Microsoft Defender XDR'den Microsoft Sentinel'e veri Bağlan

Microsoft Sentinel'in olay tümleştirmesi ile Microsoft Defender XDR bağlayıcısı, tüm Microsoft Defender XDR olaylarını ve uyarılarını Microsoft Sentinel'e akışla aktarıp olayları her iki portal arasında eşitlenmiş durumda tutar. Microsoft Defender XDR olayları tüm uyarılarını, varlıklarını ve diğer ilgili bilgileri içerir. Ayrıca Microsoft Defender XDR'nin bileşen hizmetleri Uç Nokta için Microsoft Defender, Kimlik için Microsoft Defender, Office 365 için Microsoft Defender ve Bulut için Microsoft Defender Uygulamalarının yanı sıra Microsoft Purview Veri Kaybı Önleme ve Microsoft Entra Kimlik Koruması gibi diğer hizmetlerden gelen uyarılar. Microsoft Defender XDR bağlayıcısı ayrıca Bulut için Microsoft Defender'dan olaylar getirir, ancak bu olaylardan gelen uyarıları ve varlıkları eşitlemek için Bulut için Microsoft Defender bağlayıcısını etkinleştirmeniz gerekir; aksi takdirde Bulut için Microsoft Defender olaylar boş görünür. Bulut için Microsoft Defender için kullanılabilir bağlayıcılar hakkında daha fazla bilgi edinin.

Bağlayıcı ayrıca yukarıdaki Defender bileşenlerinin tümündekigelişmiş avlanma olaylarını Microsoft Sentinel'e akışla aktarmanıza olanak tanıyarak bu Defender bileşenlerinin gelişmiş tehdit avcılığı sorgularını Microsoft Sentinel'e kopyalamanıza, ek içgörüler sağlamak için Sentinel uyarılarını Defender bileşenlerinin ham olay verileriyle zenginleştirmenize ve günlükleri Log Analytics'te daha fazla saklama ile depolamanıza olanak tanır.

Olay tümleştirmesi ve gelişmiş tehdit avcılığı olay koleksiyonu hakkında daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi.

Microsoft Defender XDR bağlayıcısı genel kullanıma sunuldu.

Dekont

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önkoşullar

• Microsoft Defender XDR önkoşullarında açıklandığı gibi Microsoft Defender XDR için geçerli bir lisansınız olmalıdır.

• Kullanıcınıza, günlüklerin akışını yapmak istediğiniz kiracıda Genel Yönetici oluşturucu veya Güvenlik Yönetici oluşturucu rolleri atanmalıdır.

• Kullanıcınızın Microsoft Sentinel çalışma alanınızda okuma ve yazma izinleri olmalıdır.

• Bağlayıcı ayarlarında herhangi bir değişiklik yapmak için, kullanıcınızın Microsoft Sentinel çalışma alanınızın ilişkilendirildiği aynı Microsoft Entra kiracısının üyesi olması gerekir.

• Microsoft Sentinel'deki İçerik Hub'ından Microsoft Defender XDR çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

MDI aracılığıyla Active Directory eşitleme önkoşulları

• Kiracınızın Kimlik için Microsoft Defender eklenmelidir.

• MDI algılayıcısını yüklemiş olmanız gerekir.

Microsoft Defender XDR'ye Bağlan

Microsoft Sentinel'de Veri bağlayıcıları'nı seçin, galeriden Microsoft Defender XDR'yi seçin ve Bağlayıcıyı aç sayfasını seçin.

Yapılandırma bölümünde üç bölüm vardır:

1. olayları ve uyarıları Bağlan Microsoft Defender XDR ile Microsoft Sentinel arasındaki temel tümleştirmeyi etkinleştirir ve iki platform arasındaki olayları ve uyarılarını eşitler.

2. varlıkları Bağlan şirket içi Active Directory kullanıcı kimliklerinin Kimlik için Microsoft Defender aracılığıyla Microsoft Sentinel ile tümleştirilmesini sağlar.

3. olayları Bağlan Defender bileşenlerinden ham gelişmiş avlanma olaylarının toplanmasını sağlar.

Bunlar aşağıda daha ayrıntılı olarak açıklanmıştır. Daha fazla bilgi için bkz . Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi.

olayları ve uyarıları Bağlan

Microsoft Defender XDR olaylarını tüm uyarılarıyla birlikte alıp Microsoft Sentinel olay kuyruğunuza eşitlemek için:

1. Bu ürünler için tüm Microsoft olay oluşturma kurallarını kapat etiketli onay kutusunu işaretleyin. Olayların çoğaltılmasını önlemek için önerilir.
   (Microsoft Defender XDR bağlayıcısı bağlandıktan sonra bu onay kutusu görünmez.)

2. olaylar ve uyarılar Bağlan düğmesini seçin.

Dekont

Microsoft Defender XDR bağlayıcısını etkinleştirdiğinizde, tüm Microsoft Defender XDR bileşenlerinin bağlayıcıları (bu makalenin başında belirtilenler) arka planda otomatik olarak bağlanır. Bileşenlerin bağlayıcılarından birinin bağlantısını kesmek için önce Microsoft Defender XDR bağlayıcısının bağlantısını kesmeniz gerekir.

Microsoft Defender XDR olay verilerini sorgulamak için sorgu penceresinde aşağıdaki deyimi kullanın:

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

varlıkları Bağlan

kullanıcı varlıklarını şirket içi Active Directory Microsoft Sentinel'e eşitlemek için Kimlik için Microsoft Defender kullanın.

Kimlik için Microsoft Defender (MDI) aracılığıyla şirket içi Active Directory kullanıcıları eşitleme önkoşullarını karşıladığınızdan emin olun.

