Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Microsoft Defender XDR-Dienste in Microsoft Sentinel integriert werden, unabhängig davon, ob im Microsoft Defender-Portal oder im Azure-Portal.
Wenn Sie nach dem 1. Juli 2025 mit Berechtigungen eines Abonnementbesitzers oder eines Benutzerzugriffsadministrators zuerst in Microsoft Sentinel integriert wurden, wird Ihr Arbeitsbereich automatisch in das Defender-Portal integriert. In solchen Fällen verwenden Sie Microsoft Sentinel nur im Defender-Portal, in dem Ihre Daten direkt in Defender XDR-Dienstdaten für einheitliche Sicherheitsvorgänge integriert werden können.
Wenn Sie das Azure-Portal zusätzlich oder anstelle des Defender-Portals andernfalls verwenden, integrieren Sie Microsoft Defender XDR in Microsoft Sentinel. Durch die Integration der Dienste werden alle Defender XDR-Vorfälle und erweiterte Suchereignisse in Microsoft Sentinel gestreamt und die Vorfälle und Ereignisse zwischen den Azure- und Microsoft Defender-Portalen synchronisiert.
Incidents aus Defender XDR enthalten alle zugehörigen Warnungen, Entitäten und relevanten Informationen, die Ihnen genügend Kontext bieten, um Selektierungen und vorläufige Untersuchungen in Microsoft Sentinel durchzuführen. Sobald sie in Microsoft Sentinel vorhanden sind, bleiben Incidents bidirektional mit Defender XDR synchronisiert, sodass Sie die Vorteile beider Portale bei der Incidentuntersuchung nutzen können.
Microsoft Sentinel und Defender XDR
Benutzen Sie eine der folgenden Methoden, um Microsoft Sentinel in Microsoft Defender XDR-Dienste zu integrieren:
Nehmen Sie Microsoft Defender XDR-Dienstdaten in Microsoft Sentinel auf und zeigen Sie Microsoft Sentinel-Daten im Azure-Portal an. Aktivieren Sie den Defender XDR-Connector in Microsoft Sentinel.
Integrieren Sie Microsoft Sentinel und Defender XDR direkt im Microsoft Defender-Portal. Zeigen Sie in diesem Fall Microsoft Sentinel-Daten direkt zusammen mit den restlichen Defender-Incidents, Warnungen, Schwachstellen und anderen Sicherheitsdaten an. Dazu müssen Sie Microsoft Sentinel in das Defender-Portal integrieren.
Wählen Sie die entsprechende Registerkarte aus, um zu sehen, wie die Microsoft Sentinel-Integration in Defender XDR aussieht, je nachdem, welche Integrationsmethode Sie verwenden.
Die folgende Abbildung zeigt, wie die XDR-Lösung von Microsoft nahtlos mit Microsoft Sentinel in das Microsoft Defender-Portal integriert wird.
In diesem Diagramm:
- Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
- Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.
- Microsoft Sentinel-Daten werden zusammen mit den Daten Ihrer Organisation in das Microsoft Defender-Portal aufgenommen.
- SecOps-Teams können dann Bedrohungen analysieren und auf die Bedrohungen reagieren, die in Microsoft Sentinel und Microsoft Defender XDR im Microsoft Defender-Portal identifiziert wurden.
Incidentkorrelation und Warnungen
Mit der Integration von Defender XDR mit Microsoft Sentinel sind Defender XDR-Vorfälle innerhalb von Microsoft Sentinel sichtbar und verwaltbar. Dadurch erhalten Sie eine primäre Vorfallwarteschlange in der gesamten Organisation. Sehen und korrelieren Sie Defender XDR-Incidents zusammen mit Incidents aus allen anderen Cloud- und lokalen Systemen. Gleichzeitig profitieren Sie dank dieser Integration von den einzigartigen Vorteilen und Funktionen von Defender XDR für gründliche Untersuchungen und Defender-spezifischen Funktionen für das gesamte Microsoft 365-Ökosystem.
