Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Unterschiede zwischen Warnungen erläutert, die über eigenständige Connectors erfasst werden, und Warnungen, die über den XDR-Connector (Extended Detection and Response) in Microsoft Sentinel erfasst werden.
Eigenständige Connectors erfassen Warnungen direkt aus den ursprünglichen Sicherheitsprodukten, während der XDR-Connector Warnungen über die Microsoft Defender XDR-Pipeline erfasst. Dazu gehören Connectors wie Microsoft Defender für Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identity, Information Rights Management (IRM), Data Loss Prevention (DLP), Microsoft Defender für Cloud (MDC) und Microsoft Defender for Cloud Apps (MDA).
Diese Unterschiede können sich auf Feldzuordnungen, das Verhalten abgeleiteter Felder, die Schemastruktur und die Erfassung von Warnungen auswirken, was sich auf Ihre vorhandenen Abfragen, Analyseregeln und Arbeitsmappen auswirken kann. Überprüfen Sie diese Unterschiede, bevor Sie zum XDR-Connector migrieren.
Das vollständige Warnungsschema finden Sie in der Referenz zum Sicherheitswarnungsschema.
CompromisedEntity-Verhalten
Das Feld CompromisedEntity wird produktübergreifend unterschiedlich behandelt, wenn Warnungen über den XDR-Connector erfasst werden.
| Produkt | Äquivalentwert "CompromisedEntity" in XDR-Warnungen |
|---|---|
| Microsoft Defender für Endpunkt (MDE) | Das Gerät, auf dem "LeadingHost": true im JSON-Code der Warnungsentitäten enthalten ist |
| Microsoft Entra ID (Identity Protection) | Immer auf den UPN des Benutzers festgelegt |
| Microsoft Defender for Identity (MDI) | Feste Zeichenfolge "CompromisedEntity" |
Hinweis
In MDE Warnungen wird CompromisedEntity vom Gerät abgeleitet, wobei "LeadingHost": true. In einigen Warnungen wird dieses Feld möglicherweise nicht aufgefüllt.
In MDI-Warnungen stellt CompromisedEntity keinen Host oder Benutzer dar und ist immer die Literalzeichenfolge "CompromisedEntity".
Änderungen an der Feldzuordnung
Einige Felder werden umbenannt oder verwenden unterschiedliche Wertesätze in Warnungen des XDR-Connectors.
| Produkt | Legacyfeld/-eigenschaft | XDR-Verhalten |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Zugeordnet zu ExtendedProperties.Category |
| Microsoft Defender für Office (MDO) | ExtendedProperties.Status | Verwendet einen anderen Wertsatz als die Vorgängerversion. |
| Microsoft Defender für Office (MDO) | ExtendedProperties.InvestigationName | Nicht verfügbar |
Strukturelle Schematransformationen (MDI)
Der MDI-Connector (Standalone Microsoft Defender for Identity) verwendet manchmal Platzhalterentitäten, um zusätzliche Informationen zu speichern. Im XDR-Connector werden diese Informationen in Eigenschaften unter der resourceAccessEvents Auflistung gefaltet.
| Legacyentität/-eigenschaft | XDR-Darstellung |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId ist nicht mehr erforderlich, da sie mit der Hostentität identisch ist, in der ResourceAccessInfo definiert ist.
Filtern der Warnungserfassung
Einige Warnungen, die über eigenständige Connectors verfügbar sind, werden nicht über den XDR-Connector erfasst.
| Produkt | Filterverhalten |
|---|---|
| Microsoft Defender für Cloud (MDC) | Warnungen zum Informationsschweregrad werden nicht erfasst |
| Microsoft Entra-ID | Standardmäßig werden Warnungen unter dem Schweregrad "Hoher Schweregrad" nicht erfasst. Kunden können die Erfassung so konfigurieren, dass alle Schweregrade eingeschlossen werden. |
Bereichsverhalten (Microsoft Defender für Cloud)
Microsoft Defender für Cloudwarnungen verwenden bei der Erfassung über den XDR-Connector unterschiedliche Bereichsgrenzen.
| Eigenständiger Connectorbereich | XDR-Connectorbereich |
|---|---|
| Abonnementebene | Mandantenebene |
Hinweis
Alle MDC-Warnungen sind im primären Arbeitsbereich für den Mandanten verfügbar. Warnungen werden gemäß den MDC-Abonnementbereichen innerhalb Defender XDR.