Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel

  • Artykuł

Integracja zdarzeń usługi Microsoft Defender XDR w usłudze Microsoft Sentinel umożliwia przesyłanie strumieniowe wszystkich zdarzeń XDR usługi Microsoft Defender do usługi Microsoft Sentinel i synchronizowanie ich między obydwoma portalami. Zdarzenia z usługi Microsoft Defender XDR obejmują wszystkie skojarzone alerty, jednostki i istotne informacje, zapewniając wystarczającą ilość kontekstu do przeprowadzenia klasyfikacji i wstępnego badania w usłudze Microsoft Sentinel. Po przejściu do usługi Sentinel zdarzenia pozostaną dwukierunkowo zsynchronizowane z usługą Microsoft Defender XDR, co umożliwi korzystanie z zalet obu portali w ramach badania zdarzeń.

Ta integracja zapewnia zdarzenia zabezpieczeń platformy Microsoft 365, które mają być zarządzane z poziomu usługi Microsoft Sentinel, w ramach podstawowej kolejki zdarzeń w całej organizacji, dzięki czemu można zobaczyć — i skorelować — zdarzenia platformy Microsoft 365 wraz ze wszystkimi innymi systemami w chmurze i lokalnymi. Jednocześnie umożliwia korzystanie z unikatowych mocnych stron i możliwości usługi Microsoft Defender XDR na potrzeby szczegółowych badań oraz środowiska specyficznego dla platformy Microsoft 365 w ekosystemie platformy Microsoft 365. Usługa Microsoft Defender XDR wzbogaca i grupuje alerty z wielu produktów platformy Microsoft 365, zmniejszając zarówno rozmiar kolejki zdarzeń SOC, jak i skracając czas rozwiązywania problemów. Usługi składników będące częścią stosu XDR usługi Microsoft Defender to:

  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Microsoft Defender for Identity
  • Ochrona usługi Office 365 w usłudze Microsoft Defender
  • aplikacje Microsoft Defender dla Chmury
  • Microsoft Defender dla Chmury

Inne usługi, których alerty są zbierane przez usługę Microsoft Defender XDR, to:

Oprócz zbierania alertów z tych składników i innych usług usługa Microsoft Defender XDR generuje własne alerty. Tworzy zdarzenia na podstawie wszystkich tych alertów i wysyła je do usługi Microsoft Sentinel.

Typowe przypadki użycia i scenariusze

  • Dołączanie usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń w portalu Microsoft Defender, której włączenie integracji usługi Microsoft Defender XDR jest wymaganym wczesnym krokiem.

  • Jednym kliknięciem połącz zdarzenia XDR usługi Microsoft Defender, w tym wszystkie alerty i jednostki ze składników XDR usługi Microsoft Defender, do usługi Microsoft Sentinel.

  • Dwukierunkowa synchronizacja między zdarzeniami usługi Sentinel i usługi Microsoft Defender XDR na temat stanu, właściciela i przyczyny zamknięcia.

  • Zastosowanie funkcji grupowania i wzbogacania alertów usługi Microsoft Defender XDR w usłudze Microsoft Sentinel, co skraca czas na rozwiązanie problemu.

  • W kontekście głęboki związek między zdarzeniem usługi Microsoft Sentinel i jego równoległym zdarzeniem XDR w usłudze Microsoft Defender w celu ułatwienia badania w obu portalach.

Połączenie do usługi Microsoft Defender XDR

("Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft" są tutaj przekierowywane).

Zainstaluj rozwiązanie XDR usługi Microsoft Defender dla usługi Microsoft Sentinel i włącz łącznik danych XDR usługi Microsoft Defender w celu zbierania zdarzeń i alertów. Zdarzenia XDR w usłudze Microsoft Defender są wyświetlane w kolejce zdarzeń usługi Microsoft Sentinel z usługą Microsoft Defender XDR (lub jedną z nazw usług składników) w polu Nazwa produktu Alert wkrótce po ich wygenerowaniu w usłudze Microsoft Defender XDR.