Defender XDR reichert Warnmeldungen aus mehreren Microsoft Defender-Produkten an und gruppiert sie, wodurch sowohl die Größe der Warteschlange für Incidents des SOC reduziert als auch die Zeit zur Behebung verkürzt wird. Warnungen aus den folgenden Microsoft Defender-Produkten und -Diensten sind auch in der Integration von Defender XDR mit Microsoft Sentinel enthalten:
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
Andere Dienste, deren Warnungen von Defender XDR gesammelt werden:
- Microsoft Purview Data Loss Prevention
- Microsoft Entra ID-Schutz
- Microsoft Purview Insider Risk Management
Der Defender XDR-Connector ruft auch Incidents von Microsoft Defender for Cloud ab. Zum Synchronisieren von Warnungen und Entitäten aus diesen Vorfällen müssen Sie den Defender for Cloud-Connector in Microsoft Sentinel aktivieren. Andernfalls werden für Defender for Cloud-Vorfälle keine Einträge angezeigt. Weitere Informationen finden Sie unter Erfassen von Microsoft Defender for Cloud-Incidents mit der Microsoft Defender XDR-Integration.
Zusätzlich zur Erfassung von Warnungen von diesen Komponenten und weiteren Diensten generiert Defender XDR eigene Warnungen. Die Anwendung erstellt Incidents aus allen diesen Warnungen und sendet sie an Microsoft Sentinel.
Gängige Anwendungsfälle und -szenarien
Erwägen Sie die Integration von Defender XDR mit Microsoft Sentinel für die folgenden Anwendungsfälle und Szenarios:
Einbindung von Microsoft Sentinel im Microsoft Defender-Portal.
Aktivieren Sie die Ein-Klick-Verbindung von Defender XDR-Incidents, einschließlich aller Warnungen und Entitäten von Defender XDR-Komponenten, in Microsoft Sentinel.
Lassen Sie die bidirektionale Synchronisierung zwischen Sentinel- und Microsoft Defender XDR-Incidents bezüglich Status, Besitzer und Schließungsgrund zu.
Wenden Sie die Funktionen zur Gruppierung und Anreicherung von Defender XDR-Warnungen in Microsoft Sentinel an, wodurch sich die Time-to-Resolve verkürzt.
Erleichtern Sie Untersuchungen in beiden Portalen mit kontextbezogenen Deep Links zwischen einem Microsoft Sentinel-Incident und dem parallelen Defender XDR-Incident.
Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Herstellen einer Verbindung mit Microsoft Defender XDR
Wie Sie Defender XDR integrieren, hängt davon ab, ob Sie Microsoft Sentinel in das Defender-Portal integrieren oder weiterhin im Azure-Portal arbeiten möchten.
Integration des Defender-Portals
Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren und für Defender XDR lizenziert sind, wird Microsoft Sentinel automatisch mit Defender XDR verbunden. Der Datenconnector für Defender XDR wird automatisch für Sie eingerichtet. Alle Datenverbindungen für die Warnungsanbieter, die im Defender XDR-Connector enthalten sind, werden deaktiviert. Dazu gehören die folgenden Datenanschlüsse:
- Microsoft Defender für Cloud-Apps (Warnungen)
- Microsoft Defender für den Endpunkt
- Microsoft Defender for Identity
- Microsoft Defender für Office 365
- Microsoft Entra ID-Schutz
Azure-Portal-Integration
Wenn Sie Defender XDR-Daten im Azure-Portal mit Microsoft Sentinel synchronisieren möchten, müssen Sie den Microsoft Defender XDR-Connector in Microsoft Sentinel aktivieren. Wenn Sie den Connector aktivieren, sendet er alle Defender XDR-Vorfälle und Warnungsinformationen an Microsoft Sentinel und hält die Vorfälle synchronisiert.
Zuerst installieren Sie die Microsoft Defender XDR-Lösung für Microsoft Sentinel über den Inhaltshub. Aktivieren Sie dann den Microsoft Defender XDR-Datenconnector, um Incidents und Warnungen zu sammeln. Weitere Informationen finden Sie unter Verknüpfen von Daten aus Microsoft Defender XDR Defender mit Microsoft Sentinel.
Nachdem Sie die Erfassung von Warnungen und Incidents im Defender XDR Data Connector aktiviert haben, erscheinen Defender XDR Incidents in der Microsoft Sentinel Incident-Warteschlange, kurz nachdem sie in Defender XDR erzeugt wurden. Es kann bis zu zehn Minuten ab dem Zeitpunkt dauern, zu dem ein Incident in Defender XDR generiert wird, bis dieser in Microsoft Sentinel angezeigt wird. In diesen Incidents enthält das Feld Produktname der Warnung den Namen von Microsoft Defender XDR oder den Namen einer der Defender-Dienstkomponenten.
Kosten für die Aufnahme
Warnungen und Incidents von Defender XDR (einschließlich der Elemente, die die Tabellen SecurityAlert und SecurityIncident füllen) werden kostenlos in Microsoft Sentinel erfasst und mit Microsoft Sentinel synchronisiert. Für alle anderen Datentypen aus einzelnen Defender-Komponenten (z. B. die Tabellen für erweiterte Bedrohungssuche wie DeviceInfo, DeviceFileEvents, EmailEvents usw.) wird die Erfassung in Rechnung gestellt.
