Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób integracji usług Microsoft Defender XDR z usługą Microsoft Sentinel, zarówno w portalu Microsoft Defender, jak i w witrynie Azure Portal.
Jeśli po raz pierwszy dołączono do usługi Microsoft Sentinel po 1 lipca 2025 r. z uprawnieniami właściciela subskrypcji lub administratora dostępu użytkowników, obszar roboczy zostanie automatycznie dołączony do portalu usługi Defender. W takich przypadkach używasz usługi Microsoft Sentinel tylko w portalu usługi Defender, gdzie dane można zintegrować bezpośrednio z danymi usługi Defender XDR na potrzeby ujednoliconych operacji zabezpieczeń.
Jeśli używasz portalu Azure oprócz portalu usługi Defender lub zamiast niego, zintegruj usługę Microsoft Defender XDR z usługą Microsoft Sentinel. Integracja usług przesyła strumieniowo wszystkie incydenty XDR usługi Defender i zaawansowane zdarzenia analizy zagrożeń do usługi Microsoft Sentinel oraz utrzymuje synchronizację tych incydentów i zdarzeń między portalami Azure i Microsoft Defender.
Zdarzenia z usługi Defender XDR obejmują wszystkie skojarzone alerty, jednostki i odpowiednie informacje, zapewniając wystarczającą ilość kontekstu do przeprowadzenia klasyfikacji i wstępnego badania w usłudze Microsoft Sentinel. Po przejściu do usługi Microsoft Sentinel zdarzenia pozostają dwukierunkowo synchronizowane z usługą Defender XDR, co pozwala korzystać z zalet obu portali w badaniu zdarzeń.
Microsoft Sentinel i Defender XDR
Użyj jednej z następujących metod, aby zintegrować usługę Microsoft Sentinel z usługami XDR w usłudze Microsoft Defender:
Pozyskiwanie danych usługi Microsoft Defender XDR do usługi Microsoft Sentinel i wyświetlanie danych usługi Microsoft Sentinel w witrynie Azure Portal. Włącz łącznik XDR usługi Defender w usłudze Microsoft Sentinel.
Integrowanie usług Microsoft Sentinel i Defender XDR bezpośrednio w portalu usługi Microsoft Defender. W takim przypadku wyświetl dane usługi Microsoft Sentinel bezpośrednio razem z innymi incydentami, alertami, lukami w zabezpieczeniach i danymi zabezpieczeń związanymi z usługą Defender. W tym celu należy dołączyć usługę Microsoft Sentinel do portalu usługi Defender.
Wybierz odpowiednią kartę, aby zobaczyć, jak wygląda integracja usługi Microsoft Sentinel z usługą Defender XDR w zależności od używanej metody integracji.
Na poniższej ilustracji pokazano, jak rozwiązanie XDR firmy Microsoft bezproblemowo integruje się z usługą Microsoft Sentinel w portalu usługi Microsoft Defender.
Na tym diagramie:
- Szczegółowe informacje z sygnałów w całej organizacji są wprowadzane do usługi Microsoft Defender XDR i Microsoft Defender dla Chmury.
- Usługa Microsoft Sentinel zapewnia obsługę środowisk wielochmurowych i integruje się z aplikacjami i partnerami innych firm.
- Dane usługi Microsoft Sentinel są pozyskiwane wraz z danymi organizacji w portalu usługi Microsoft Defender.
- Zespoły SecOps mogą następnie analizować zagrożenia identyfikowane przez usługi Microsoft Sentinel i Microsoft Defender XDR i reagować na nie w portalu usługi Microsoft Defender.
