Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explican las diferencias entre las alertas ingeridas a través de conectores independientes y las alertas ingeridas a través del conector de detección y respuesta extendida (XDR) en Microsoft Sentinel.
Los conectores independientes ingieren alertas directamente desde los productos de seguridad originales, mientras que el conector XDR ingiere alertas a través de la canalización de Microsoft Defender XDR. Esto incluye conectores como Microsoft Defender para Office 365, Microsoft Defender para punto de conexión, Microsoft Defender for Identity, Information Rights Management (IRM), Prevención de pérdida de datos (DLP), Microsoft Defender para cloud (MDC) y Microsoft Defender for Cloud Apps (MDA).
Estas diferencias pueden afectar a las asignaciones de campos, el comportamiento de los campos derivados, la estructura del esquema y la ingesta de alertas, lo que podría afectar a las consultas existentes, las reglas de análisis y los libros. Revise estas diferencias antes de migrar al conector XDR.
Para ver el esquema de alertas completo, consulte la referencia del esquema de alertas de seguridad.
Comportamiento de CompromisedEntity
El campo CompromisedEntity se controla de forma diferente entre los productos cuando las alertas se ingieren a través del conector XDR.
| Producto | Valor equivalente compromisedEntity en alertas XDR |
|---|---|
| Microsoft Defender para punto de conexión (MDE) | El dispositivo donde "LeadingHost": true en las entidades de alerta JSON |
| Microsoft Entra ID (Identity Protection) | Siempre se establece en el UPN del usuario |
| Microsoft Defender for Identity (MDI) | Cadena fija "CompromisedEntity" |
Nota:
En MDE alertas, CompromisedEntity se deriva del dispositivo donde "LeadingHost": true. En algunas alertas, es posible que este campo no se rellene.
En las alertas de MDI, CompromisedEntity no representa un host o usuario y siempre es la cadena "CompromisedEntity"literal .
Cambios en la asignación de campos
Algunos campos se cambian de nombre o usan diferentes conjuntos de valores en alertas del conector XDR.
| Producto | Campo o propiedad heredados | Comportamiento de XDR |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Asignado a ExtendedProperties.Category |
| Microsoft Defender para Office (MDO) | ExtendedProperties.Status | Usa un conjunto de valores diferente del heredado |
| Microsoft Defender para Office (MDO) | ExtendedProperties.InvestigationName | No disponible |
Transformaciones de esquema estructural (MDI)
El conector de Microsoft Defender for Identity independiente (MDI) a veces usaba entidades de marcador de posición para almacenar información adicional. En el conector XDR, esta información se divide en propiedades de la resourceAccessEvents colección.
| Entidad o propiedad heredada | Representación XDR |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId ya no es necesario porque es 'idéntico a la entidad Host en la que se define ResourceAccessInfo.
Filtrado de ingesta de alertas
Algunas alertas disponibles a través de conectores independientes no se ingieren a través del conector XDR.
| Producto | Comportamiento de filtrado |
|---|---|
| Microsoft Defender para la nube (MDC) | Las alertas de gravedad informativa no se ingieren |
| Microsoft Entra ID | De forma predeterminada, las alertas de gravedad alta no se ingieren; los clientes pueden configurar la ingesta para incluir todas las gravedades |
Comportamiento de ámbito (Microsoft Defender para la nube)
Microsoft Defender las alertas de Cloud usan un ámbito diferente cuando se ingieren a través del conector XDR.
| Ámbito del conector independiente | Ámbito del conector XDR |
|---|---|
| Nivel de suscripción | Nivel de inquilino |
Nota:
Todas las alertas de MDC están disponibles en el área de trabajo principal del inquilino. Las alertas se limitan según los ámbitos de suscripción de MDC dentro de Defender XDR.