Microsoft 365 Defender integrering med Microsoft Sentinel

Incidentintegrering

Med Microsoft Sentinels integrering Microsoft 365 Defender incidenter kan du strömma alla Microsoft 365 Defender incidenter till Microsoft Sentinel och hålla dem synkroniserade mellan båda portalerna. Incidenter från Microsoft 365 Defender (kallades tidigare Microsoft Threat Protection eller MTP) omfattar alla associerade aviseringar, entiteter och relevant information, vilket ger dig tillräcklig kontext för att utföra en undersökning i Microsoft Sentinel. I Sentinel synkroniseras incidenter med Microsoft 365 Defender i båda riktningarna, så att du kan dra nytta av fördelarna med båda portalerna i incidentundersökningen.

Den här integreringen ger Microsoft 365-säkerhetsincidenter insynen att hanteras inifrån Microsoft Sentinel, som en del av den primära incidentkön i hela organisationen, så att du kan se – och korrelera – Microsoft 365-incidenter tillsammans med incidenter från alla dina andra molnsystem och lokala system. Samtidigt kan du dra nytta av de unika fördelarna och funktionerna i Microsoft 365 Defender för djupgående undersökningar och en Microsoft 365 specifik upplevelse i Microsoft 365 ekosystemet. Microsoft 365 Defender utökar och grupperar aviseringar från flera Microsoft 365-produkter, både genom att minska storleken på SOC:s incidentkö och förkorta tiden för att lösa problemet. De komponenttjänster som ingår i Microsoft 365 Defender stacken är:

• Microsoft Defender för slutpunkt (tidigare Microsoft Defender ATP)
• Microsoft Defender for Identity (tidigare Azure ATP)
• Microsoft Defender för Office 365 (tidigare Office 365 ATP)
• Microsoft Defender för Cloud Apps

Förutom att samla in aviseringar från dessa komponenter Microsoft 365 Defender generera egna aviseringar. Den skapar incidenter från alla dessa aviseringar och skickar dem till Microsoft Sentinel.

Vanliga användningsfall och scenarier

• Anslutning med ett klick av Microsoft 365 Defender incidenter, inklusive alla aviseringar och entiteter från Microsoft 365 Defender-komponenter, till Microsoft Sentinel.

• Dubbelriktad synkronisering mellan Sentinel och Microsoft 365 Defender incidenter med status, ägare och stängningsorsak.

• Tillämpning av Microsoft 365 Defender funktioner för aviseringsgruppering och berikning i Microsoft Sentinel, vilket minskar tiden för att lösa problemet.

• Djupgående länk mellan en Microsoft Sentinel-incident och dess parallella Microsoft 365 Defender incident för att underlätta utredningar i båda portalerna.

Ansluta till Microsoft 365 Defender

När du har aktiverat Microsoft 365 Defender-dataanslutningen för att samla in incidenter och aviseringar visasMicrosoft 365 Defender-incidenter i Microsoft Sentinel-incidentkön, med Microsoft 365 Defender i fältet Produktnamn strax efter att de har genererats i Microsoft 365 Defender.

• Det kan ta upp till 10 minuter från det att en incident genereras Microsoft 365 Defender tills den visas i Microsoft Sentinel.

• Incidenter matas in och synkroniseras utan extra kostnad.

När Microsoft 365 Defender-integreringen är ansluten ansluts alla anslutningsappar för komponentaviseringar (Defender för slutpunkt, Defender för identitet, Defender för Office 365, Defender for Cloud Apps) automatiskt i bakgrunden om de inte redan har gjort det. Om några komponentlicenser har köpts efter Microsoft 365 Defender har anslutits kommer aviseringarna och incidenterna från den nya produkten fortfarande att flöda till Microsoft Sentinel utan ytterligare konfiguration eller kostnad.

Microsoft 365 Defender incidenter och regler för att skapa incidenter från Microsoft

• Incidenter som genereras Microsoft 365 Defender, baserat på aviseringar som kommer Microsoft 365 säkerhetsprodukter, skapas med hjälp av anpassad Microsoft 365 Defender logik.

• Microsofts regler för att skapa incidenter i Microsoft Sentinel skapar också incidenter från samma aviseringar med hjälp av (en annan) anpassad Microsoft Sentinel-logik.