Korelacja zdarzeń i alerty
Dzięki integracji usługi Defender XDR z usługą Microsoft Sentinel zdarzenia XDR w usłudze Defender są widoczne i możliwe do zarządzania z poziomu usługi Microsoft Sentinel. Zapewnia to podstawową kolejkę incydentów w całej organizacji. Wyświetlanie i korelowanie incydentów usługi Defender XDR wraz z incydentami ze wszystkich innych systemów w chmurze i na miejscu. Jednocześnie ta integracja umożliwia korzystanie z unikatowych mocnych stron i możliwości usługi Defender XDR na potrzeby szczegółowych badań i środowiska specyficznego dla usługi Defender w ekosystemie platformy Microsoft 365.
Usługa Defender XDR wzbogaca i grupuje alerty z wielu produktów usługi Microsoft Defender, jednocześnie zmniejszając rozmiar kolejki zdarzeń SOC i skracając czas rozwiązywania problemów. Alerty z następujących produktów i usług microsoft Defender są również uwzględniane w integracji usługi Defender XDR z usługą Microsoft Sentinel:
- Usługa Microsoft Defender dla punktu końcowego
- Microsoft Defender for Identity
- Microsoft Defender dla Office 365
- Microsoft Defender dla aplikacji chmurowych
Inne usługi, których alerty są zbierane przez usługę Defender XDR, obejmują:
- Ochrona przed utratą danych w Microsoft Purview
- Ochrona identyfikatorów Microsoft Entra
- Zarządzanie ryzykiem wewnętrznym w Microsoft Purview
Łącznik Defender XDR przenosi również incydenty z Microsoft Defender dla Chmury. Aby zsynchronizować alerty i jednostki z tych zdarzeń, należy również włączyć łącznik Defender dla Chmury w usłudze Microsoft Sentinel. W przeciwnym razie zdarzenia Defender dla Chmury są puste. Aby uzyskać więcej informacji, zobacz Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji XDR z usługą Microsoft Defender.
Oprócz zbierania alertów z tych składników i innych usług usługa Defender XDR generuje własne alerty. Tworzy zdarzenia na podstawie wszystkich tych alertów i wysyła je do usługi Microsoft Sentinel.
Typowe przypadki użycia i scenariusze
Rozważ integrację usługi Defender XDR z usługą Microsoft Sentinel w następujących przypadkach użycia i scenariuszach:
Dołącz usługę Microsoft Sentinel do portalu usługi Microsoft Defender.
Umożliwiaj połączenie za pomocą jednego kliknięcia incydentów XDR w usłudze Defender, w tym wszystkich alertów i elementów ze składników XDR, do usługi Microsoft Sentinel.
Zezwalaj na dwukierunkową synchronizację między incydentami Microsoft Sentinel a incydentami Defender for XDR w zakresie stanu, właściciela i przyczyny zamknięcia.
Zastosuj możliwości grupowania alertów i wzbogacania usługi Defender XDR w usłudze Microsoft Sentinel, co skraca czas rozwiązywania problemów.
Ułatwić prowadzenie dochodzeń w obu portalach dzięki głębokim powiązaniom kontekstowym między incydentem usługi Microsoft Sentinel a równoległym incydentem usługi Defender XDR.
Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Nawiązywanie połączenia z usługą Microsoft Defender XDR
Sposób integracji usługi Defender XDR zależy od tego, czy planujesz dołączyć usługę Microsoft Sentinel do portalu usługi Defender, czy kontynuować pracę w witrynie Azure Portal.
Integracja z portalem usługi Defender
Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Defender i masz licencję na usługę Defender XDR, usługa Microsoft Sentinel jest automatycznie połączona z usługą Defender XDR. Łącznik danych dla usługi Defender XDR jest automatycznie konfigurowany dla ciebie. Wszystkie łączniki danych dla dostawców alertów zawarte w usłudze Defender XDR są odłączone. Obejmuje to następujące łączniki danych:
- Microsoft Defender for Cloud Apps (powiadomienia)
- Usługa Microsoft Defender dla punktu końcowego
- Microsoft Defender for Identity
- Microsoft Defender dla usługi Office 365
- Ochrona identyfikatorów entra firmy Microsoft
Integracja z witryną Azure Portal
Jeśli chcesz zsynchronizować dane usługi Defender XDR z usługą Microsoft Sentinel w witrynie Azure Portal, musisz włączyć łącznik XDR usługi Microsoft Defender w usłudze Microsoft Sentinel. Po włączeniu łącznika wysyła wszystkie zdarzenia i alerty usługi Defender XDR do usługi Microsoft Sentinel i synchronizuje zdarzenia.
