Microsoft 365 Defender integratie met Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Belangrijk
De Microsoft 365 Defender-connector is momenteel in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Belangrijk
Microsoft 365 Defender voorheen bekend als Microsoft Threat Protection of MTP.
Microsoft Defender for Endpoint werd voorheen bekend als Microsoft Defender Advanced Threat Protection of MDATP.
Microsoft Defender voor Office 365 voorheen bekend als Office 365 Advanced Threat Protection.
Mogelijk ziet u de oude namen nog steeds in gebruik voor een bepaalde periode.
Incidentintegratie
Met de integratie van microsoft Sentinel Microsoft 365 Defender incidenten kunt u alle Microsoft 365 Defender naar Microsoft Sentinel streamen en ze gesynchroniseerd houden tussen beide portals. Incidenten van Microsoft 365 Defender (voorheen bekend als Microsoft Threat Protection of MTP) omvatten alle bijbehorende waarschuwingen, entiteiten en relevante informatie, zodat u voldoende context hebt voor het uitvoeren van een triage en voorlopig onderzoek in Microsoft Sentinel. Eenmaal in Sentinel blijven incidenten in twee richtingen gesynchroniseerd met Microsoft 365 Defender, zodat u kunt profiteren van de voordelen van beide portals in uw incidentonderzoek.
Deze integratie biedt Microsoft 365 beveiligingsincidenten de zichtbaarheid die vanuit Microsoft Sentinel moet worden beheerd als onderdeel van de primaire incidentwachtrij in de hele organisatie, zodat u Microsoft 365-incidenten kunt zien en correleren met die van al uw andere cloud- en on-premises systemen. Tegelijkertijd kunt u hiermee profiteren van de unieke sterke punten en mogelijkheden van Microsoft 365 Defender voor diepgaande onderzoeken en een Microsoft 365-specifieke ervaring in het Microsoft 365-ecosysteem. Microsoft 365 Defender verrijkt en groepeert waarschuwingen van meerdere Microsoft 365-producten, waarbij zowel de grootte van de incidentwachtrij van de SOC wordt verkleind als de op te lossen tijd wordt verkort. De onderdeelservices die deel uitmaken van de Microsoft 365 Defender stack zijn:
- Microsoft Defender for Endpoint (voorheen Microsoft Defender ATP)
- Microsoft Defender for Identity (voorheen Azure ATP)
- Microsoft Defender voor Office 365 (voorheen Office 365 ATP)
- Microsoft Defender for Cloud Apps
Naast het verzamelen van waarschuwingen van deze onderdelen, Microsoft 365 Defender zelf waarschuwingen genereren. Het maakt incidenten van al deze waarschuwingen en verzendt deze naar Microsoft Sentinel.
Veelvoorkomende gebruiksscenario's
Maak met één klik verbinding Microsoft 365 Defender incidenten, met inbegrip van alle waarschuwingen en entiteiten Microsoft 365 Defender onderdelen, in Microsoft Sentinel.
Bi-directionele synchronisatie tussen Sentinel en Microsoft 365 Defender incidenten op status, eigenaar en reden voor sluiten.
Toepassing van Microsoft 365 Defender mogelijkheden voor het groeperen en verrijken van waarschuwingen in Microsoft Sentinel, waardoor er minder tijd nodig is om het probleem op te lossen.
Een diepgaande koppeling binnen de context tussen een Microsoft Sentinel-incident en het parallelle Microsoft 365 Defender incident, om onderzoeken in beide portals mogelijk te maken.
Verbinding maken met Microsoft 365 Defender
Zodra u de Microsoft 365 Defender-gegevensconnector hebt ingeschakeld voor het verzamelen van incidenten en waarschuwingen,worden Microsoft 365 Defender-incidenten weergegeven in de wachtrij voor Microsoft Sentinel-incidenten, met Microsoft 365 Defender in het veld Productnaam, kort nadat ze zijn gegenereerd in Microsoft 365 Defender.
Het kan tot tien minuten duren vanaf het moment dat een incident wordt gegenereerd in Microsoft 365 Defender tot het moment dat het wordt weergegeven in Microsoft Sentinel.
Incidenten worden zonder extra kosten opgenomen en gesynchroniseerd.
Zodra de Microsoft 365 Defender-integratie is verbonden, worden alle connectors voor onderdeelwaarschuwingen (Defender for Endpoint, Defender for Identity, Defender for Office 365, Defender for Cloud Apps) automatisch op de achtergrond verbonden als ze dat nog niet waren. Als er onderdeellicenties zijn aangeschaft nadat Microsoft 365 Defender was verbonden, worden de waarschuwingen en incidenten van het nieuwe product nog steeds zonder extra configuratie of kosten naar Microsoft Sentinel gestroomd.
Microsoft 365 Defender incidenten en regels voor het maken van Microsoft-incidenten
Incidenten die worden gegenereerd Microsoft 365 Defender, op basis van waarschuwingen die afkomstig zijn Microsoft 365 beveiligingsproducten, worden gemaakt met behulp van aangepaste Microsoft 365 Defender logica.
Regels voor het maken van Microsoft-incidenten in Microsoft Sentinel maken ook incidenten op basis van dezelfde waarschuwingen, met behulp van (een andere) aangepaste Microsoft Sentinel-logica.
