Microsoft 365 Defender verileri Microsoft Sentinel 'e Bağlan

Arka Plan

microsoft sentinel 'in Microsoft 365 Defender (M365D) bağlayıcısı, olay tümleştirme ile tüm M365D olaylarını ve uyarılarını Microsoft Sentinel 'e akışını sağlar ve olayların her iki portal arasında eşitlenmiş olmasını sağlar. M365D olayları, tüm uyarıları, varlıkları ve diğer ilgili bilgileri içerir ve M365D's bileşen hizmetlerinden gelen uyarıları, uç nokta için microsoft defender, kimlik için microsoft defender, Office 365 için microsoft defender ve bulut uygulamaları için microsoft defender ile birlikte gruplandırın.

bağlayıcı ayrıca Endpoint ve microsoft Office 365 defender için microsoft defender 'ın gelişmiş arama olaylarını microsoft sentinel 'e aktarmanıza, bu defender bileşenlerinin, ek öngörüler sağlamak için defender bileşenlerinin ham olay verileriyle birlikte microsoft sentinel 'e kopyalamasını, verileri daha zengin Sentinel uyarıları 'nı ve Log Analytics daha fazla bekletme ile depolanmasını sağlar.

olay tümleştirme hakkında daha fazla bilgi için bkz. Microsoft Sentinel ile Microsoft 365 Defender tümleştirme.

Önkoşullar

• Microsoft 365 Defender önkoşullarıbölümünde açıklandığı gibi Microsoft 365 Defender için geçerli bir lisansa sahip olmanız gerekir.

• Azure Active Directory bir genel yönetici veya Güvenlik Yöneticisi olmanız gerekir.

Microsoft 365 Defender Bağlan

1. Microsoft Sentinel 'de veri bağlayıcıları' nı seçin, galeriden Microsoft 365 Defender (önizleme) öğesini seçin ve bağlayıcı sayfasını aç' ı seçin.

2. Bağlan olaylar & uyarıları bölümünde yapılandırma altında Bağlan olaylar & uyarılar düğmesini seçin.

3. Olayların çoğaltılmasını önlemek için, Bu ürünlerin tüm Microsoft olay oluşturma kurallarını kapat etiketli onay kutusunu işaretlemeniz önerilir.

   Not

   Microsoft 365 Defender bağlayıcısını etkinleştirdiğinizde, tüm M365D bileşenleri (bu makalenin başlangıcında bahsedilen) bağlayıcılar arka planda otomatik olarak bağlanır. bileşenlerin bağlayıcılarından birinin bağlantısını kesmek için öncelikle Microsoft 365 Defender bağlayıcısının bağlantısını kesmeniz gerekir.

4. Microsoft 365 Defender olay verilerini sorgulamak için sorgu penceresinde aşağıdaki ifadeyi kullanın:

   SecurityIncident
   | where ProviderName == "Microsoft 365 Defender"
   

5. Endpoint veya microsoft defender for Office 365 için microsoft defender 'dan gelişmiş arama olaylarını toplamak istiyorsanız, ilgili gelişmiş arama tablolarından aşağıdaki olay türleri toplanabilir.

   1. Tabloların onay kutularını toplamak istediğiniz olay türleriyle işaretleyin:

      • Endpoint için Defender
      • Office 365 için Defender

      Tablo adı	Olay türü
      DeviceInfo	İşletim sistemi bilgileri de dahil olmak üzere makine bilgileri
      Devicenetworkınfo	Fiziksel bağdaştırıcılar, IP ve MAC adresleri de dahil olmak üzere cihazların ağ özelliklerinin yanı sıra bağlı ağlar ve etki alanları
      DeviceProcessEvents	İşlem oluşturma ve ilgili olaylar
      DeviceNetworkEvents	Ağ bağlantısı ve ilgili olaylar
      DeviceFileEvents	Dosya oluşturma, değiştirme ve diğer dosya sistemi olayları
      DeviceRegistryEvents	Kayıt defteri girişlerini oluşturma ve değiştirme
      DeviceLogonEvents	Cihazlarda oturum açma işlemleri ve diğer kimlik doğrulama olayları
      Deviceımageloadevents	DLL yükleme olayları
      DeviceEvents	Windows Defender Virüsten Koruma ve açıktan yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere birden çok olay türü
      Devicefilecertificateınfo	Uç noktalarda sertifika doğrulama olaylarından elde edilen imzalı dosyaların sertifika bilgileri

   2. Değişiklikleri Uygula' ya tıklayın.

   3. Log Analytics gelişmiş hunmiş tabloları sorgulamak için, sorgu penceresinde yukarıdaki listeden tablo adını girin.

Veri alımını doğrulama

Bağlayıcı sayfasındaki veri grafiği, verileri iade ettiğiniz anlamına gelir. Olayların, uyarıların ve olayların her biri için bir satır gösterdiğine ve olaylar hattının, etkin olan tüm tablolardaki olay hacmi toplamı olduğunu fark edeceksiniz. Bağlayıcıyı etkinleştirdikten sonra, daha belirli grafikler oluşturmak için aşağıdaki KQL sorgularını kullanabilirsiniz.

gelen Microsoft 365 Defender olaylarını bir grafik için aşağıdaki kql sorgusunu kullanın:

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart 

Tek bir tabloya yönelik bir olay birimi grafiği oluşturmak için aşağıdaki KQL sorgusunu kullanın ( Deviceevents tablosunu seçtiğiniz gerekli tabloyla değiştirin):

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

Sonraki adımlar sekmesinde, eklenen bazı yararlı çalışma kitapları, örnek sorgular ve analiz kuralı şablonları bulacaksınız. Bunları bir şekilde çalıştırabilir veya değiştirebilir ve kaydedebilirsiniz.

Sonraki adımlar

bu belgede, Microsoft 365 Defender bağlayıcısını kullanarak Microsoft 365 Defender olaylarının nasıl tümleştirileceğini ve Office 365 için Endpoint ve defender için microsoft defender ile microsoft Sentinel 'e yönelik gelişmiş olay verilerini nasıl ele alacağınızı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize nasıl görünürlük alabileceğinizi ve olası tehditleriöğrenin.
• Microsoft Sentinel ile tehditleri algılamayabaşlayın.