Najpierw zainstaluj rozwiązanie Microsoft Defender XDR dla Microsoft Sentinel z Centrum Zawartości. Następnie włącz łącznik danych usługi Microsoft Defender XDR , aby zbierać zdarzenia i alerty. Aby uzyskać więcej informacji, zobacz Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel.
Po włączeniu zbierania alertów i zdarzeń w łączniku danych XDR usługi Defender zdarzenia XDR są wyświetlane w kolejce zdarzeń usługi Microsoft Sentinel wkrótce po ich wygenerowaniu w usłudze Defender XDR. Może upłynąć do pięciu minut od momentu wygenerowania zdarzenia w usłudze Defender XDR do momentu pojawienia się go w usłudze Microsoft Sentinel. W tych zdarzeniach pole Nazwa Alertu produktu zawiera Microsoft Defender XDR lub jedną z nazw usług Defender.
Koszty wprowadzania danych
Alerty i zdarzenia z usługi Defender XDR, w tym elementy, które wypełniają tabele SecurityAlert i SecurityIncident , są pozyskiwane i synchronizowane z usługą Microsoft Sentinel bez opłat. W przypadku wszystkich innych typów danych z poszczególnych składników usługi Defender, takich jak tabele zaawansowanego wyszukiwania DeviceInfo, DeviceFileEvents, EmailEvents itd., pobierane są opłaty za przetwarzanie.
Aby uzyskać więcej informacji, zobacz Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel.
Zachowanie gromadzenia danych
Alerty utworzone przez produkty zintegrowane z usługą Defender XDR są wysyłane do usługi Defender XDR i pogrupowane w zdarzenia. Zarówno alerty, jak i zdarzenia przepływają do usługi Microsoft Sentinel za pośrednictwem łącznika XDR usługi Defender.
Wyjątkiem od tego procesu jest Defender dla Chmury. Istnieje możliwość włączenia alertów Defender dla Chmury opartych na dzierżawie w celu otrzymywania wszystkich alertów i zdarzeń za pośrednictwem usługi Defender XDR lub zachowywania alertów opartych na subskrypcji i promowania ich do zdarzeń w usłudze Microsoft Sentinel w witrynie Azure Portal.
Aby uzyskać dostępne opcje i więcej informacji, zobacz:
- Microsoft Defender dla Chmury w portalu usługi Microsoft Defender
- Pozyskiwanie zdarzeń Microsoft Defender dla Chmury za pomocą integracji usługi Microsoft Defender XDR
Zasady tworzenia incydentów firmy Microsoft
Aby uniknąć tworzenia zduplikowanych zdarzeń dla tych samych alertów, ustawienie reguł tworzenia zdarzeń firmy Microsoft jest wyłączone dla produktów zintegrowanych z usługą Defender XDR podczas nawiązywania połączenia z usługą Defender XDR. Produkty zintegrowane z usługą Defender XDR obejmują Microsoft Defender for Identity, Microsoft Defender for Office 365 oraz inne. Ponadto reguły tworzenia incydentów firmy Microsoft nie są obsługiwane w portalu usługi Defender, ponieważ portal usługi Defender ma własny mechanizm tworzenia incydentów. Ta zmiana ma następujący potencjalny wpływ:
Filtrowanie alertów. Reguły tworzenia zdarzeń usługi Microsoft Sentinel umożliwiają filtrowanie alertów, które będą używane do tworzenia zdarzeń. Po wyłączeniu tych reguł zachowaj możliwość filtrowania alertów, konfigurując dostrajanie alertów w portalu usługi Microsoft Defender lub używając reguł automatyzacji w celu pomijania lub zamykania zdarzeń, których nie chcesz.
