Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de verschillen uitgelegd tussen waarschuwingen die worden opgenomen via zelfstandige connectors en waarschuwingen die worden opgenomen via de XDR-connector (Extended Detection and Response) in Microsoft Sentinel.
Zelfstandige connectors nemen waarschuwingen rechtstreeks op van de oorspronkelijke beveiligingsproducten, terwijl de XDR-connector waarschuwingen opneemt via de Microsoft Defender XDR-pijplijn. Dit omvat connectors zoals Microsoft Defender voor Office 365, Microsoft Defender voor Eindpunt, Microsoft Defender for Identity, Information Rights Management (IRM), Preventie van gegevensverlies (DLP), Microsoft Defender voor Cloud (MDC) en Microsoft Defender for Cloud Apps (MDA).
Deze verschillen kunnen van invloed zijn op veldtoewijzingen, afgeleid veldgedrag, schemastructuur en waarschuwingsopname, wat van invloed kan zijn op uw bestaande query's, analyseregels en werkmappen. Controleer deze verschillen voordat u migreert naar de XDR-connector.
Zie de naslaginformatie over het beveiligingswaarschuwingsschema voor het volledige waarschuwingsschema.
Gedrag van compromisedEntity
Het veld CompromisedEntity wordt op verschillende producten anders verwerkt wanneer waarschuwingen worden opgenomen via de XDR-connector.
| Product | Equivalente waarde van CompromisedEntity in XDR-waarschuwingen |
|---|---|
| Microsoft Defender voor Eindpunt (MDE) | Het apparaat waar "LeadingHost": true in de JSON van de waarschuwingsentiteiten |
| Microsoft Entra ID (Identity Protection) | Altijd ingesteld op de UPN van de gebruiker |
| Microsoft Defender for Identity (MDI) | Vaste tekenreeks "CompromisedEntity" |
Opmerking
In MDE-waarschuwingen wordt CompromisedEntity afgeleid van het apparaat waar "LeadingHost": true. In sommige waarschuwingen is dit veld mogelijk niet ingevuld.
In MDI-waarschuwingen vertegenwoordigt CompromisedEntity geen host of gebruiker en is het altijd de letterlijke tekenreeks "CompromisedEntity".
Wijzigingen in veldtoewijzing
Sommige velden hebben een andere naam of gebruiken verschillende waardesets in waarschuwingen van de XDR-connector.
| Product | Verouderd veld/eigenschap | XDR-gedrag |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Toegewezen aan ExtendedProperties.Category |
| Microsoft Defender voor Office (MDO) | ExtendedProperties.Status | Maakt gebruik van een andere waardeset dan verouderde |
| Microsoft Defender voor Office (MDO) | ExtendedProperties.InvestigationName | Niet beschikbaar |
Structurele schematransformaties (MDI)
De zelfstandige MDI-connector (Microsoft Defender for Identity) gebruikte soms tijdelijke aanduidingentiteiten om aanvullende informatie op te slaan. In de XDR-connector wordt deze informatie gevouwen in eigenschappen onder de resourceAccessEvents verzameling.
| Verouderde entiteit/eigenschap | XDR-weergave |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId is niet meer vereist omdat deze identiek is aan de hostentiteit waarin ResourceAccessInfo is gedefinieerd.
Filteren van waarschuwingsopname
Sommige waarschuwingen die beschikbaar zijn via zelfstandige connectors, worden niet opgenomen via de XDR-connector.
| Product | Filtergedrag |
|---|---|
| Microsoft Defender for Cloud (MDC) | Waarschuwingen voor informatieve ernst worden niet opgenomen |
| Microsoft Entra ID | Waarschuwingen onder Hoge ernst worden standaard niet opgenomen; klanten kunnen opname configureren om alle ernst op te nemen |
Bereikgedrag (Microsoft Defender voor cloud)
Microsoft Defender voor cloudwaarschuwingen gebruiken verschillende bereikbereiken wanneer ze worden opgenomen via de XDR-connector.
| Zelfstandig connectorbereik | Bereik van XDR-connector |
|---|---|
| Abonnementsniveau | Tenantniveau |
Opmerking
Alle MDC-waarschuwingen zijn beschikbaar in de primaire werkruimte voor de tenant. Waarschuwingen worden binnen Defender XDR gerangschikt op basis van MDC-abonnementsbereiken.