Microsoft 365 Defender Microsoft Sentinel ile tümleştirme

Olay tümleştirmesi

Microsoft Sentinel'in Microsoft 365 Defender güvenlik olayı tümleştirmesi, tüm güvenlik olaylarını Microsoft Sentinel'e Microsoft 365 Defender ve her iki portal arasında eşitlenmiş durumda tutmanıza olanak sağlar. Microsoft 365 Defender'den (eski adı Microsoft Tehdit Koruması veya MTP) gelen olaylar tüm ilişkili uyarıları, varlıkları ve ilgili bilgileri içerir ve microsoft Sentinel'de değerlendirme ve ön araştırma gerçekleştirmek için yeterli bağlam sağlar. Sentinel'e alındıktan sonra Olaylar, Microsoft 365 Defender iki yönlü olarak eşitlenen bir şekilde kalır ve bu da olay araştırmanıza her iki portalın avantajlarından da yararlanmanıza olanak sağlar.

Bu tümleştirme, Microsoft 365 güvenlik olaylarını, tüm kuruluş genelinde birincil olay kuyruğu kapsamında Microsoft Sentinel'in içinde yönetilren görünürlüğü sağlar. Bu sayede Microsoft 365 olaylarını diğer tüm bulut ve şirket içi sistemlerinizin güvenlik olaylarını görebilir ve bunlar arasında ilişkide kullanabilirsiniz. Aynı zamanda, Microsoft 365 Defender ekosistemi genelinde ayrıntılı araştırmalar ve Microsoft 365'a özgü bir deneyim için Microsoft 365'nin benzersiz güçlü ve Microsoft 365 sağlar. Microsoft 365 Defender, hem SOC'nin olay kuyruğu boyutunu azaltarak hem de çözüm süresini kısaltarak birden çok Microsoft 365 üründen gelen uyarıları zenginleştirir ve gruplar. Microsoft 365 Defender yığınının parçası olan bileşen hizmetleri:

• Uç Nokta için Microsoft Defender (eski adı Microsoft Defender ATP)
• Kimlik için Microsoft Defender (eski adı Azure ATP)
• Office 365 için Microsoft Defender (eski Office 365 ATP)
• Microsoft Defender for Cloud Apps

Bu bileşenlerden uyarı toplamaya ek olarak Microsoft 365 Defender kendi uyarılarını da üretir. Bu uyarıların hepsinden olaylar oluşturur ve bunları Microsoft Sentinel'e gönderir.

Yaygın kullanım örnekleri ve senaryolar

• Microsoft Sentinel'Microsoft 365 Defender bileşenlerinden gelen tüm uyarılar ve varlıklar dahil olmak üzere Microsoft 365 Defender olaylara tek tıklamayla bağlanma.

• Sentinel ile durum, sahip ve kapatma Microsoft 365 Defender iki yönlü eşitleme.

• Microsoft Sentinel Microsoft 365 Defender uyarı gruplama ve zenginleştirme özelliklerini uygulama, böylece çözüm süresi kısalır.

• Her iki portalda da araştırmayı kolaylaştırmak için bir Microsoft Sentinel olayı ile paralel güvenlik Microsoft 365 Defender bağlam içinde derin bağlantı.

Microsoft 365 Defender'a bağlanma

Microsoft 365 Defender veri bağlayıcısı'nın olayları ve uyarıları toplaması için etkinleştirdikten sonra,Microsoft 365 Defender olayları, ürün adı alanında Microsoft 365 Defender ile Birlikte Microsoft Sentinel olayları kuyruğunda görüntülenir Microsoft 365 Defender.

• Bir olayın microsoft Sentinel'de göründüğü Microsoft 365 Defender 10 dakika kadar sürebilir.

• Olaylar ek ücret ödemeden kabul edilir ve eşitlenir.

Microsoft 365 Defender tümleştirmesi bağlandıktan sonra, tüm bileşen uyarı bağlayıcıları (Uç Nokta için Defender, Kimlik için Defender, Office 365 için Defender, Cloud Apps için Defender) önceden bağlanmamışsa arka planda otomatik olarak bağlanır. Microsoft 365 Defender bağlandıktan sonra herhangi bir bileşen lisansı satın alındıktan sonra, yeni üründen gelen uyarılar ve olaylar ek yapılandırma veya ücret ödemeden Microsoft Sentinel'e akmaya devam eder.

Microsoft 365 Defender ve Microsoft olay oluşturma kuralları

• Güvenlik ürünleri tarafından Microsoft 365 Defender güvenlik ürünlerinden gelen uyarılar Microsoft 365 olaylar özel güvenlik mantığı kullanılarak Microsoft 365 Defender oluşturulur.

