Microsoft 365 Defender integração com o Microsoft Sentinel

A integração Microsoft 365 Defender de incidentes do Microsoft Sentinel permite transmitir todos os Microsoft 365 Defender incidentes no Microsoft Sentinel e mantê-los sincronizados entre ambos os portais. Incidentes de Microsoft 365 Defender incluem todos os alertas associados, entidades e informações relevantes, fornecendo-lhe contexto suficiente para realizar triagem e investigação preliminar no Microsoft Sentinel. Uma vez em Sentinel, os incidentes permanecerão bi-direccionalmente sincronizados com Microsoft 365 Defender, permitindo-lhe tirar partido dos benefícios de ambos os portais na sua investigação de incidentes.

Esta integração dá à Microsoft 365 incidentes de segurança a visibilidade a ser gerida a partir do Microsoft Sentinel, como parte da fila principal de incidentes em toda a organização, para que possa ver – e correlacionar – incidentes da Microsoft 365 juntamente com os de todos os seus outros sistemas de cloud e on-in. Ao mesmo tempo, permite-lhe tirar partido dos pontos fortes e das capacidades únicas de Microsoft 365 Defender para investigações aprofundadas e uma experiência específica da Microsoft 365 em todo o ecossistema microsoft 365. Microsoft 365 Defender enriquece e agruina alertas de vários produtos Microsoft 365, reduzindo o tamanho da fila de incidentes do SOC e encurtando o tempo para resolver. Os serviços de componentes que fazem parte da pilha Microsoft 365 Defender são:

• Microsoft Defender para Endpoint (anteriormente Microsoft Defender ATP)
• Microsoft Defender para Identidade (anteriormente Azure ATP)
• Microsoft Defender para Office 365 (anteriormente Office 365 ATP)
• Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security)

Outros serviços cujos alertas são recolhidos por Microsoft 365 Defender incluem:

• Prevenção de Perda de Dados do Microsoft Purview (DLP) (Saiba mais)

Além de recolher alertas destes componentes e outros serviços, Microsoft 365 Defender gera alertas próprios. Cria incidentes a partir de todos estes alertas e envia-os para o Microsoft Sentinel.

Importante

O conector Microsoft 365 Defender encontra-se atualmente em PREVIEW. Consulte os Termos De Utilização Suplementares para o Microsoft Azure Previews para termos legais adicionais que se aplicam às funcionalidades Azure que estejam em versão beta, pré-visualização ou de outra forma ainda não lançadas para a disponibilidade geral.

Casos e cenários de uso comum

• Ligação de um clique de Microsoft 365 Defender incidentes, incluindo todos os alertas e entidades de componentes Microsoft 365 Defender, para o Microsoft Sentinel.

• Sincronização bidis entre Sentinel e Microsoft 365 Defender incidentes em estado, proprietário e razão de fecho.

• A aplicação de Microsoft 365 Defender capacidades de agrupamento e enriquecimento de alerta no Microsoft Sentinel, reduzindo assim o tempo para resolver.

• No contexto, uma ligação profunda entre um incidente do Microsoft Sentinel e o seu incidente paralelo Microsoft 365 Defender, para facilitar as investigações em ambos os portais.

Ligação à Microsoft 365 Defender

Uma vez que tenha ativado o conector de dados Microsoft 365 Defender para recolher incidentes e alertas, Microsoft 365 Defender incidentes aparecerão na fila de incidentes do Microsoft Sentinel, com Microsoft 365 Defender no campo de nome do Produto, pouco depois de serem gerados em Microsoft 365 Defender.

• Pode demorar até 10 minutos a partir do momento em que um incidente é gerado em Microsoft 365 Defender até ao momento em que aparece no Microsoft Sentinel.

• Os incidentes serão ingeridos e sincronizados sem custos adicionais.

Uma vez ligada a integração Microsoft 365 Defender, todos os conectores de alerta de componentes (Defender para Endpoint, Defender para identidade, Defender para Office 365, Defender para Aplicações Cloud) serão automaticamente ligados em segundo plano se ainda não o tivessem feito. Se alguma licença de componente tiver sido comprada após Microsoft 365 Defender foi conectado, os alertas e incidentes do novo produto continuarão a fluir para o Microsoft Sentinel sem nenhuma configuração ou carga adicional.

Microsoft 365 Defender incidentes e regras de criação de incidentes da Microsoft

• Incidentes gerados por Microsoft 365 Defender, com base em alertas provenientes de produtos de segurança Microsoft 365, são criados usando a lógica Microsoft 365 Defender personalizada.

