Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln förklarar skillnaderna mellan aviseringar som matas in via fristående anslutningsappar och aviseringar som matas in via XDR-anslutningsappen (Extended Detection and Response) i Microsoft Sentinel.
Fristående anslutningsappar matar in aviseringar direkt från de ursprungliga säkerhetsprodukterna, medan XDR-anslutningsappen matar in aviseringar via Microsoft Defender XDR pipeline. Detta inkluderar anslutningsappar som Microsoft Defender för Office 365, Microsoft Defender för Endpoint, Microsoft Defender for Identity, Information Rights Management (IRM), Data Loss Prevention (DLP), Microsoft Defender för molnet (MDC) och Microsoft Defender for Cloud Apps (MDA).
Dessa skillnader kan påverka fältmappningar, beteende för härledda fält, schemastruktur och aviseringsinmatning, vilket kan påverka dina befintliga frågor, analysregler och arbetsböcker. Granska dessa skillnader innan du migrerar till XDR-anslutningsappen.
Det fullständiga aviseringsschemat finns i schemareferensen för säkerhetsaviseringar.
CompromisedEntity-beteende
Fältet CompromisedEntity hanteras på olika sätt mellan produkter när aviseringar matas in via XDR-anslutningsappen.
| Produkt | CompromisedEntity-ekvivalent värde i XDR-aviseringar |
|---|---|
| Microsoft Defender för Endpoint (MDE) | Enheten där "LeadingHost": true JSON för aviseringsentiteter finns |
| Microsoft Entra ID (Identity Protection) | Ange alltid användarens UPN |
| Microsoft Defender for Identity (MDI) | Fast sträng "CompromisedEntity" |
Obs!
I MDE aviseringar härleds CompromisedEntity från enheten där "LeadingHost": true. I vissa aviseringar kanske det här fältet inte fylls i.
I MDI-aviseringar representerar CompromisedEntity inte en värd eller användare och är alltid literalsträngen "CompromisedEntity".
Ändringar i fältmappning
Vissa fält har bytt namn eller använder olika värdeuppsättningar i aviseringar från XDR-anslutningsappen.
| Produkt | Äldre fält/egenskap | XDR-beteende |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | Mappad till ExtendedProperties.Category |
| Microsoft Defender för Office (MDO) | ExtendedProperties.Status | Använder en annan värdeuppsättning än äldre |
| Microsoft Defender för Office (MDO) | ExtendedProperties.InvestigationName | Inte tillgängligt |
Strukturschematransformeringar (MDI)
Den fristående Microsoft Defender for Identity-anslutningsappen (MDI) använde ibland platshållarentiteter för att lagra ytterligare information. I XDR-anslutningsappen viks den här informationen in i egenskaper under resourceAccessEvents samlingen.
| Äldre entitet/egenskap | XDR-representation |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId krävs inte längre eftersom det är identiskt med den värdentitet som ResourceAccessInfo har definierats i.
Aviseringsinmatningsfiltrering
Vissa aviseringar som är tillgängliga via fristående anslutningsappar matas inte in via XDR-anslutningstjänsten.
| Produkt | Filtreringsbeteende |
|---|---|
| Microsoft Defender för molnet (MDC) | Aviseringar om informations allvarlighetsgrad matas inte in |
| Microsoft Entra ID | Som standard matas inte aviseringar under Hög allvarlighetsgrad in. kunder kan konfigurera inmatning för att inkludera alla allvarlighetsgrad |
Omfångsbeteende (Microsoft Defender för molnet)
Microsoft Defender för molnaviseringar använder olika omfång när de matas in via XDR-anslutningsappen.
| Omfång för fristående anslutningsprogram | XDR-anslutningsomfång |
|---|---|
| Prenumerationsnivå | Klientorganisationsnivå |
Obs!
Alla MDC-aviseringar är tillgängliga på klientorganisationens primära arbetsyta. Aviseringar begränsas enligt MDC-prenumerationsomfång inom Defender XDR.