  • Wyświetlenie zdarzenia w usłudze Microsoft Sentinel może potrwać do 10 minut od momentu wygenerowania zdarzenia w usłudze Microsoft Defender XDR.

  • Alerty i zdarzenia z usługi Microsoft Defender XDR (te elementy, które wypełniają tabele SecurityAlert i SecurityIncident ) są pozyskiwane i synchronizowane z usługą Microsoft Sentinel bez opłat. W przypadku wszystkich innych typów danych z poszczególnych składników usługi Defender (takich jak zaawansowane tabele wyszukiwania zagrożeń DeviceInfo, DeviceFileEvents, EmailEvents itd.) będą naliczane opłaty za pozyskiwanie.

  • Po włączeniu łącznika XDR usługi Microsoft Defender alerty utworzone przez jego usługi składowe (Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender dla Chmury Apps, Ochrona tożsamości Microsoft Entra) zostanie wysłana do usługi Microsoft Defender XDR i pogrupowana w zdarzenia. Zarówno alerty, jak i zdarzenia będą przepływać do usługi Microsoft Sentinel za pośrednictwem łącznika XDR usługi Microsoft Defender. Jeśli wcześniej włączono którykolwiek z poszczególnych łączników składników, będą one nadal połączone, choć żadne dane nie będą przepływać przez nie.

    Wyjątkiem od tego procesu jest Microsoft Defender dla Chmury. Mimo że integracja z usługą Microsoft Defender XDR oznacza, że otrzymujesz zdarzenia Defender dla Chmury za pośrednictwem usługi Defender XDR, musisz również mieć włączony łącznik Microsoft Defender dla Chmury, aby otrzymywać alerty Defender dla Chmury. Aby uzyskać dostępne opcje i więcej informacji, zobacz Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji XDR w usłudze Microsoft Defender.

  • Podobnie, aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, reguły tworzenia zdarzeń firmy Microsoft zostaną wyłączone dla produktów zintegrowanych z usługą Microsoft Defender XDR (Defender for Endpoint, Defender for Identity, Ochrona usługi Office 365 w usłudze Defender, Defender dla Chmury Apps i Ochrona tożsamości Microsoft Entra) podczas nawiązywania połączenia z usługą Microsoft Defender XDR. Dzieje się tak, ponieważ usługa Defender XDR ma własne reguły tworzenia zdarzeń. Ta zmiana ma następujący potencjalny wpływ:

    • Reguły tworzenia zdarzeń usługi Microsoft Sentinel umożliwiają filtrowanie alertów, które będą używane do tworzenia zdarzeń. Po wyłączeniu tych reguł można zachować funkcję filtrowania alertów, konfigurując dostrajanie alertów w portalu usługi Microsoft Defender lub używając reguł automatyzacji w celu pomijania (zamykania) zdarzeń, których nie chcesz tworzyć.

    • Nie można już wstępnie określić tytułów zdarzeń, ponieważ aparat korelacji XDR usługi Microsoft Defender przewodniczy tworzeniu incydentów i automatycznie nazywa tworzone zdarzenia. Ta zmiana może mieć wpływ na wszystkie utworzone reguły automatyzacji, które używają nazwy zdarzenia jako warunku. Aby uniknąć tej pułapki, użyj kryteriów innych niż nazwa zdarzenia (zalecamy używanie tagów) jako warunków wyzwalania reguł automatyzacji.

Praca ze zdarzeniami XDR w usłudze Microsoft Defender w usłudze Microsoft Sentinel i synchronizacji dwukierunkowej

Zdarzenia XDR w usłudze Microsoft Defender będą wyświetlane w kolejce zdarzeń usługi Microsoft Sentinel o nazwie produktu Microsoft Defender XDR oraz z podobnymi szczegółami i funkcjami do innych zdarzeń usługi Sentinel. Każde zdarzenie zawiera link z powrotem do zdarzenia równoległego w witrynie Microsoft Defender Portal.

