Microsoft Defender XDR'den Microsoft Sentinel'e veri Bağlan
Microsoft Sentinel'in olay tümleştirmesi ile Microsoft Defender XDR bağlayıcısı, tüm Microsoft Defender XDR olaylarını ve uyarılarını Microsoft Sentinel'e akışla aktarıp olayları her iki portal arasında eşitlenmiş durumda tutar. Microsoft Defender XDR olayları tüm uyarılarını, varlıklarını ve diğer ilgili bilgileri içerir. Ayrıca Microsoft Defender XDR'nin bileşen hizmetleri Uç Nokta için Microsoft Defender, Kimlik için Microsoft Defender, Office 365 için Microsoft Defender ve Bulut için Microsoft Defender Uygulamalarının yanı sıra Microsoft Purview Veri Kaybı Önleme ve Microsoft Entra Kimlik Koruması gibi diğer hizmetlerden gelen uyarılar. Microsoft Defender XDR bağlayıcısı ayrıca Bulut için Microsoft Defender'dan olaylar getirir, ancak bu olaylardan gelen uyarıları ve varlıkları eşitlemek için Bulut için Microsoft Defender bağlayıcısını etkinleştirmeniz gerekir; aksi takdirde Bulut için Microsoft Defender olaylar boş görünür. Bulut için Microsoft Defender için kullanılabilir bağlayıcılar hakkında daha fazla bilgi edinin.
Bağlayıcı ayrıca yukarıdaki Defender bileşenlerinin tümündekigelişmiş avlanma olaylarını Microsoft Sentinel'e akışla aktarmanıza olanak tanıyarak bu Defender bileşenlerinin gelişmiş tehdit avcılığı sorgularını Microsoft Sentinel'e kopyalamanıza, ek içgörüler sağlamak için Sentinel uyarılarını Defender bileşenlerinin ham olay verileriyle zenginleştirmenize ve günlükleri Log Analytics'te daha fazla saklama ile depolamanıza olanak tanır.
Olay tümleştirmesi ve gelişmiş tehdit avcılığı olay koleksiyonu hakkında daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi.
Microsoft Defender XDR bağlayıcısı genel kullanıma sunuldu.
Dekont
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Önkoşullar
Microsoft Defender XDR önkoşullarında açıklandığı gibi Microsoft Defender XDR için geçerli bir lisansınız olmalıdır.
Kullanıcınıza, günlüklerin akışını yapmak istediğiniz kiracıda Genel Yönetici oluşturucu veya Güvenlik Yönetici oluşturucu rolleri atanmalıdır.
Kullanıcınızın Microsoft Sentinel çalışma alanınızda okuma ve yazma izinleri olmalıdır.
Bağlayıcı ayarlarında herhangi bir değişiklik yapmak için, kullanıcınızın Microsoft Sentinel çalışma alanınızın ilişkilendirildiği aynı Microsoft Entra kiracısının üyesi olması gerekir.
Microsoft Sentinel'deki İçerik Hub'ından Microsoft Defender XDR çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.
MDI aracılığıyla Active Directory eşitleme önkoşulları
Kiracınızın Kimlik için Microsoft Defender eklenmelidir.
MDI algılayıcısını yüklemiş olmanız gerekir.
Microsoft Defender XDR'ye Bağlan
Microsoft Sentinel'de Veri bağlayıcıları'nı seçin, galeriden Microsoft Defender XDR'yi seçin ve Bağlayıcıyı aç sayfasını seçin.
Yapılandırma bölümünde üç bölüm vardır:
olayları ve uyarıları Bağlan Microsoft Defender XDR ile Microsoft Sentinel arasındaki temel tümleştirmeyi etkinleştirir ve iki platform arasındaki olayları ve uyarılarını eşitler.
varlıkları Bağlan şirket içi Active Directory kullanıcı kimliklerinin Kimlik için Microsoft Defender aracılığıyla Microsoft Sentinel ile tümleştirilmesini sağlar.
olayları Bağlan Defender bileşenlerinden ham gelişmiş avlanma olaylarının toplanmasını sağlar.
Bunlar aşağıda daha ayrıntılı olarak açıklanmıştır. Daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi.
olayları ve uyarıları Bağlan
Microsoft Defender XDR olaylarını tüm uyarılarıyla birlikte alıp Microsoft Sentinel olay kuyruğunuza eşitlemek için:
Bu ürünler için tüm Microsoft olay oluşturma kurallarını kapat etiketli onay kutusunu işaretleyin. Olayların çoğaltılmasını önlemek için önerilir.
