Интеграция XDR в Microsoft Defender с Microsoft Sentinel

  • Статья

Интеграция инцидентов XDR в Microsoft Sentinel в Microsoft Sentinel позволяет передавать все инциденты XDR в Microsoft Sentinel и поддерживать их синхронизацию между обоими порталами. Инциденты из XDR в Microsoft Defender включают все связанные оповещения, сущности и соответствующие сведения, предоставляя достаточно контекста для выполнения трижа и предварительного расследования в Microsoft Sentinel. После того как в Sentinel инциденты останутся двунаправленными синхронизированными с XDR в Microsoft Defender, что позволяет воспользоваться преимуществами обоих порталов в расследовании инцидентов.

Такая интеграция обеспечивает видимость инцидентов Microsoft 365 и управление ими в Microsoft Sentinel в рамках основной очереди инцидентов для всей организации. Это позволяет отслеживать и сопоставлять инциденты Microsoft 365 с инцидентами в других ваших облачных и локальных системах. В то же время это позволяет воспользоваться уникальными преимуществами и возможностями XDR в Microsoft Defender для подробных исследований и взаимодействия с Microsoft 365 в экосистеме Microsoft 365. XDR в Microsoft Defender обогатляет и группирует оповещения из нескольких продуктов Microsoft 365, уменьшая размер очереди инцидентов SOC и сокращая время разрешения. Ниже перечислены службы компонентов, которые являются частью стека XDR в Microsoft Defender:

  • Microsoft Defender для конечной точки
  • Microsoft Defender для удостоверений
  • Microsoft Defender для Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для облака

Другие службы, оповещения которых собираются XDR в Microsoft Defender, включают:

Помимо сбора оповещений из этих компонентов и других служб, XDR в Microsoft Defender создает собственные оповещения. На основе всех этих оповещений оно создает инциденты и отправляет их в Microsoft Sentinel.

Распространенные варианты использования и сценарии

  • Подключение Microsoft Sentinel к единой платформе операций безопасности на портале Microsoft Defender, в которой интеграция XDR в Microsoft Defender является обязательным шагом.

  • Один щелчок подключения инцидентов XDR в Microsoft Defender, включая все оповещения и сущности из компонентов XDR Microsoft Defender, в Microsoft Sentinel.

  • Двунаправленная синхронизация между Sentinel и инцидентами XDR в Microsoft Defender по состоянию, владельцу и закрытию причины.

  • Применение возможностей группирования и обогащения оповещений Microsoft Defender XDR в Microsoft Sentinel, что сокращает время разрешения.

  • В контексте глубокая связь между инцидентом Microsoft Sentinel и параллельным инцидентом XDR в Microsoft Defender для упрощения расследований на обоих порталах.

Подключение xDR в Microsoft Defender

(Здесь перенаправляются инциденты XDR в Microsoft Defender и правила создания инцидентов Майкрософт.)

Установите решение XDR в Microsoft Defender для Microsoft Sentinel и включите соединитель данных XDR в Microsoft Defender для сбора инцидентов и оповещений. Инциденты XDR в Microsoft Defender отображаются в очереди инцидентов Microsoft Sentinel с XDR Microsoft Defender (или одним из имен служб компонентов) в поле имени продукта генерации оповещений вскоре после создания в Microsoft Defender XDR.

  • Это может занять до 10 минут с момента создания инцидента в XDR в Microsoft Defender до времени его появления в Microsoft Sentinel.

  • Оповещения и инциденты из XDR в Microsoft Defender (те элементы, которые заполняют таблицы SecurityAlert и SecurityIncident ), обрабатываются и синхронизируются с Microsoft Sentinel без платы. Для всех остальных типов данных из отдельных компонентов Defender (например, DeviceInfo , DeviceFileEvents, EmailEvents и т. д.), будет взиматься плата за прием.

  • Если соединитель XDR в Microsoft Defender включен, оповещения, созданные службами компонентов (Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender для облака приложений, Защита идентификации Microsoft Entra) будут отправлены в XDR в Microsoft Defender и сгруппированы в инциденты. Оповещения и инциденты будут передаваться в Microsoft Sentinel через соединитель XDR в Microsoft Defender. Если вы включили любой из соединителей отдельных компонентов заранее, они будут оставаться подключенными, хотя данные не будут передаваться через них.

    Исключением из этого процесса является Microsoft Defender для облака. Хотя интеграция с XDR в Microsoft Defender означает, что вы получаете Defender для облака инциденты через XDR Defender, для получения Defender для облака оповещений также необходимо включить соединитель Microsoft Defender для облака. Доступные варианты и дополнительные сведения см. в разделе "Прием инцидентов Microsoft Defender для облака с интеграцией XDR в Microsoft Defender".

