di Microsoft Defender XDR.

  • Analogamente, per evitare di creare eventi imprevisti duplicati per gli stessi avvisi, le regole di creazione degli eventi imprevisti Microsoft verranno disattivate per i prodotti integrati con Microsoft Defender XDR (Defender per endpoint, Defender per identità, Defender per Office 365, app Defender per il cloud e Microsoft Entra ID Protection) durante la connessione di Microsoft Defender XDR. Ciò è dovuto al fatto che Defender XDR ha le proprie regole di creazione degli eventi imprevisti. Questa modifica ha i potenziali effetti seguenti:

    • Le regole di creazione degli eventi imprevisti di Microsoft Sentinel consentono di filtrare gli avvisi che verrebbero usati per creare eventi imprevisti. Con queste regole disabilitate, è possibile mantenere la funzionalità di filtro degli avvisi configurando l'ottimizzazione degli avvisi nel portale di Microsoft Defender o usando le regole di automazione per eliminare (chiudere) gli eventi imprevisti che non si desidera creare.

    • Non è più possibile predeterminare i titoli degli eventi imprevisti, poiché il motore di correlazione XDR di Microsoft Defender controlla la creazione degli eventi imprevisti e assegna automaticamente un nome agli eventi imprevisti creati. Questa modifica può influire sulle regole di automazione create che usano il nome dell'evento imprevisto come condizione. Per evitare questo problema, usare criteri diversi dal nome dell'evento imprevisto (è consigliabile usare i tag) come condizioni per l'attivazione delle regole di automazione.

Uso di eventi imprevisti di Microsoft Defender XDR in Microsoft Sentinel e sincronizzazione bidirezionale

Gli eventi imprevisti di Microsoft Defender XDR verranno visualizzati nella coda degli eventi imprevisti di Microsoft Sentinel con il nome del prodotto Microsoft Defender XDR e con dettagli e funzionalità simili a qualsiasi altro evento imprevisto di Sentinel. Ogni evento imprevisto contiene un collegamento all'evento imprevisto parallelo nel portale di Microsoft Defender.

Man mano che l'evento imprevisto si evolve in Microsoft Defender XDR e vengono aggiunti altri avvisi o entità, l'evento imprevisto di Microsoft Sentinel verrà aggiornato di conseguenza.

Le modifiche apportate allo stato, al motivo di chiusura o all'assegnazione di un evento imprevisto di Microsoft Defender XDR, in Microsoft Defender XDR o Microsoft Sentinel, verranno aggiornate di conseguenza nella coda degli eventi imprevisti dell'altro. La sincronizzazione verrà eseguita in entrambi i portali immediatamente dopo l'applicazione della modifica all'evento imprevisto, senza ritardi. Potrebbe essere necessario un aggiornamento per visualizzare le modifiche più recenti.

In Microsoft Defender XDR tutti gli avvisi di un evento imprevisto possono essere trasferiti a un altro, causando l'unione degli eventi imprevisti. Quando si verifica l'unione, gli eventi imprevisti di Microsoft Sentinel rifletteranno le modifiche. Un evento imprevisto conterrà tutti gli avvisi di entrambi gli eventi imprevisti originali e l'altro evento imprevisto verrà chiuso automaticamente, con un tag "reindirizzato" aggiunto.

Nota

Gli eventi imprevisti in Microsoft Sentinel possono contenere un massimo di 150 avvisi. Gli eventi imprevisti di Microsoft Defender XDR possono avere più di questo. Se un evento imprevisto XDR di Microsoft Defender con più di 150 avvisi viene sincronizzato con Microsoft Sentinel, l'evento imprevisto di Sentinel verrà visualizzato con avvisi "150+" e fornirà un collegamento all'evento imprevisto parallelo in Microsoft Defender XDR in cui verrà visualizzato il set completo di avvisi.

Raccolta di eventi di ricerca avanzata

Il connettore Microsoft Defender XDR consente anche di trasmettere eventi di ricerca avanzata, un tipo di dati di evento non elaborati, da Microsoft Defender XDR e dai relativi servizi componenti in Microsoft Sentinel. A partire da aprile 2022, è ora possibile raccogliere eventi di ricerca avanzata da tutti i componenti XDR di Microsoft Defender e trasmetterli direttamente in tabelle predefinite nell'area di lavoro di Microsoft Sentinel. Queste tabelle sono basate sullo stesso schema usato nel portale di Microsoft Defender, offrendo l'accesso completo al set completo di eventi di ricerca avanzata e consentendo di eseguire le operazioni seguenti:

  • Copiare facilmente le query di ricerca avanzate di Microsoft Defender per endpoint/Office 365/Identity/Cloud Apps in Microsoft Sentinel.

  • Usare i log eventi non elaborati per fornire ulteriori informazioni dettagliate per gli avvisi, la ricerca e l'analisi e correlare questi eventi con gli eventi di altre origini dati in Microsoft Sentinel.

  • Archiviare i log con maggiore conservazione, oltre alla conservazione predefinita di Microsoft Defender XDR o dei relativi componenti di 30 giorni. A questo scopo, è possibile configurare il periodo di conservazione dell'area di lavoro oppure di ogni singola tabella di Log Analytics.

Passaggi successivi

In questo documento si è appreso come trarre vantaggio dall'uso di Microsoft Defender XDR insieme a Microsoft Sentinel, usando il connettore Microsoft Defender XDR.