Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel forklares forskellene mellem beskeder, der indtages via separate connectors, og beskeder, der indtages via XDR-connectoren (Extended Detection and Response) i Microsoft Sentinel.
Separate connectors henter beskeder direkte fra de oprindelige sikkerhedsprodukter, mens XDR-connectoren indtager beskeder via Microsoft Defender XDR pipeline. Dette omfatter forbindelser som f.eks. Microsoft Defender til Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identity, IRM (Information Rights Management), DLP (Data Loss Prevention), Microsoft Defender til Cloud (MDC) og Microsoft Defender for Cloud Apps (MDA).
Disse forskelle kan påvirke felttilknytninger, funktionsmåde for afledte felter, skemastruktur og beskedindtagelse, hvilket kan påvirke dine eksisterende forespørgsler, analyseregler og projektmapper. Gennemse disse forskelle, før du overfører til XDR-connectoren.
Du kan se hele beskedskemaet i skemareferencen til sikkerhedsbeskeder.
KompromitteretEntity-funktionsmåde
Feltet CompromisedEntity håndteres forskelligt på tværs af produkter, når beskeder indtages via XDR-connectoren.
| Produkt | CompromisedEntity-ækvivalent værdi i XDR-beskeder |
|---|---|
| Microsoft Defender for Endpoint (MDE) | Enheden, hvor "LeadingHost": true i beskedenhederne JSON |
| Microsoft Entra ID (identitetsbeskyttelse) | Angiv altid brugerens UPN |
| Microsoft Defender for Identity (MDI) | Fast streng "CompromisedEntity" |
Bemærk!
I MDE beskeder afledes CompromisedEntity fra den enhed, hvor "LeadingHost": true. I nogle beskeder er dette felt muligvis ikke udfyldt.
I MDI-beskeder repræsenterer CompromisedEntity ikke en vært eller bruger og er altid konstantstrengen "CompromisedEntity".
Ændringer i felttilknytning
Nogle felter omdøbes eller bruger forskellige værdisæt i beskeder fra XDR-connectoren.
| Produkt | Ældre felt/egenskab | XDR-funktionsmåde |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Knyttet til ExtendedProperties.Category |
| Microsoft Defender til Office (MDO) | ExtendedProperties.Status | Bruger et andet værdisæt end ældre |
| Microsoft Defender til Office (MDO) | ExtendedProperties.InvestigationName | Ikke tilgængelig |
Strukturelle skematransformationer (MDI)
Den separate Microsoft Defender for Identity-connector (MDI) brugte nogle gange pladsholderobjekter til at gemme yderligere oplysninger. I XDR-connectoren foldes disse oplysninger ind i egenskaber under resourceAccessEvents samlingen.
| Ældre enhed/egenskab | XDR-repræsentation |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId er ikke længere påkrævet, fordi det er 'identisk med værtsobjektet, som ResourceAccessInfo er defineret i.
Filtrering af beskedindtagelse
Nogle beskeder, der er tilgængelige via separate connectors, indtages ikke via XDR-connectoren.
| Produkt | Funktionsmåde for filtrering |
|---|---|
| Microsoft Defender til Cloud (MDC) | Vigtige beskeder om oplysningers alvorsgrad indtages ikke |
| Microsoft Entra ID | Beskeder under Høj alvorsgrad indtages som standard ikke. kunder kan konfigurere indtagelse til at inkludere alle de forskellige |
Funktionsmåde for styring (Microsoft Defender for Cloud)
Microsoft Defender for cloudbeskeder bruger et andet område, når de indtages via XDR-connectoren.
| Område for enkeltstående connector | Område for XDR-connector |
|---|---|
| Abonnementsniveau | Lejerniveau |
Bemærk!
Alle MDC-beskeder er tilgængelige i lejerens primære arbejdsområde. Beskeder er begrænset i henhold til MDC-abonnementsområder i Defender XDR.