  • Аналогичным образом, чтобы избежать создания повторяющихся инцидентов для одинаковых оповещений, правила создания инцидентов Майкрософт будут отключены для продуктов, интегрированных с Microsoft Defender XDR (Defender для конечной точки, Defender для удостоверений, Defender для Office 365, Defender для облака приложений и Защита идентификации Microsoft Entra) при подключении XDR в Microsoft Defender. Это связано с тем, что XDR Defender имеет собственные правила создания инцидентов. Это изменение может повлиять на следующие потенциальные последствия:

    • Правила создания инцидентов Microsoft Sentinel позволяют фильтровать оповещения, которые будут использоваться для создания инцидентов. Если эти правила отключены, вы можете сохранить возможность фильтрации оповещений, настроив настройку оповещений на портале Microsoft Defender или используя правила автоматизации для подавления (закрытия) инцидентов, которые не нужны.

    • Вы больше не можете предопределить названия инцидентов, так как подсистема корреляции XDR в Microsoft Defender председательствует над созданием инцидентов и автоматически именует созданные инциденты. Это изменение может повлиять на все правила автоматизации, созданные вами, которые используют имя инцидента в качестве условия. Чтобы избежать этой ошибки, используйте критерии, отличные от имени инцидента (мы рекомендуем использовать теги) в качестве условий для активации правил автоматизации.

Работа с инцидентами XDR в Microsoft Sentinel и двунаправленной синхронизации

Инциденты XDR в Microsoft Defender будут отображаться в очереди инцидентов Microsoft Sentinel с именем продукта XDR в Microsoft Defender, а также с аналогичными сведениями и функциональными возможностями для любых других инцидентов Sentinel. Каждый инцидент содержит ссылку обратно на параллельный инцидент на портале Microsoft Defender.

По мере развития инцидента в XDR в Microsoft Defender и добавления в него дополнительных оповещений или сущностей инцидент Microsoft Sentinel будет обновляться соответствующим образом.

Изменения, внесенные в состояние, закрытие или назначение инцидента XDR в Microsoft Defender xDR или Microsoft Sentinel, будут также обновляться в очереди инцидентов другого. Синхронизация будет выполняться на обоих порталах сразу после внесения изменений в инцидент, без дополнительной задержки. Для просмотра последних изменений может потребоваться обновление страницы.

В Microsoft Defender XDR все оповещения из одного инцидента могут быть переданы другому, что приводит к слиянию инцидентов. Такое слияние инцидентов также будет отражено в Microsoft Sentinel. Один инцидент будет содержать все оповещения из обоих исходных инцидентов, а другой будет автоматически закрыт с добавлением тега redirected (перенаправлено).

Примечание.

Инциденты в Microsoft Sentinel могут содержать не более 150 оповещений. Инциденты XDR в Microsoft Defender могут иметь больше, чем это. Если инцидент XDR в Microsoft Defender с более чем 150 оповещениями синхронизируется с Microsoft Sentinel, инцидент Sentinel будет отображаться как наличие оповещений "150+" и предоставит ссылку на параллельный инцидент в XDR Microsoft Defender, где вы увидите полный набор оповещений.

Сбор событий расширенной охоты

Соединитель XDR в Microsoft Defender также позволяет передавать расширенные события охоты — тип необработанных данных событий — от XDR в Microsoft Defender XDR и его службы компонентов в Microsoft Sentinel. Теперь вы можете (начиная с апреля 2022 г.) собирать расширенные события охоты со всех компонентов XDR в Microsoft Defender и передавать их прямо в встроенные таблицы в рабочей области Microsoft Sentinel. Эти таблицы основаны на той же схеме, которая используется на портале Microsoft Defender, предоставляя полный доступ к полному набору расширенных событий охоты и позволяя выполнять следующие действия:

  • Без затруднений копируйте существующие запросы расширенной охоты Microsoft Defender для конечной точки/Office 365/идентификатора/облачных приложений в Microsoft Sentinel.

  • Использовать необработанные журналы событий, чтобы получать дополнительные сведения об оповещениях, охоте и расследовании инцидентов, а также сопоставлять эти события в Microsoft Sentinel с событиями из других источников данных.

  • Сохраните журналы с повышенным сроком хранения, помимо хранения XDR в Microsoft Defender или его компонентов по умолчанию в 30 дней. Для этого можно настроить срок хранения рабочей области или срок хранения для каждой таблицы в Log Analytics.

Следующие шаги

В этом документе вы узнали, как использовать XDR в Microsoft Defender вместе с Microsoft Sentinel с помощью соединителя XDR в Microsoft Defender.