Anslut data från Microsoft 365 Defender till Microsoft Sentinel

Artikel
11/19/2021
4 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Viktigt

Microsoft 365 Defender kallades tidigare för Microsoft Threat Protection eller MTP.

Microsoft Defender för slutpunkt kallades tidigare för Microsoft Defender Avancerat skydd eller MDATP.

Microsoft Defender för Office 365 kallades tidigare för Office 365 Advanced Threat Protection.

Du kan se de gamla namnen som fortfarande används under en viss tidsperiod.

Anteckning

Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).

Bakgrund

Med Microsoft Sentinel-anslutningsappen för Microsoft 365 Defender (M365D) med incidentintegrering kan du strömma alla M365D-incidenter och -aviseringar till Microsoft Sentinel och synkronisera incidenterna mellan båda portalerna. M365D-incidenter omfattar alla deras aviseringar, entiteter och annan relevant information, och de berikas med och grupperar aviseringar från M365D:s komponenttjänster Microsoft Defender för slutpunkt, Microsoft Defender for Identity, Microsoft Defender för Office 365 och Microsoft Defender för molnappar.

Med anslutningsappen kan du också strömma avancerade jakthändelser från Microsoft Defender för slutpunkt och Microsoft Defender för Office 365 till Microsoft Sentinel, så att du kan kopiera de defender-komponenternas avancerade jaktfrågor till Microsoft Sentinel, utöka Sentinel-aviseringar med Defender-komponenternas rådata för att ge ytterligare insikter och lagra loggarna med ökad kvarhållning i Log Analytics.

Mer information om incidentintegrering och insamling av avancerade jaktevenemang finns i Microsoft 365 Defender integrering med Microsoft Sentinel.

Viktigt

Anslutningsappen Microsoft 365 Defender för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

Du måste ha en giltig licens för Microsoft 365 Defender enligt beskrivningen i Microsoft 365 Defender krav.
Du måste vara global administratör eller säkerhetsadministratör i Azure Active Directory.

Anslut till Microsoft 365 Defender

I Microsoft Sentinel väljer du Dataanslutningsappar, Microsoft 365 Defender (förhandsversion) i galleriet och väljer Öppna anslutningssidan.
Under Konfiguration i avsnittet Anslut incidenter & aviseringar väljer du knappen Anslut incidenter & aviseringar.
För att undvika duplicering av incidenter rekommenderar vi att du markerar kryssrutan Inaktivera alla regler för att skapa Microsoft-incidenter för dessa produkter.

Anteckning

När du aktiverar Microsoft 365 Defender-anslutningsappen ansluts alla M365D-komponenters anslutningsappar (de som nämns i början av den här artikeln) automatiskt i bakgrunden. För att kunna koppla från en av komponenternas anslutningsappar måste du först koppla från Microsoft 365 Defender anslutningsappen.
Om du Microsoft 365 Defender om incidentdata använder du följande instruktion i frågefönstret:
```
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
```

Om du vill samla in avancerade jakthändelser från Microsoft Defender för slutpunkt eller Microsoft Defender för Office 365 kan följande typer av händelser samlas in från deras motsvarande avancerade jakttabeller.

Markera kryssrutorna för tabellerna med de händelsetyper som du vill samla in:

Defender för slutpunkt
Defender for Office 365

Tabellnamn	Händelsetyp
DeviceInfo	Datorinformation, inklusive operativsysteminformation
DeviceNetworkInfo	Nätverksegenskaper för enheter, inklusive fysiska nätverkskort, IP- och MAC-adresser, samt anslutna nätverk och domäner
DeviceProcessEvents	Skapa processer och relaterade händelser
DeviceNetworkEvents	Nätverksanslutning och relaterade händelser
DeviceFileEvents	Filskapande, ändring och andra filsystemhändelser
DeviceRegistryEvents	Skapa och ändra registerposter
DeviceLogonEvents	Inloggningar och andra autentiseringshändelser på enheter
DeviceImageLoadEvents	DLL-inläsningshändelser
DeviceEvents	Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller, till exempel Windows Defender Antivirus och sårbarhetsskydd
DeviceFileCertificateInfo	Certifikatinformation för signerade filer som hämtas från certifikatverifieringshändelser på slutpunkter

Tabellnamn	Händelsetyp
EmailAttachmentInfo	Information om filer som är kopplade till e-postmeddelanden
EmailEvents	Microsoft 365 e-posthändelser, inklusive e-postleverans och blockerande händelser
EmailPostDeliveryEvents	Säkerhetshändelser som inträffar efter leverans, när Microsoft 365 har levererat e-postmeddelandena till mottagarens postlåda
EmailUrlInfo	Information om URL:er för e-postmeddelanden

Klicka på Tillämpa ändringar.
Om du vill fråga efter avancerade jakttabeller i Log Analytics anger du tabellnamnet från listan ovan i frågefönstret.

Verifiera datainmatning

Datadiagrammet på anslutningssidan anger att du matar in data. Du ser att den visar en rad vardera för incidenter, aviseringar och händelser, och händelseraden är en sammanställning av händelsevolym över alla aktiverade tabeller. När du har aktiverat anslutningsappen kan du använda följande KQL-frågor för att generera mer specifika grafer.

Använd följande KQL-fråga för ett diagram över inkommande Microsoft 365 Defender incidenter:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

Använd följande KQL-fråga för att generera ett diagram över händelsevolymen för en enskild tabell (ändra tabellen DeviceEvents till önskad tabell):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

På fliken Nästa steg hittar du några användbara arbetsböcker, exempelfrågor och analysregelmallar som har inkluderats. Du kan köra dem direkt eller ändra och spara dem.

Nästa steg

I det här dokumentet har du lärt dig hur du integrerar Microsoft 365 Defender-incidenter och avancerade jakthändelsedata från Microsoft Defender för slutpunkt och Defender för Office 365 i Microsoft Sentinel med hjälp av Microsoft 365 Defender anslutningsappen. Mer information om Microsoft Sentinel finns i följande artiklar:

Lär dig hur du får insyn i dina data och potentiella hot.
Kom igång med att identifiera hot med Microsoft Sentinel.