Het samen gebruiken van beide mechanismen wordt volledig ondersteund en kan worden gebruikt om de overgang naar de nieuwe Microsoft 365 Defender logica voor het maken van incidenten te vergemakkelijken. Als u dit doet, worden er echter dubbele incidenten voor dezelfde waarschuwingen aangemaakt.
Om dubbele incidenten voor dezelfde waarschuwingen te voorkomen, raden we klanten aan om alle regels voor het maken van Microsoft-incidenten uit te schakelen voor Microsoft 365-producten (Defender voor eindpunt, Defender voor identiteit en Defender voor Office 365 en Defender for Cloud Apps) wanneer ze verbinding maken met Microsoft 365 Defender. U kunt dit doen door het maken van incidenten uit te sluiten op de connectorpagina. Houd er rekening mee dat als u dit doet, filters die zijn toegepast door de regels voor het maken van incidenten, niet worden toegepast op Microsoft 365 Defender incidentintegratie.
Notitie
Alle waarschuwingstypen van Microsoft Defender voor Cloud Apps worden nu onboarding voor Microsoft 365 Defender.
Werken met Microsoft 365 Defender in Microsoft Sentinel en bi-directionele synchronisatie
Microsoft 365 Defender incidenten worden weergegeven in de wachtrij voor Microsoft Sentinel-incidenten met de productnaam Microsoft 365 Defender en met vergelijkbare details en functionaliteit als andere Sentinel-incidenten. Elk incident bevat een koppeling naar het parallelle incident in Microsoft 365 Defender portal.
Naarmate het incident zich in Microsoft 365 Defender en er meer waarschuwingen of entiteiten aan worden toegevoegd, wordt het Microsoft Sentinel-incident dienovereenkomstig bijgewerkt.
Wijzigingen die zijn aangebracht in de status, reden van sluiten of toewijzing van een Microsoft 365-incident, in Microsoft 365 Defender of Microsoft Sentinel, worden op dezelfde manier bijgewerkt in de wachtrij met incidenten van de andere. De synchronisatie vindt zonder vertraging plaats in beide portals direct nadat de wijziging van het incident is toegepast. Mogelijk moet u vernieuwen om de meest recente wijzigingen te zien.
In Microsoft 365 Defender kunnen alle waarschuwingen van het ene incident worden overgedragen naar een ander, waardoor de incidenten worden samengevoegd. Wanneer deze samenvoeging wordt doorgevoerd, zullen de Microsoft Sentinel-incidenten de wijzigingen weerspiegelen. Het ene incident bevat alle waarschuwingen van beide oorspronkelijke incidenten en het andere incident wordt automatisch gesloten, met de tag 'omgeleid' toegevoegd.
Notitie
Incidenten in Microsoft Sentinel kunnen maximaal 150 waarschuwingen bevatten. Microsoft 365 Defender incidenten kunnen meer dan dit hebben. Als een Microsoft 365 Defender-incident met meer dan 150 waarschuwingen wordt gesynchroniseerd met Microsoft Sentinel, wordt het Sentinel-incident met '150+'-waarschuwingen en wordt een koppeling naar het parallelle incident in Microsoft 365 Defender verstrekt, waar u de volledige set waarschuwingen ziet.
Geavanceerde verzameling van hunting-gebeurtenissen
Met Microsoft 365 Defender-connector kunt u ook geavanceerde hunting-gebeurtenissen ( een type onbewerkte gebeurtenisgegevens) streamen van Microsoft 365 Defender en de services ervan naar Microsoft Sentinel. U kunt momenteel geavanceerde hunting-gebeurtenissen verzamelen van Microsoft Defender for Endpoint en (vanaf oktober 2021) van Microsoft Defender voor Office 365 en deze rechtstreeks naar speciaal gebouwde tabellen in uw Microsoft Sentinel-werkruimte streamen. Deze tabellen zijn gebaseerd op hetzelfde schema dat wordt gebruikt in de Microsoft 365 Defender-portal, zodat u volledige toegang hebt tot de volledige set geavanceerde hunting-gebeurtenissen en u het volgende kunt doen:
Kopieer eenvoudig uw bestaande Microsoft Defender for Endpoint/Office 365 geavanceerde zoekquery's naar Microsoft Sentinel.
Gebruik de onbewerkte gebeurtenislogboeken om meer inzicht te krijgen in uw waarschuwingen, opsporing en onderzoek, en correleer deze gebeurtenissen met gebeurtenissen uit andere gegevensbronnen in Microsoft Sentinel.
Sla de logboeken met verhoogde retentie op, naast de standaardretentieperiode van 30 dagen van Microsoft Defender voor eindpunten/Office 365's of Microsoft 365 Defender's. U kunt dit doen door de retentie van uw werkruimte te configureren of door retentie per tabel in Log Analytics te configureren.
Volgende stappen
In dit document hebt u geleerd hoe u kunt profiteren van het gebruik van Microsoft 365 Defender samen met Microsoft Sentinel, met behulp van de Microsoft 365 Defender-connector.
- Instructies voor het inschakelen van de Microsoft 365 Defender-connector.
- Aangepaste waarschuwingen maken en incidenten onderzoeken.