Tytuły zdarzeń. Po włączeniu łącznika XDR usługi Defender nie można już wstępnie określić tytułów zdarzeń. Silnik korelacji Defender XDR przewodniczy tworzeniu incydentów i automatycznie nadaje nazwy incydentom, które tworzy. Ta zmiana może mieć wpływ na wszystkie utworzone reguły automatyzacji, które używają nazwy zdarzenia jako warunku. Aby uniknąć tej pułapki, użyj kryteriów innych niż nazwa zdarzenia jako warunków wyzwalania reguł automatyzacji. Zalecamy używanie tagów.
Reguły analizy zaplanowanej. Jeśli używasz reguł tworzenia zdarzeń usługi Microsoft Sentinel dla innych rozwiązań zabezpieczeń lub produktów firmy Microsoft, które nie są zintegrowane z usługą Defender XDR, takich jak Zarządzanie ryzykiem wewnętrznym w Microsoft Purview, i planujesz dołączyć do portalu usługi Defender, zastąp reguły tworzenia zdarzeń zaplanowanymi regułami analizy.
Praca ze zdarzeniami związanymi z Microsoft Defender XDR w Microsoft Sentinel i synchronizacja dwukierunkowa
Zdarzenia XDR usługi Defender są wyświetlane w kolejce zdarzeń usługi Microsoft Sentinel z nazwą produktu Microsoft Defender XDR, oraz z podobnymi szczegółami i funkcjami jak inne zdarzenia w usłudze Microsoft Sentinel. Każde zdarzenie zawiera link z powrotem do zdarzenia równoległego w portalu usługi Microsoft Defender.
W miarę rozwoju zdarzenia w usłudze Defender XDR i dodawaniu do niego większej liczby alertów lub jednostek zdarzenie usługi Microsoft Sentinel jest odpowiednio aktualizowane.
Zmiany wprowadzone w niektórych polach lub atrybutach incydentu XDR w usłudze Defender XDR lub Microsoft Sentinel są również odpowiednio aktualizowane w kolejce incydentów drugiego systemu. Synchronizacja odbywa się w obu portalach natychmiast po zastosowaniu zmiany zdarzenia bez opóźnień. Może być wymagane odświeżenie w celu wyświetlenia najnowszych zmian.
Następujące pola są synchronizowane "tak jak jest" między zdarzeniami w portalu usługi Defender i w usłudze Microsoft Sentinel w portalu Azure.
- Nazwa
- Opis
- ProductName
- Ciężkość
- Tagi niestandardowe
- DodatkoweDane
- Komentarze (tylko nowe)
- Ostatnio zmodyfikowane przez
Podczas synchronizacji są przekształcane następujące pola, aby ich wartości były zgodne ze schematem każdej platformy:
| (No changes needed) | Wartość w portalu Defender | Wartość w usłudze Microsoft Sentinel |
|---|---|---|
| Stan | ||
| Aktywna | Nowy | |
|
Klasyfikacja/ Przyczyna klasyfikacji |
||
| Wynik prawdziwie dodatni/ dowolny |
Wynik prawdziwie dodatni/ Podejrzane działanie |
|
| Wynik fałszywie dodatni/ dowolny |
Wynik fałszywie dodatni/ Niedokładne dane |
|
| N/A | Wynik fałszywie dodatni/ Niedokładna logika alertu |
|
| Łagodny wynik dodatni Oczekiwane działanie informacyjne |
Łagodny wynik dodatni Podejrzane, ale oczekiwane |
|
| Nie ustawiono | Nieokreślone |
W usłudze Defender XDR wszystkie alerty z jednego zdarzenia można przenosić do innego, co powoduje scalenie zdarzeń. W przypadku tego scalania zdarzenia usługi Microsoft Sentinel odzwierciedlają zmiany. Jedno zdarzenie zawiera wszystkie alerty zarówno z oryginalnych zdarzeń, jak i drugie zdarzenie jest automatycznie zamykane z dodanym tagiem "przekierowane".