Weitere Informationen finden Sie unter Planen der Kosten und Verstehen der Preise und Abrechnungen für Microsoft Sentinel.
Datenaufnahmeverhalten
Von Defender XDR integrierte Produkte erstellte Warnungen werden an Defender XDR gesendet und in Vorfälle gruppiert. Sowohl die Warnungen als auch die Incidents gelangen über den Defender XDR-Connector in Microsoft Sentinel.
Die Ausnahme von diesem Prozess ist Defender for Cloud. Sie haben die Option, mandantenbasierte Defender for Cloud-Warnungen zu aktivieren, um alle Warnungen und Vorfälle über Defender XDR zu empfangen, oder abonnementbasierte Warnungen beizubehalten und sie zu Vorfällen in Microsoft Sentinel im Azure-Portal zu machen.
Die verfügbaren Optionen und weitere Informationen finden Sie unter:
- Microsoft Defender for Cloud im Microsoft Defender-Portal
- Erfassen von Microsoft Defender for Cloud-Incidents mit der Microsoft Defender XDR-Integration
Microsoft-Regeln zum Erstellen von Vorfällen
Um die Erstellung von doppelten Incidents für dieselben Warnungenzu vermeiden, ist die Einstellung Microsoft-Incidenterstellungsregeln für Defender XDR-integrierte Produkte beim Verknüpfen von Defender XDR deaktiviert. Zu den integrierten Produkten von Defender XDR gehören Microsoft Defender for Identity, Microsoft Defender für Office 365 und mehr. Außerdem werden Microsoft-Vorfallerstellungsregeln im Defender-Portal nicht unterstützt, da das Defender-Portal über ein eigenes Vorfallerstellungsmodul verfügt. Diese Änderung hat die folgenden potenziellen Auswirkungen:
Warnungsfilterung. Mit den Vorfallerstellungsregeln von Microsoft Sentinel können Sie die Warnungen filtern, die zum Erstellen von Vorfällen verwendet würden. Wenn diese Regeln deaktiviert sind, können Sie die Warnfilterfunktion beibehalten, indem Sie die Warnoptimierung im Microsoft Defender-Portal konfigurieren oder Automatisierungsregeln verwenden, um unerwünschte Incidents zu unterdrücken bzw. zu schließen.
Vorfalltitel. Wenn der Defender XDR-Connector aktiviert ist, können Sie die Titel von Vorfällen nicht mehr vorab festlegen. Das Defender XDR-Korrelationsmodul präsidiert die Erstellung von Vorfällen und benennt die von ihr erzeugten Vorfälle automatisch. Diese Änderung kann sich auf alle von Ihnen erstellten Automatisierungsregeln auswirken, die den Incidentnamen als Bedingung verwenden. Um diesen Fall zu vermeiden, verwenden Sie andere Kriterien als den Incidentnamen als Bedingungen für das Auslösen von Automatisierungsregeln. Es wird empfohlen, Tags zu verwenden.
Geplante Analyseregeln. Wenn Sie die Vorfallerstellungsregeln von Microsoft Sentinel für andere Microsoft-Sicherheitslösungen oder Produkte verwenden, die nicht in Defender XDR integriert sind, z. B. Microsoft Purview Insider Risk Management, und Sie beabsichtigen, in das Defender-Portal zu integrieren, ersetzen Sie Ihre Regeln zur Erstellung von Vorfällen durch geplante Analyseregeln.
Arbeit mit Microsoft Defender XDR-Incidents in Microsoft Sentinel und der bidirektionalen Synchronisierung
Defender XDR-Incidents werden in der Microsoft Sentinel-Incidentwarteschlange mit dem Produktnamen Microsoft Defender XDR und mit ähnlichen Details und Funktionen wie alle anderen Microsoft Sentinel-Incidents angezeigt. Jeder Incident enthält einen Link, der zurück zum parallelen Incident im Microsoft Defender-Portal führt.
Wenn sich der Incident in Defender XDR weiterentwickelt und weitere Warnungen oder Entitäten hinzugefügt werden, wird der Microsoft Sentinel-Incident entsprechend aktualisiert.