• Att använda båda mekanismerna tillsammans stöds helt och kan användas för att underlätta övergången till den nya Microsoft 365 Defender logiken för att skapa incidenter. Om du gör det skapas dock dubbla incidenter för samma aviseringar.

• För att undvika att duplicerade incidenter skapas för samma aviseringar rekommenderar vi att kunderna inaktiverar alla microsofts regler för att skapa incidenter för Microsoft 365-produkter (Defender för slutpunkt, Defender för identitet och Defender för Office 365 och Defender för molnappar) när de ansluter Microsoft 365 Defender. Det kan du göra genom att inaktivera incidentskapande på anslutningssidan. Tänk på att om du gör det tillämpas inte filter som tillämpades av reglerna för att skapa incidenter Microsoft 365 Defender incidentintegreringen.

  Anteckning

  Alla aviseringstyper för Microsoft Defender for Cloud Apps publiceras nu på Microsoft 365 Defender.

Arbeta med Microsoft 365 Defender incidenter i Microsoft Sentinel och dubbelriktad synkronisering

Microsoft 365 Defender incidenter visas i kön Microsoft Sentinel-incidenter med produktnamnet Microsoft 365 Defender, och med liknande information och funktioner som andra Sentinel-incidenter. Varje incident innehåller en länk tillbaka till den parallella incidenten i Microsoft 365 Defender portalen.

Allt eftersom incidenten utvecklas i Microsoft 365 Defender och fler aviseringar eller entiteter läggs till, kommer Microsoft Sentinel-incidenten att uppdateras i enlighet med detta.

Ändringar som görs i status, stängningsorsak eller tilldelning av en Microsoft 365-incident i antingen Microsoft 365 Defender eller Microsoft Sentinel uppdateras på motsvarande sätt i den andra incidentkön. Synkroniseringen sker i båda portalerna omedelbart efter att ändringen av incidenten har tillämpats, utan fördröjning. En uppdatering kan krävas för att se de senaste ändringarna.

I Microsoft 365 Defender kan alla aviseringar från en incident överföras till en annan, vilket resulterar i att incidenterna slås samman. När den här sammanslagningen sker återspeglar Microsoft Sentinel-incidenterna ändringarna. En incident innehåller alla aviseringar från både ursprungliga incidenter och den andra incidenten stängs automatiskt, med taggen "omdirigerad" tillagd.

Avancerad insamling av jakthändelse

Med Microsoft 365 Defender-anslutningsappen kan du även strömma avancerade jakthändelser – en typ av rådata – från Microsoft 365 Defender och dess komponenttjänster till Microsoft Sentinel. För närvarande kan du samla in avancerade jakthändelser från Microsoft Defender för slutpunkt och (från oktober 2021) från Microsoft Defender för Office 365 och strömma dem direkt till specialbyggda tabeller på din Microsoft Sentinel-arbetsyta. Dessa tabeller bygger på samma schema som används i Microsoft 365 Defender-portalen, vilket ger dig fullständig åtkomst till en fullständig uppsättning avancerade jaktevenemang och gör att du kan göra följande:

• Kopiera enkelt dina befintliga Microsoft Defender for Endpoint/Office 365 avancerade jaktfrågor till Microsoft Sentinel.

• Använd råhändelseloggarna för att ge ytterligare insikter om aviseringar, jakt och undersökning och korrelera dessa händelser med händelser från andra datakällor i Microsoft Sentinel.

• Lagra loggarna med ökad kvarhållning utöver Microsoft Defender för Office 365 eller flera Microsoft 365 Defender kvarhållning i 30 dagar. Du kan göra det genom att konfigurera kvarhållning av din arbetsyta eller genom att konfigurera kvarhållning per tabell i Log Analytics.

Nästa steg

I det här dokumentet har du lärt dig hur du kan dra nytta av att använda Microsoft 365 Defender tillsammans med Microsoft Sentinel med hjälp av Microsoft 365 Defender anslutningsappen.

• Få anvisningar för att aktivera Microsoft 365 Defender anslutningsappen.
• Skapa anpassade aviseringar och undersöka incidenter.