Uwaga
Zdarzenia w usłudze Microsoft Sentinel mogą zawierać maksymalnie 150 alertów. Zdarzenia XDR usługi Defender mogą mieć większy zakres niż obecnie. Jeśli zdarzenie usługi Defender XDR z ponad 150 alertami jest synchronizowane z usługą Microsoft Sentinel, zdarzenie usługi Microsoft Sentinel jest prezentowane jako mające „150+” alertów i zawiera link do zdarzenia równoległego w usłudze Defender XDR, gdzie możesz zobaczyć pełny zestaw alertów.
Zaawansowana kolekcja zdarzeń wyszukiwania zagrożeń
Łącznik XDR usługi Defender umożliwia również przesyłanie strumieniowe zaawansowanych zdarzeń wyszukiwania zagrożeń — typu nieprzetworzonych danych zdarzeń — z usługi Defender XDR i jego usług składników do usługi Microsoft Sentinel. Zbierz zaawansowane zdarzenia wyszukiwania zagrożeń ze wszystkich składników usługi Defender XDR i przesyłaj je bezpośrednio do wbudowanych specjalnie tabel w obszarze roboczym usługi Microsoft Sentinel. Te tabelki są oparte na tym samym schemacie używanym w portalu Microsoft Defender, co zapewnia pełny dostęp do zestawu zaawansowanych zdarzeń związanych z wyszukiwaniem i umożliwia wykonywanie następujących zadań:
Łatwe kopiowanie istniejących zapytań wyszukiwania zagrożeń Ochrona punktu końcowego w usłudze Microsoft Defender/Office 365/Identity/Cloud Apps do usługi Microsoft Sentinel.
Użyj nieprzetworzonych dzienników zdarzeń, aby uzyskać szczegółowe informacje dotyczące alertów, wyszukiwania zagrożeń i badania oraz skorelowania tych zdarzeń z innych źródeł danych w usłudze Microsoft Sentinel.
Przechowuj dzienniki ze zwiększonym przechowywaniem poza domyślnym przechowywaniem usługi Defender XDR przez 30 dni. Można to zrobić, konfigurując przechowywanie obszaru roboczego lub konfigurując przechowywanie poszczególnych tabel w usłudze Log Analytics.
Tworzenie niestandardowych reguł wykrywania
Wykrywanie niestandardowe w Microsoft Defender to teraz najlepszy sposób na tworzenie nowych reguł w Microsoft Sentinel Security Information and Event Management (SIEM) oraz Microsoft Defender XDR. Obsługuje ujednolicone środowisko Centrum Operacji Bezpieczeństwa (SOC) w portalu usługi Defender i zapewnia więcej możliwości ulepszeń.
Dzięki wykrywaniu niestandardowemu można zmniejszyć koszty pozyskiwania, uzyskać nieograniczoną liczbę wykrywania w czasie rzeczywistym i korzystać z bezproblemowej integracji z Defender XDR danych, funkcji i akcji korygowania z automatycznym mapowaniem jednostek. Użytkownicy usługi Microsoft Sentinel mogą nadal używać reguł analizy, ale zachęcamy ich do korzystania z wykrywania niestandardowego w celu skorzystania z najnowszych innowacji.
Powiązana zawartość
W tym dokumencie przedstawiono zalety włączania łącznika XDR usługi Defender w usłudze Microsoft Sentinel.
- Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel
- Aby użyć usługi Microsoft Sentinel w portalu usługi Defender, zobacz Łączenie usługi Microsoft Sentinel z portalem usługi Microsoft Defender.
- Sprawdź dostępność różnych typów danych XDR w usłudze Microsoft Defender w różnych chmurach platformy Microsoft 365 i na platformie Azure.