Änderungen an bestimmten Feldern oder Attributen eines Defender XDR-Incidents, die entweder in Defender XDR oder in Microsoft Sentinel vorgenommen werden, werden auch in der Warteschlange des jeweils anderen Incidents entsprechend aktualisiert. Die Synchronisierung erfolgt in beiden Portalen ohne Verzögerung sofort nach der Änderung des Incidents. Möglicherweise ist eine Aktualisierung erforderlich, um die neuesten Änderungen anzuzeigen.
Die folgenden Felder werden zwischen Vorfällen im Defender-Portal und in Microsoft Sentinel im Azure-Portal synchronisiert:
- Titel
- BESCHREIBUNG
- Produktname
- Schweregrad
- Benutzerdefinierte Tags
- ZusätzlicheDaten
- Kommentare (nur neu)
- LastModifiedBy
Die folgenden Felder werden während der Synchronisierung transformiert, sodass ihre Werte dem Schema jeder Plattform entsprechen:
| Feld | Wert im Defender-Portal | Wert in Microsoft Sentinel |
|---|---|---|
| Status | ||
| Aktiv | Neu | |
| Klassifikation/ Klassifizierungsgrund |
||
| Wahr positiv/ beliebig |
Wahr positiv/ Verdächtige Aktivität |
|
| Falsch positiv/ beliebig |
Falsch positiv/ Ungenaue Daten |
|
| Nicht verfügbar | Falsch positiv/ Falsche Warnungslogik |
|
| Unschädlich positiv/ Informationelle erwartete Aktivität |
Unschädlich positiv/ Verdächtig, aber erwartet |
|
| Nicht festgelegt | Unbestimmt |
In Defender XDR können alle Warnungen aus einem Incident in einen anderen übertragen werden, was zu einer Zusammenführung der Incidents führt. Wenn diese Zusammenführung erfolgt, spiegeln die Microsoft Sentinel-Incidents die Änderungen wider. Ein Incident enthält alle Warnungen der beiden ursprünglichen Incidents, und der andere Incident wird automatisch geschlossen und mit dem Tag „umgeleitet“ versehen.
Hinweis
Incidents in Microsoft Sentinel können maximal 150 Warnungen enthalten. Defender XDR-Incidents können mehr als das enthalten. Wenn ein Defender XDR-Incident mit mehr als 150 Warnungen mit Microsoft Sentinel synchronisiert wird, wird der Microsoft Sentinel-Incident als mit „150+“ Warnungen angezeigt und enthält einen Link zum parallelen Incident in Defender XDR, wo Sie alle Warnungen sehen können.
Erfassung erweiterter Huntingereignisse
Mit dem Defender XDR-Connector können Sie auch erweiterte Bedrohungssuchereignisse, eine Art von Ereignisrohdaten, aus Defender XDR und den zugehörigen Komponentendiensten in Microsoft Sentinel streamen. Sammeln Sie erweiterte Bedrohungssuchereignisse aus allen Defender XDR-Komponenten, und streamen Sie sie direkt in zweckgebundene Tabellen in Ihrem Microsoft Sentinel-Arbeitsbereich. Diese Tabellen bauen auf dem gleichen Schema auf, das im Defender-Portal verwendet wird, wodurch Sie vollständigen Zugriff auf die gesamte Reihe erweiterter Huntingereignisse erhalten und Folgendes erledigen können:
Einfaches Kopieren von vorhandenen erweiterten Huntingabfragen für Microsoft Defender for Endpoint/Office 365/Identity/Cloud Apps in Microsoft Sentinel
Verwenden der unformatierten Ereignisprotokolle, um weitere Erkenntnisse für Ihre Warnungen, das Hunting und die Untersuchung zu gewinnen, und diese Ereignisse mit Ereignissen aus anderen Datenquellen in Microsoft Sentinel zu korrelieren
Speichern Sie die Protokolle mit erhöhter Aufbewahrung, über die Standardmäßige Aufbewahrung von Defender XDR von 30 Tagen hinaus. Dies erreichen Sie durch Konfigurieren der Aufbewahrungsdauer Ihres Arbeitsbereichs oder der tabellenweisen Aufbewahrung in Log Analytics.
Verwandte Inhalte
In diesem Dokument haben Sie die Vorteile der Aktivierung des Defender XDR-Connectors in Microsoft Sentinel kennengelernt.
- Verknüpfen von Daten aus Microsoft Defender XDR mit Microsoft Sentinel
- Informationen zur Verwendung von Microsoft Sentinel im Defender-Portal finden Sie unter Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal.
- Überprüfen der Verfügbarkeit verschiedener Microsoft Defender XDR-Datentypen in den verschiedenen Microsoft 365- und Azure-Clouds