• As regras de criação de incidentes da Microsoft no Microsoft Sentinel também criam incidentes a partir dos mesmos alertas, utilizando (uma lógica personalizada) personalizada do Microsoft Sentinel.

• A utilização de ambos os mecanismos em conjunto é totalmente apoiada e pode ser usada para facilitar a transição para a nova lógica de criação de incidentes Microsoft 365 Defender. Ao fazê-lo, no entanto, criará incidentes duplicados para os mesmos alertas.

• Para evitar a criação de incidentes duplicados para os mesmos alertas, recomendamos que os clientes desliguem todas as regras de criação de incidentes da Microsoft para produtos Microsoft 365 (Defender para Endpoint, Defender para identidade e Defender para Office 365, e Defender para Aplicações Cloud) ao ligarem Microsoft 365 Defender. Isto pode ser feito desativando a criação de incidentes na página do conector. Tenha em mente que, se o fizer, quaisquer filtros que foram aplicados pelas regras de criação de incidentes não serão aplicados à integração Microsoft 365 Defender incidentes.

  Nota

  Todos os tipos de alerta Microsoft Defender for Cloud Apps estão agora a bordo para Microsoft 365 Defender.

Trabalhando com Microsoft 365 Defender incidentes no Microsoft Sentinel e sincronização bidisal

Microsoft 365 Defender incidentes aparecerão na fila de incidentes do Microsoft Sentinel com o nome do produto Microsoft 365 Defender, e com detalhes e funcionalidades semelhantes a quaisquer outros incidentes do Sentinel. Cada incidente contém uma ligação com o incidente paralelo no portal Microsoft 365 Defender.

À medida que o incidente evolui em Microsoft 365 Defender, e mais alertas ou entidades são adicionados ao mesmo, o incidente do Microsoft Sentinel será atualizado em conformidade.

As alterações efetuadas ao estado, ao motivo de encerramento ou à atribuição de um incidente microsoft 365, em Microsoft 365 Defender ou Microsoft Sentinel, também serão atualizadas em conformidade na fila de incidentes do outro. A sincronização terá lugar em ambos os portais imediatamente após a alteração do incidente, sem demora. Poderá ser necessária uma atualização para ver as últimas alterações.

Em Microsoft 365 Defender, todos os alertas de um incidente podem ser transferidos para outro, resultando na fusão dos incidentes. Quando esta fusão acontecer, os incidentes do Microsoft Sentinel refletirão as alterações. Um incidente conterá todos os alertas de ambos os incidentes originais, e o outro incidente será automaticamente encerrado, com uma etiqueta de "redirecionado" adicionado.

Nota

Incidentes no Microsoft Sentinel podem conter um máximo de 150 alertas. Microsoft 365 Defender incidentes podem ter mais do que isto. Se um incidente Microsoft 365 Defender com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Sentinel mostrará como tendo alertas "150+" e fornecerá uma ligação ao incidente paralelo em Microsoft 365 Defender onde verá o conjunto completo de alertas.

Coleção avançada de eventos de caça

O conector Microsoft 365 Defender também permite transmitir eventos de caça avançados - um tipo de dados de eventos brutos - de Microsoft 365 Defender e seus serviços de componentes para o Microsoft Sentinel. Agora pode (a partir de abril de 2022) recolher eventos de caça avançados de todos os componentes Microsoft 365 Defender, e transmiti-los diretamente para mesas construídas de propósito no seu espaço de trabalho Microsoft Sentinel. Estas tabelas são construídas sobre o mesmo esquema que é usado no portal Microsoft 365 Defender, dando-lhe acesso completo a todo o conjunto de eventos de caça avançados, e permitindo-lhe fazer o seguinte:

• Copie facilmente as suas consultas de caça avançadas Microsoft Defender para Endpoint/Office 365/Identidade/Cloud em aplicativos de caça no Microsoft Sentinel.

• Utilize os registos de eventos brutos para fornecer mais informações sobre os seus alertas, caça e investigação, e correlacionar estes eventos com eventos de outras fontes de dados no Microsoft Sentinel.

• Guarde os registos com uma retenção aumentada, para além da retenção padrão de 30 dias da Microsoft 365 Defender ou dos seus componentes. Pode fazê-lo configurando a retenção do seu espaço de trabalho ou configurando a retenção por mesa no Log Analytics.

Passos seguintes

Neste documento, aprendeu a beneficiar-se da utilização de Microsoft 365 Defender juntamente com o Microsoft Sentinel, utilizando o conector Microsoft 365 Defender.

• Obtenha instruções para ativar o conector Microsoft 365 Defender.
• Crie alertas personalizados e investigue incidentes.