Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique les différences entre les alertes ingérées via des connecteurs autonomes et les alertes ingérées via le connecteur XDR (Extended Detection and Response) dans Microsoft Sentinel.
Les connecteurs autonomes ingèrent les alertes directement à partir des produits de sécurité d’origine, tandis que le connecteur XDR ingère les alertes via le pipeline Microsoft Defender XDR. Cela inclut des connecteurs tels que Microsoft Defender pour les Office 365, les Microsoft Defender pour point de terminaison, les Microsoft Defender pour Identity, la gestion des droits relatifs à l’information (IRM), la perte de données Prévention (DLP), Microsoft Defender pour le cloud (MDC) et Microsoft Defender for Cloud Apps (MDA).
Ces différences peuvent affecter les mappages de champs, le comportement des champs dérivés, la structure de schéma et l’ingestion des alertes, ce qui peut avoir un impact sur vos requêtes, règles analytiques et classeurs existants. Passez en revue ces différences avant de migrer vers le connecteur XDR.
Pour obtenir le schéma d’alerte complet, consultez la référence du schéma d’alerte de sécurité.
Comportement CompromisedEntity
Le champ CompromisedEntity est géré différemment entre les produits lorsque les alertes sont ingérées via le connecteur XDR.
| Product | Valeur équivalente CompromisedEntity dans les alertes XDR |
|---|---|
| Microsoft Defender pour point de terminaison (MDE) | L’appareil où "LeadingHost": true se trouve dans le JSON des entités d’alerte |
| Microsoft Entra ID (Identity Protection) | Toujours défini sur l’UPN de l’utilisateur |
| Microsoft Defender pour Identity (MDI) | Chaîne fixe "CompromisedEntity" |
Remarque
Dans MDE alertes, CompromisedEntity est dérivé de l’appareil où "LeadingHost": true. Dans certaines alertes, ce champ peut ne pas être rempli.
Dans les alertes MDI, CompromisedEntity ne représente pas un hôte ou un utilisateur et est toujours la chaîne littérale "CompromisedEntity".
Modifications du mappage de champs
Certains champs sont renommés ou utilisent des jeux de valeurs différents dans les alertes du connecteur XDR.
| Product | Champ/propriété hérité | Comportement XDR |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Mappé à ExtendedProperties.Category |
| Microsoft Defender pour Office (MDO) | ExtendedProperties.Status | Utilise un jeu de valeurs différent de l’ancien |
| Microsoft Defender pour Office (MDO) | ExtendedProperties.InvestigationName | Non disponible |
Transformations de schéma structurel (MDI)
Le connecteur Microsoft Defender pour Identity autonome (MDI) utilisait parfois des entités d’espace réservé pour stocker des informations supplémentaires. Dans le connecteur XDR, ces informations sont pliées dans des propriétés sous la resourceAccessEvents collection.
| Entité/propriété héritée | Représentation XDR |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId n’est plus nécessaire, car il est identique à l’entité Host dans laquelle ResourceAccessInfo est défini.
Filtrage d’ingestion des alertes
Certaines alertes disponibles via des connecteurs autonomes ne sont pas ingérées via le connecteur XDR.
| Product | Comportement de filtrage |
|---|---|
| Microsoft Defender pour le cloud (MDC) | Les alertes de gravité d’information ne sont pas ingérées |
| Identifiant Microsoft Entra | Par défaut, les alertes dont la gravité est élevée ne sont pas ingérées ; les clients peuvent configurer l’ingestion pour inclure toutes les gravités |
Comportement d’étendue (Microsoft Defender pour le cloud)
Microsoft Defender pour les alertes cloud utilisent une étendue différente lorsqu’elles sont ingérées via le connecteur XDR.
| Étendue du connecteur autonome | Étendue du connecteur XDR |
|---|---|
| Niveau d’abonnement | Niveau du locataire |
Remarque
Toutes les alertes MDC sont disponibles dans l’espace de travail principal du locataire. Les alertes sont délimitées en fonction des étendues d’abonnement MDC dans Defender XDR.