• Microsoft Sentinel'de Microsoft olay oluşturma kuralları, (farklı) özel Bir Microsoft Sentinel mantığı kullanarak aynı uyarılardan olaylar da oluşturabilir.

• Her iki mekanizmanın birlikte kullanımı tamamen de desteklene sahiptir ve yeni olay oluşturma mantığına Microsoft 365 Defender için kullanılabilir. Ancak bunu yapmak, aynı uyarılar için yinelenen olaylar oluşturacak.

• Aynı uyarılarda yinelenen olaylar oluşturmaktan kaçınmak için müşterilerin Microsoft 365 ürünlerine (Uç Nokta için Defender, Kimlik için Defender ve Office 365 için Defender ve Cloud Apps için Defender) için tüm Microsoft olay oluşturma kurallarını kapatmalarını Microsoft 365 Defender. Bu, bağlayıcı sayfasında olay oluşturma devre dışı bırakarak yapılabilir. Bunu yaparsanız, olay oluşturma kuralları tarafından uygulanan tüm filtrelerin olay tümleştirmesi için Microsoft 365 Defender unutmayın.

  Not

  Tüm Cloud Apps için Microsoft Defender uyarı türleri artık Microsoft 365 Defender.

Microsoft Sentinel'Microsoft 365 Defender ve çift yönlü eşitlemede güvenlik olaylarıyla çalışma

Microsoft 365 Defender olayları, Microsoft Sentinel olayları kuyruğunda ürün adı Microsoft 365 Defender ve diğer Sentinel olaylarında benzer ayrıntılar ve işlevlerle görüntülenir. Her olay, Microsoft 365 Defender portalında paralel olayın Microsoft 365 Defender içerir.

Olay daha sonra Microsoft 365 Defender ve buna daha fazla uyarı veya varlık eklendikçe, Microsoft Sentinel olayı buna uygun olarak güncelleştirmesi gerekir.

Microsoft 365 Defender veya Microsoft Sentinel'de bir Microsoft 365 güvenlik olayında durum, kapatma nedeni veya atamada yapılan değişiklikler, diğer olay kuyruğunda da benzer şekilde güncelleştirmeyi sağlar. Eşitleme, olay değişikliği uygulandıktan hemen sonra gecikmeden her iki portalda da meydana gelecektir. En son değişiklikleri görmek için yenileme gerekebilir.

Bu Microsoft 365 Defender, bir olaydan gelen tüm uyarılar başka bir olayla aktararak olaylar birleştirilmiştir. Bu birleştirme işlemi olduğunda Microsoft Sentinel olayları değişiklikleri yansıtacak. Bir olay hem özgün olaylardan gelen tüm uyarıları içerir hem de diğer olay otomatik olarak kapatılır ve "yeniden yönlendirildi" etiketi eklenir.

Gelişmiş avlanma olayı koleksiyonu

Microsoft 365 Defender bağlayıcısı, veri kaynağından ve bileşen hizmetlerinden Microsoft Sentinel'e bir tür ham olay verisi Microsoft 365 Defender gelişmiş avlanma olaylarının akışını da sağlar. Şu anda Uç Nokta için Microsoft Defender'dan ve (Ekim 2021'den itibaren) Office 365 için Microsoft Defender'dan gelişmiş avlanma olaylarını toplayabilirsiniz ve bunları doğrudan Microsoft Sentinel çalışma alanınıza amaçlı tablolara akışla gönderebilirsiniz. Bu tablolar, Microsoft 365 Defender portalında kullanılan şemanın aynısı üzerine inşa edilmiştir ve gelişmiş avlanma olaylarının tam kümesine tam erişim sağlar ve şunları yapmanıza olanak sağlar:

• Gelişmiş avlanma sorgularını microsoft sentinel'e Office 365/uç nokta için mevcut Microsoft Defender'ı kolayca kopyalayın.

• Uyarılarınız, avlanmanız ve araştırmanız için daha fazla içgörü sağlamak ve bu olaylarla Microsoft Sentinel'in diğer veri kaynaklarından gelen olaylar arasında ilişki sağlamak için ham olay günlüklerini kullanın.

• Uç Noktanın/Uç Nokta için Microsoft Defender'ın veya Office 365 30 günlük Microsoft 365 Defender daha fazla saklama süresiyle günlükleri depolar. Bunu yapmak için çalışma alanınızı saklamayı yapılandırabilirsiniz veya Log Analytics'te tablo başına saklamayı yapılandırabilirsiniz.

Sonraki adımlar

Bu belgede, Microsoft 365 Defender bağlayıcısı ile Microsoft Sentinel ile birlikte kullanmanın nasıl Microsoft 365 Defender öğrendiniz.

• Microsoft 365 Defender bağlayıcıyı etkinleştirme yönergelerini edinin.
• Özel uyarılar oluşturun ve olayları araştırin.