將微軟Defender XDR連接到MS Sentinel
當我們在 Microsoft Sentinel 中啟動資料連接器的過程時,需要關注 Microsoft Defender XDR 解決方案,包括 Microsoft Defender for Endpoint 和 Microsoft Defender for Office 365。
微軟Defender XDR connectors的規劃
Microsoft Defender 網站是一個統一的、原生整合的、洩漏前和洩漏後企業防禦套件。它可以保護端點、身分、電子郵件和雲端應用程式威脅。我們可以在中心位置偵測、預防、調查並自動回應複雜的威脅。它包括以下服務:
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
Microsoft Defender XDR 與 Microsoft Sentinel 的整合目前為這些服務提供以下資料連接器:
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
其他相關的 Microsoft Defender 資料連接器包括:
- Microsoft Defender for IoT
- Microsoft Purview Insider Risk Management
了解每個連接器如何擷取資料非常重要。連接器是否支援事故的雙向同步?是否應該擷取原始日誌資料以進行搜尋和實體分析?確定每個日誌來源所需的資料後,即可啟用連接器。
連接Microsoft Defender XDR connector
Microsoft Defender XDR 連接器具有事故整合功能,可將所有 Microsoft Defender XDR 事故和告警串流傳輸至 Microsoft Sentinel。連接器可讓兩個網站之間的事故保持同步。 Microsoft Defender XDR 事故包括所有告警、實體和其他相關資訊。它們被分組在一起,並透過來自 Microsoft Defender XDR 元件服務、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Office 365 和 Microsoft Defender for Cloud Apps 的告警進行了加料。連接 Microsoft Defender XDR 連接器是在 Microsoft Defender XDR 中設定統一安全操作平台或SIEM和 XDR 體驗的先決條件。
此連接器還可將進階搜尋事件從上述所有元件串流傳輸到 Microsoft Sentinel。這可以將這些 Defender 元件的高階搜尋查詢複製到 Microsoft Sentinel 中,使用 Defender 元件的原始事件資料豐富 Sentinel 告警以提供更多見解,並在 Log Analytics 中以更高的保留率儲存日誌。 若要部署連接器,請執行下列步驟:
- From the Microsoft Sentinel left navigation menu, expand Configuration and then select Data connectors.
- Select the Microsoft Defender XDR connector.
- Select the Open connector page button on the preview pane.
- Under the Instructions tab, review the Prerequisites to confirm you have the required permissions and licenses.
- Next, in the Configuration section, select the Connect incidents & alerts button.
PS:
如果取消勾選「Turn off all Microsoft incident creation rules for these products」。Recommended checkbox,可能會在incidents queue中收到重複的內容。
也可以連線UEBA 實體和特定產品的事件日誌。
- Select the Connect entities and Connect events sections.
- For events, mark the checkboxes of the event types you wish to collect, and then select Apply Changes.
連接Microsoft Defender for Cloud connector
Microsoft Defender for Cloud 是一種安全管理工具,可偵測並快速回應 Azure、混合和多雲工作負載中的威脅。此連接器可將安全告警從 Microsoft Defender for Cloud 串流傳輸到 Microsoft Sentinel。然後,可以檢視workbook中的 Defender 資料、查詢它以產生告警以及調查和回應事件。
若要檢視連接器頁面,執行下列步驟:
- Select Data connectors page in Microsoft Sentinel.
- Select Microsoft Defender for Cloud
- Then select the Open connector page on the preview pane.
- Select the Connect toggle for the subscription.
- Select the Bi-directional sync option.
連接Microsoft Defender for IoT
透過將 Microsoft Defender for IoT 告警連接到 Microsoft Sentinel,深入了解 IoT 安全性。可以獲得現成的告警指標和數據,包括告警趨勢、熱門告警以及按嚴重性劃分的告警細分。還可以獲得有關為 IoT hubs提供的建議的資訊,包括熱門建議和按嚴重性分類的建議。
若要檢視連接器頁面,請執行下列步驟:
- Select Data connectors page in Microsoft Sentinel.
- Select Microsoft Defender for IoT
- Then select the Open connector page on the preview pane.
- Select the Connect toggle the subscription.
連接Microsoft Defender legacy connectors
Microsoft Sentinel 最初使用單獨的連接器連接 Microsoft Defender XDR 解決方案:
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
這些連接器只能向 Microsoft Sentinel 發送告警。然後,可以選擇從告警產生事故。設定此選項會產生以下限制:
- 原始資料(Raw data)不會被擷取。
- 將建立一個新事故,導致 Microsoft Defender 網站和 Microsoft Sentinel 中都產生事故,需要個別管理。
較新的 Microsoft Defender XDR 連接器消除了這些限制,應使用它來代替舊連接器。