1. UEBA yapılandırma sayfasına git bağlantısını seçin.

2. Varlık davranışı yapılandırması sayfasında, UEBA'yı henüz etkinleştirmediyseniz, sayfanın üst kısmında iki durumlu düğmeyi Açık konuma getirin.

3. Active Directory (Önizleme) onay kutusunu işaretleyin ve Uygula'yı seçin.

   

olayları Bağlan

Uç Nokta için Microsoft Defender veya Office 365 için Microsoft Defender gelişmiş avcılık olaylarını toplamak istiyorsanız, aşağıdaki olay türleri ilgili gelişmiş av tablolarından toplanabilir.

1. Tabloların onay kutularını toplamak istediğiniz olay türleriyle işaretleyin:

   Uç Nokta için Defender

   Tablo adı	Olay türü
   Deviceınfo	İşletim sistemi bilgileri de dahil olmak üzere makine bilgileri
   DeviceNetworkInfo	Fiziksel bağdaştırıcılar, IP ve MAC adreslerinin yanı sıra bağlı ağlar ve etki alanları da dahil olmak üzere cihazların ağ özellikleri
   DeviceProcessEvents	İşlem oluşturma ve ilgili olaylar
   DeviceNetworkEvents	Ağ bağlantısı ve ilgili olaylar
   DeviceFileEvents	Dosya oluşturma, değiştirme ve diğer dosya sistemi olayları
   DeviceRegistryEvents	Kayıt defteri girdilerini oluşturma ve değiştirme
   DeviceLogonEvents	Cihazlarda oturum açma işlemleri ve diğer kimlik doğrulama olayları
   DeviceImageLoadEvents	DLL yükleme olayları
   DeviceEvents	Windows Defender Virüsten Koruma ve açıklardan yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere birden çok olay türü
   DeviceFileCertificateInfo	Uç noktalarda sertifika doğrulama olaylarından alınan imzalı dosyaların sertifika bilgileri

   Office 365 için Defender

   Tablo adı	Olay türü
   EmailAttachmentInfo	E-postalara eklenen dosyalar hakkında bilgi
   EmailEvents	E-posta teslimi ve engelleme olayları da dahil olmak üzere Microsoft 365 e-posta olayları
   EmailPostDeliveryEvents	Microsoft 365 e-postaları alıcı posta kutusuna teslim ettikten sonra teslim sonrasında gerçekleşen güvenlik olayları
   EmailUrlInfo	E-postalardaki URL'ler hakkında bilgi

   Kimlik için Defender

   Tablo adı	Olay türü
   IdentityDirectoryEvents	Şirket içi Active Directory etki alanı denetleyicisinden yakalanan parola değişiklikleri, parola süre sonu ve kullanıcı asıl adı (UPN) değişiklikleri gibi kimlikle ilgili çeşitli olaylar Ayrıca etki alanı denetleyicisindeki sistem olaylarını da içerir
   IdentityInfo	Microsoft Entra Id dahil olmak üzere çeşitli hizmetlerden alınan kullanıcı hesapları hakkında bilgi
   IdentityLogonEvents	şirket içi Active Directory tarafından yakalanan kimlik doğrulama etkinlikleri Kimlik için Microsoft Defender Bulut için Microsoft Defender Uygulamaları tarafından yakalanan Microsoft çevrimiçi hizmetler ile ilgili kimlik doğrulama etkinlikleri
   IdentityQueryEvents	Kullanıcılar, gruplar, cihazlar ve etki alanları gibi Active Directory nesnelerine karşı gerçekleştirilen sorgular hakkında bilgi

   Bulut için Defender Uygulamaları

   Tablo adı	Olay türü
   CloudAppEvents	Bulut için Microsoft Defender Uygulamaları kapsamındaki çeşitli bulut uygulamaları ve hizmetlerindeki etkinlikler hakkında bilgi

   Defender uyarıları

   Tablo adı	Olay türü
   AlertInfo	Microsoft Defender XDR bileşenlerinden gelen uyarılar hakkında bilgi
   AlertEvidence	Microsoft Defender XDR bileşenlerinden gelen uyarılarla ilişkili çeşitli varlıklar (dosyalar, IP adresleri, URL'ler, kullanıcılar, cihazlar) hakkında bilgi

2. Değişiklikleri Uygula'ya tıklayın.

3. Log Analytics'teki gelişmiş tehdit avcılığı tablolarını sorgulamak için sorgu penceresinde yukarıdaki listeden tablo adını girin.

Veri alımını doğrulama

Bağlayıcı sayfasındaki veri grafı, verileri almakta olduğunuzu gösterir. Olaylar, uyarılar ve olaylar için her biri bir satır gösterdiğini ve olay satırının tüm etkin tablolarda olay hacminin bir toplaması olduğunu fark edeceksiniz. Bağlayıcıyı etkinleştirdikten sonra, daha belirli grafikler oluşturmak için aşağıdaki KQL sorgularını kullanabilirsiniz.

Gelen Microsoft Defender XDR olaylarının grafiği için aşağıdaki KQL sorgusunu kullanın:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Tek bir tablo için olay hacmi grafiği oluşturmak için aşağıdaki KQL sorgusunu kullanın (DeviceEvents tablosunu seçtiğiniz gerekli tabloyla değiştirin):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Sonraki adımlar sekmesinde, eklenmiş bazı yararlı çalışma kitapları, örnek sorgular ve analiz kuralı şablonları bulacaksınız. Bunları yerinde çalıştırabilir veya değiştirip kaydedebilirsiniz.

Sonraki adımlar

Bu belgede, Microsoft Defender XDR bağlayıcısını kullanarak Microsoft Defender XDR olaylarını ve Microsoft Defender bileşen hizmetlerinden gelen gelişmiş tehdit avcılığı olay verilerini Microsoft Sentinel ile tümleştirmeyi öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.