Conectar o conector para Microsoft Defender XDR

  • 6 minutos

O conector XDR (detecção e resposta estendida) do Microsoft Defender, com integração de incidentes, permite transmitir todos os incidentes e alertas do Microsoft Defender XDR para o Microsoft Sentinel. Esse conector mantém os incidentes sincronizados entre os dois portais. Os incidentes do Microsoft Defender XDR incluem todos os alertas, as entidades e outras informações relevantes. Eles são agrupados e enriquecidos por alertas dos serviços de componentes do Microsoft Defender XDR, do Microsoft Defender para Ponto de Extremidade, do Microsoft Defender para Identidade, do Microsoft Defender para Office 365 e do Microsoft Defender para Aplicativos de Nuvem. Conectar o conector XDR do Microsoft Defender é um pré-requisito para configurar a Plataforma de Operações de Segurança Unificada ou o SIEM (gerenciamento de eventos e informações de segurança) unificado e a experiência XDR no Microsoft Defender XDR.

O conector também permite transmitir eventos de busca avançados de todos os componentes acima para o Microsoft Sentinel. Isso permite copiar as consultas de busca avançada dos componentes do Defender para o Microsoft Sentinel, aprimorar os alertas do Sentinel com os dados de eventos brutos dos componentes do Defender para fornecer mais insights e armazenar os logs com maior retenção no Log Analytics.

Para implantar o conector, siga estas etapas:

  1. No menu de navegação esquerdo do Microsoft Sentinel, expanda Configuração e selecione Conectores de dados.

  2. Selecione o conector do Microsoft Defender XDR.

  3. Selecione o botão Abrir página do conector no painel de visualização.

  4. Na guia Instruções, examine os pré-requisitos para confirmar se você tem as permissões e licenças necessárias.

  5. Em seguida, na seção Configuração, selecione o botão Conectar incidentes e alertas.

Captura de tela da configuração do conector de dados do Defender XDR.

Observação

Se você desmarcar a caixa de seleção Desativar todas as regras de criação de incidentes da Microsoft destes produtos. Recomendado, você poderá receber duplicações na fila de incidentes.

Você também pode conectar entidades UEBA (análise de comportamento de usuário e entidade) e logs de eventos de produtos específicos.

  1. Selecione as seções Conectar entidades e Conectar eventos.

  2. Para eventos, marque as caixas de seleção dos tipos de evento que você deseja coletar e selecione Aplicar Alterações.