W miarę rozwoju zdarzenia w usłudze Microsoft Defender XDR i dodawaniu do niego większej liczby alertów lub jednostek zdarzenie usługi Microsoft Sentinel zostanie odpowiednio zaktualizowane.

Zmiany stanu, przyczyny zamknięcia lub przypisania zdarzenia XDR usługi Microsoft Defender w usłudze Microsoft Defender XDR lub Microsoft Sentinel zostaną odpowiednio zaktualizowane w kolejce zdarzeń innych. Synchronizacja odbędzie się w obu portalach natychmiast po zastosowaniu zmiany zdarzenia bez opóźnień. Może być wymagane odświeżenie w celu wyświetlenia najnowszych zmian.

W usłudze Microsoft Defender XDR wszystkie alerty z jednego zdarzenia mogą być przenoszone do innego, co powoduje scalenie zdarzeń. W przypadku tego scalania zdarzenia usługi Microsoft Sentinel będą odzwierciedlać zmiany. Jedno zdarzenie będzie zawierać wszystkie alerty zarówno z oryginalnych zdarzeń, jak i drugie zdarzenie zostanie automatycznie zamknięte z dodanym tagiem "przekierowany".

Uwaga

Zdarzenia w usłudze Microsoft Sentinel mogą zawierać maksymalnie 150 alertów. Zdarzenia XDR w usłudze Microsoft Defender mogą mieć więcej niż to. Jeśli zdarzenie XDR w usłudze Microsoft Defender z ponad 150 alertami jest synchronizowane z usługą Microsoft Sentinel, zdarzenie usługi Sentinel będzie wyświetlane jako alerty "150+" i udostępni link do zdarzenia równoległego w usłudze Microsoft Defender XDR, w którym zostanie wyświetlony pełny zestaw alertów.

Zaawansowana kolekcja zdarzeń wyszukiwania zagrożeń

Łącznik XDR usługi Microsoft Defender umożliwia również przesyłanie strumieniowe zaawansowanych zdarzeń wyszukiwania zagrożeń — typ nieprzetworzonych danych zdarzeń — z usługi Microsoft Defender XDR i jego usług składników do usługi Microsoft Sentinel. Teraz możesz (od kwietnia 2022 r.) zbierać zaawansowane zdarzenia wyszukiwania zagrożeń ze wszystkich składników XDR usługi Microsoft Defender i przesyłać je strumieniowo bezpośrednio do wbudowanych tabel w obszarze roboczym usługi Microsoft Sentinel. Te tabele są oparte na tym samym schemacie, który jest używany w witrynie Microsoft Defender Portal, zapewniając pełny dostęp do pełnego zestawu zaawansowanych zdarzeń wyszukiwania zagrożeń i umożliwia wykonywanie następujących czynności:

  • Łatwe kopiowanie istniejących zapytań wyszukiwania zagrożeń Ochrona punktu końcowego w usłudze Microsoft Defender/Office 365/Identity/Cloud Apps do usługi Microsoft Sentinel.

  • Użyj nieprzetworzonych dzienników zdarzeń, aby uzyskać szczegółowe informacje dotyczące alertów, wyszukiwania zagrożeń i badania oraz skorelowania tych zdarzeń z innych źródeł danych w usłudze Microsoft Sentinel.

  • Przechowuj dzienniki ze zwiększonym przechowywaniem, poza domyślnym przechowywaniem usługi Microsoft Defender XDR lub jego składników przez 30 dni. Można to zrobić, konfigurując przechowywanie obszaru roboczego lub konfigurując przechowywanie poszczególnych tabel w usłudze Log Analytics.

Następne kroki

W tym dokumencie przedstawiono sposób korzystania z usługi Microsoft Defender XDR razem z usługą Microsoft Sentinel przy użyciu łącznika XDR usługi Microsoft Defender.