Day27:今天我们来聊一下将Microsoft 365 Defender 连接到 Azure Sentinel

Microsoft 365 security portal提供目标导向的使用者介面,以降低Microsoft 365

Defender 侦测到的威胁。

Microsoft 365 Defender系列产品包括：

Microsoft Defender for Endpoint / Microsoft Defender for Identity

Microsoft Defender for Office 365 / Microsoft Cloud App Security

接下来我们来讲一下如何将M365连接到 Azure Sentinel

连接适用於Office 365的Microsoft Defender的警示

适用於Microsoft Defender for Office 365可保护您的组织免於电子邮件讯息、

连结(URL)和共同作业工具所带来的恶意威胁。藉由嵌入Microsoft Defender for

Office 365警示进入Azure Sentinel，可以将电子邮件型、 URL 型威胁的相关

资讯纳入更广泛的风险分析及建立回应案例流程中。

下列是内嵌的警示类型：

-侦测到潜在的恶意URL点击
-电子邮件讯息包含在传递後被移除的恶意程序码
-电子邮件讯息包含在传递後移除的网路钓鱼URL
-电子邮件经使用者回报为恶意程序码或网路钓鱼
-侦测到可疑的电子邮件传送模式
-使用者限制而无法传送电子邮件

连接来自Microsoft Defender for Endpoint的警报

Microsoft Defender for Endpoint是一个安全平台,旨在防止、检测、调查和

响应高级威胁。

当在组织中发现可疑的安全事件时,平台会建立警报。获取Microsoft Defender ATP

生成的警报,以便可以有效地分析安全事件。

连接Microsoft 365 Defender连接器

Microsoft 365 Defender连接器允许将进阶搜索日志(一种原始事件数据)从

Microsoft 365 Defender传输到Azure Sentinel。

通过将Microsoft Defender for Endpoint整合到Microsoft 365 Defender安全

保护伞中,可以使用Microsoft 365 Defender连接器收集Microsoft Defender for

Endpoint高级狩猎事件,并将它们直接传输到Azure Sentinel工作区中新的专用表中。