Verbinding maken gegevens van Microsoft 365 Defender naar Microsoft Sentinel

Artikel
11/19/2021
4 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Belangrijk

Microsoft 365 Defender voorheen bekend als Microsoft Threat Protection of MTP.

Microsoft Defender for Endpoint werd voorheen bekend als Microsoft Defender Advanced Threat Protection of MDATP.

Microsoft Defender voor Office 365 voorheen bekend als Office 365 Advanced Threat Protection.

Mogelijk ziet u de oude namen nog steeds in gebruik voor een bepaalde periode.

Notitie

Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.

Achtergrond

Met de Microsoft 365 Defender M365D-connector (M365D) van Microsoft Sentinel met incidentintegratie kunt u alle M365D-incidenten en -waarschuwingen streamen naar Microsoft Sentinel en worden de incidenten gesynchroniseerd tussen beide portals. M365D-incidenten omvatten alle waarschuwingen, entiteiten en andere relevante informatie. Ze worden verrijkt door en groepeert waarschuwingen van de onderdeelservices van M365D Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender voor Office 365 en Microsoft Defender voor Cloud Apps.

Met de connector kunt u ook geavanceerde bewakingsgebeurtenissen van Microsoft Defender for Endpoint en Microsoft Defender for Office 365 streamen naar Microsoft Sentinel, zodat u de geavanceerde huntingquery's van deze Defender-onderdelen kunt kopiëren naar Microsoft Sentinel, Sentinel-waarschuwingen kunt verrijken met onbewerkte gebeurtenisgegevens van de Defender-onderdelen om extra inzichten te bieden en de logboeken met verhoogde retentie kunt opslaan in Log Analytics.

Zie voor meer informatie over incidentintegratie en geavanceerde verzameling van Microsoft 365 Defender integratie met Microsoft Sentinel.

Belangrijk

De Microsoft 365 Defender-connector is momenteel in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.

Vereisten

U moet een geldige licentie voor Microsoft 365 Defender hebben, zoals beschreven in Microsoft 365 Defender vereisten.
U moet een globale beheerder of beveiligingsbeheerder zijn in Azure Active Directory.

Verbinding maken naar Microsoft 365 Defender

Selecteer in Microsoft Sentinel Gegevensconnectoren, selecteer Microsoft 365 Defender (preview) in de galerie en selecteer Connectorpagina openen.
Selecteer onder Configuratie in de Verbinding maken incidenten & waarschuwingen de knop Verbinding maken incidenten & waarschuwingen.
Om duplicatie van incidenten te voorkomen, is het raadzaam om het selectievakje met het label Alle regels voor het maken van Microsoft-incidenten uitschakelen voor deze producten in te schakelen.

Notitie

Wanneer u de Microsoft 365 Defender-connector inschakelen, worden alle connectors van de M365D-onderdelen (de connectors die aan het begin van dit artikel worden genoemd) automatisch op de achtergrond verbonden. Als u een van de connectors van de onderdelen wilt loskoppelen, moet u eerst de verbinding met Microsoft 365 Defender verbreken.
Als u een query Microsoft 365 Defender incidentgegevens wilt uitvoeren, gebruikt u de volgende instructie in het queryvenster:
```
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
```

Als u geavanceerde huntinggebeurtenissen van Microsoft Defender for Endpoint of Microsoft Defender for Office 365 wilt verzamelen, kunnen de volgende typen gebeurtenissen worden verzameld uit de bijbehorende geavanceerde huntingtabellen.

Markeer de selectievakjes van de tabellen met de gebeurtenistypen die u wilt verzamelen:

Defender voor eindpunt
Defender voor Office 365

Tabelnaam	Gebeurtenistype
DeviceInfo	Computergegevens, inclusief informatie over het besturingssysteem
DeviceNetworkInfo	Netwerkeigenschappen van apparaten, waaronder fysieke adapters, IP- en MAC-adressen, evenals verbonden netwerken en domeinen
DeviceProcessEvents	Proces maken en gerelateerde gebeurtenissen
DeviceNetworkEvents	Netwerkverbinding en gerelateerde gebeurtenissen
DeviceFileEvents	Bestand maken, wijzigen en andere bestandssysteemgebeurtenissen
DeviceRegistryEvents	Registergegevens maken en wijzigen
DeviceLogonEvents	Aanmeldingen en andere verificatiegebeurtenissen op apparaten
DeviceImageLoadEvents	DLL-gebeurtenissen laden
DeviceEvents	Meerdere gebeurtenistypen, waaronder gebeurtenissen die worden geactiveerd door beveiligingscontroles, zoals Windows Defender Antivirus en exploit protection
DeviceFileCertificateInfo	Certificaatgegevens van ondertekende bestanden die zijn verkregen van verificatiegebeurtenissen voor certificaten op eindpunten

Tabelnaam	Gebeurtenistype
EmailAttachmentInfo	Informatie over bestanden die zijn gekoppeld aan e-mailberichten
EmailEvents	Microsoft 365 e-mailgebeurtenissen, waaronder e-mailbezorging en blokkerende gebeurtenissen
EmailPostDeliveryEvents	Beveiligingsgebeurtenissen die optreden na levering, nadat Microsoft 365 e-mailberichten aan het postvak van de ontvanger heeft afgeleverd
EmailUrlInfo	Informatie over URL's voor e-mailberichten

Klik op Wijzigingen toepassen.
Als u een query wilt uitvoeren op de geavanceerde zoektabellen in Log Analytics, voert u de tabelnaam uit de bovenstaande lijst in het queryvenster in.

Gegevens opnemen controleren

De gegevensgrafiek op de connectorpagina geeft aan dat u gegevens opeengenomen. U ziet dat er één regel per regel wordt weergeven voor incidenten, waarschuwingen en gebeurtenissen, en dat de gebeurtenisregel een aggregatie is van het gebeurtenisvolume in alle ingeschakelde tabellen. Zodra u de connector hebt ingeschakeld, kunt u de volgende KQL-query's gebruiken om specifiekere grafieken te genereren.

Gebruik de volgende KQL-query voor een grafiek van de binnenkomende Microsoft 365 Defender incidenten:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Gebruik de volgende KQL-query om een grafiek van het gebeurtenisvolume voor één tabel te genereren (wijzig de tabel DeviceEvents in de vereiste tabel van uw keuze):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Op het tabblad Volgende stappen vindt u enkele nuttige werkmappen, voorbeeldquery's en analyseregelsjablonen die zijn opgenomen. U kunt ze ter plekke uitvoeren of wijzigen en opslaan.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft 365 Defender-incidenten en geavanceerde huntinggebeurtenisgegevens van Microsoft Defender for Endpoint en Defender for Office 365 kunt integreren in Microsoft Sentinel met behulp van de Microsoft 365 Defender-connector. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.