(Microsoft Defender XDR bağlayıcısı bağlandıktan sonra bu onay kutusu görünmez.)olaylar ve uyarılar Bağlan düğmesini seçin.
Dekont
Microsoft Defender XDR bağlayıcısını etkinleştirdiğinizde, tüm Microsoft Defender XDR bileşenlerinin bağlayıcıları (bu makalenin başında belirtilenler) arka planda otomatik olarak bağlanır. Bileşenlerin bağlayıcılarından birinin bağlantısını kesmek için önce Microsoft Defender XDR bağlayıcısının bağlantısını kesmeniz gerekir.
Microsoft Defender XDR olay verilerini sorgulamak için sorgu penceresinde aşağıdaki deyimi kullanın:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
varlıkları Bağlan
kullanıcı varlıklarını şirket içi Active Directory Microsoft Sentinel'e eşitlemek için Kimlik için Microsoft Defender kullanın.
Kimlik için Microsoft Defender (MDI) aracılığıyla şirket içi Active Directory kullanıcıları eşitleme önkoşullarını karşıladığınızdan emin olun.
UEBA yapılandırma sayfasına git bağlantısını seçin.
Varlık davranışı yapılandırması sayfasında, UEBA'yı henüz etkinleştirmediyseniz, sayfanın üst kısmında iki durumlu düğmeyi Açık konuma getirin.
Active Directory (Önizleme) onay kutusunu işaretleyin ve Uygula'yı seçin.
olayları Bağlan
Uç Nokta için Microsoft Defender veya Office 365 için Microsoft Defender gelişmiş avcılık olaylarını toplamak istiyorsanız, aşağıdaki olay türleri ilgili gelişmiş av tablolarından toplanabilir.
Tabloların onay kutularını toplamak istediğiniz olay türleriyle işaretleyin:
- Uç Nokta için Defender
- Office 365 için Defender
- Kimlik için Defender
- Bulut için Defender Uygulamaları
- Defender uyarıları
Tablo adı Olay türü Deviceınfo İşletim sistemi bilgileri de dahil olmak üzere makine bilgileri DeviceNetworkInfo Fiziksel bağdaştırıcılar, IP ve MAC adreslerinin yanı sıra bağlı ağlar ve etki alanları da dahil olmak üzere cihazların ağ özellikleri DeviceProcessEvents İşlem oluşturma ve ilgili olaylar DeviceNetworkEvents Ağ bağlantısı ve ilgili olaylar DeviceFileEvents Dosya oluşturma, değiştirme ve diğer dosya sistemi olayları DeviceRegistryEvents Kayıt defteri girdilerini oluşturma ve değiştirme DeviceLogonEvents Cihazlarda oturum açma işlemleri ve diğer kimlik doğrulama olayları DeviceImageLoadEvents DLL yükleme olayları DeviceEvents Windows Defender Virüsten Koruma ve açıklardan yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere birden çok olay türü DeviceFileCertificateInfo Uç noktalarda sertifika doğrulama olaylarından alınan imzalı dosyaların sertifika bilgileri Değişiklikleri Uygula'ya tıklayın.
Log Analytics'teki gelişmiş tehdit avcılığı tablolarını sorgulamak için sorgu penceresinde yukarıdaki listeden tablo adını girin.
Veri alımını doğrulama
Bağlayıcı sayfasındaki veri grafı, verileri almakta olduğunuzu gösterir. Olaylar, uyarılar ve olaylar için her biri bir satır gösterdiğini ve olay satırının tüm etkin tablolarda olay hacminin bir toplaması olduğunu fark edeceksiniz. Bağlayıcıyı etkinleştirdikten sonra, daha belirli grafikler oluşturmak için aşağıdaki KQL sorgularını kullanabilirsiniz.
Gelen Microsoft Defender XDR olaylarının grafiği için aşağıdaki KQL sorgusunu kullanın:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Tek bir tablo için olay hacmi grafiği oluşturmak için aşağıdaki KQL sorgusunu kullanın (DeviceEvents tablosunu seçtiğiniz gerekli tabloyla değiştirin):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Sonraki adımlar sekmesinde, eklenmiş bazı yararlı çalışma kitapları, örnek sorgular ve analiz kuralı şablonları bulacaksınız. Bunları yerinde çalıştırabilir veya değiştirip kaydedebilirsiniz.
Sonraki adımlar
Bu belgede, Microsoft Defender XDR bağlayıcısını kullanarak Microsoft Defender XDR olaylarını ve Microsoft Defender bileşen hizmetlerinden gelen gelişmiş tehdit avcılığı olay verilerini Microsoft Sentinel ile tümleştirmeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.