Connecter le connecteur Microsoft Defender XDR
Le connecteur de détection et réponse étendues (XDR) Microsoft Defender avec intégration des incidents vous permet de transmettre en continu tous les incidents et toutes les alertes Microsoft Defender XDR vers Microsoft Sentinel. Le connecteur synchronise en continu les incidents entre les deux portails. Les incidents Microsoft Defender XDR incluent toutes leurs alertes, entités et autres informations pertinentes. Ils sont regroupés et sont enrichis par des alertes provenant des services de composants de Microsoft Defender XDR, Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity, Microsoft Defender pour Office 365 et Microsoft Defender pour Cloud Apps. La connexion du connecteur Microsoft Defender XDR est un prérequis pour configurer la plateforme d’opérations de sécurité unifiée ou l’expérience SIEM (Gestion des informations et des événements de sécurité) et XDR dans Microsoft Defender XDR.
Le connecteur vous permet également de streamer des événements de chasse avancée de tous les composants ci-dessus dans Microsoft Sentinel. Vous pouvez ainsi copier les requêtes de chasse avancée des composants Defender dans Microsoft Sentinel, enrichir les alertes Sentinel avec les données d’événement brutes des composants Defender afin de fournir d’autres insights, et stocker les journaux avec une conservation accrue dans Log Analytics.
Pour déployer le connecteur, procédez comme suit :
Dans le menu de navigation gauche de Microsoft Sentinel, développez Configuration, puis sélectionnez Connecteurs de données.
Sélectionnez le connecteur Microsoft Defender XDR.
Sélectionnez le bouton Ouvrir la page du connecteur dans le volet de visualisation.
Sous l’onglet Instructions, passez en revue les Prérequis pour confirmer que vous disposez des autorisations et des licences requises.
Ensuite, dans la section Configuration, sélectionnez le bouton Connecter les incidents et les alertes.
Remarque
Si vous décochez la case Désactiver toutes les règles de création d’incident Microsoft pour ces produits. Recommandé, vous pourriez recevoir des doublons dans la file d’attente des incidents.
Vous pouvez également connecter les journaux d’activité des entités UEBA (analyse du comportement des utilisateurs et des entités) et des événements à partir de produits spécifiques.
Sélectionnez les sections Connect des entités et Connecter des événements.
Pour événements, cochez les cases des types d’événements que vous souhaitez collecter, puis sélectionnez Appliquer les modifications.