Microsoft 365 Defender verileri Azure Sentinel 'e Bağlan

Önemli

Microsoft 365 Defender eskiden Microsoft tehdit koruması veya MTP olarak bilinirdi.

Uç nokta Için Microsoft Defender, daha önce Microsoft Defender Gelişmiş tehdit koruması veya mdadtp olarak biliniyordu.

Eski adların bir süre içinde hala kullanımda olduğunu görebilirsiniz.

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri Azure Sentinel bulut özelliği kullanılabilirliği'nin tablolarına bakın.

Arka Plan

azure sentinel 'in Microsoft 365 Defender (M365D) bağlayıcısı, olay tümleştirme ile tüm M365D olaylarını ve uyarılarını Azure Sentinel 'e akışını ve olayların her iki portal arasında eşitlenmiş olmasını sağlar. M365D olayları, tüm uyarıları, varlıkları ve diğer ilgili bilgileri içerir ve M365D's bileşen hizmetlerinden gelen uyarıları, uç nokta için microsoft defender, kimlik için microsoft defender, Office 365 için microsoft defender ve Microsoft Cloud App Security olarak gruplandırabilirsiniz.

Bağlayıcı Ayrıca, Microsoft Defender uç noktası için Azure Sentinel 'e yönelik Gelişmiş arama olaylarını Azure Sentinel 'e aktarmanıza, ek Öngörüler sağlamak üzere Endpoint RAW olay verileri için Defender Ile zengin Sentinel uyarıları oluşturmanıza ve günlükleri Log Analytics daha fazla bekletme ile depolamanıza olanak tanır.

olay tümleştirme hakkında daha fazla bilgi için bkz. Azure Sentinel ile Microsoft 365 Defender tümleştirme.

Önemli

Microsoft 365 Defender bağlayıcısı şu anda önizlemededir. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

Önkoşullar

  • Microsoft 365 Defender önkoşullarıbölümünde açıklandığı gibi Microsoft 365 Defender için geçerli bir lisansa sahip olmanız gerekir.

  • Azure Active Directory bir genel yönetici veya Güvenlik Yöneticisi olmanız gerekir.

Microsoft 365 Defender Bağlan

  1. Azure Sentinel 'de veri bağlayıcıları' nı seçin, galeriden Microsoft 365 Defender (önizleme) öğesini seçin ve bağlayıcı sayfasını aç' ı seçin.

  2. Bağlan olaylar & uyarıları bölümünde yapılandırma altında Bağlan olaylar & uyarılar düğmesini seçin.

  3. Olayların çoğaltılmasını önlemek için, Bu ürünlerin tüm Microsoft olay oluşturma kurallarını kapat etiketli onay kutusunu işaretlemeniz önerilir.

    Not

    Microsoft 365 Defender bağlayıcısını etkinleştirdiğinizde, tüm M365D bileşenleri (bu makalenin başlangıcında bahsedilen) bağlayıcılar arka planda otomatik olarak bağlanır. bileşenlerin bağlayıcılarından birinin bağlantısını kesmek için öncelikle Microsoft 365 Defender bağlayıcısının bağlantısını kesmeniz gerekir.

  4. Microsoft 365 Defender olay verilerini sorgulamak için sorgu penceresinde aşağıdaki ifadeyi kullanın:

    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    
  5. Uç nokta için Microsoft Defender 'dan gelişmiş arama olayları toplamak istiyorsanız, ilgili gelişmiş arama tablolarından aşağıdaki olay türleri toplanabilir.

    1. Tabloların onay kutularını toplamak istediğiniz olay türleriyle işaretleyin:

      Tablo adı Olay türü
      DeviceInfo Makine bilgileri (işletim sistemi bilgileri dahil)
      Devicenetworkınfo Makinelerin ağ özellikleri
      DeviceProcessEvents İşlem oluşturma ve ilgili olaylar
      DeviceNetworkEvents Ağ bağlantısı ve ilgili olaylar
      DeviceFileEvents Dosya oluşturma, değiştirme ve diğer dosya sistemi olayları
      DeviceRegistryEvents Kayıt defteri girişlerini oluşturma ve değiştirme
      DeviceLogonEvents Oturum açma işlemleri ve diğer kimlik doğrulama olayları
      Deviceımageloadevents DLL yükleme olayları
      DeviceEvents Ek olay türleri
      Devicefilecertificateınfo İmzalı dosyaların sertifika bilgileri
    2. Değişiklikleri Uygula' ya tıklayın.

    3. Log Analytics gelişmiş hunmiş tabloları sorgulamak için, sorgu penceresinde yukarıdaki listeden tablo adını girin.

Veri alımını doğrulama

Bağlayıcı sayfasındaki veri grafiği, verileri iade ettiğiniz anlamına gelir. Olayların, uyarıların ve olayların her biri için bir satır gösterdiğine ve olaylar hattının, etkin olan tüm tablolardaki olay hacmi toplamı olduğunu fark edeceksiniz. Bağlayıcıyı etkinleştirdikten sonra, daha belirli grafikler oluşturmak için aşağıdaki KQL sorgularını kullanabilirsiniz.

gelen Microsoft 365 Defender olaylarını bir grafik için aşağıdaki kql sorgusunu kullanın:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Tek bir tabloya yönelik bir olay birimi grafiği oluşturmak için aşağıdaki KQL sorgusunu kullanın ( Deviceevents tablosunu seçtiğiniz gerekli tabloyla değiştirin):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Sonraki adımlar sekmesinde, eklenen bazı yararlı çalışma kitapları, örnek sorgular ve analiz kuralı şablonları bulacaksınız. Bunları bir şekilde çalıştırabilir veya değiştirebilir ve kaydedebilirsiniz.

Sonraki adımlar

bu belgede, Microsoft 365 Defender bağlayıcısını kullanarak Microsoft 365 Defender olaylarını tümleştirme ve uç nokta için Microsoft Defender 'daki olay verilerini Azure Sentinel 'e yönelik gelişmiş bir şekilde ele alma hakkında öğrendiniz. Azure Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: