Microsoft Sentinel na portálu Microsoft Defender
Tento článek popisuje prostředí Microsoft Sentinelu na portálu Microsoft Defender. Microsoft Sentinel je obecně dostupný v rámci sjednocené platformy microsoftu pro operace zabezpečení na portálu Microsoft Defender s XDR v programu Microsoft Defender. Další informace naleznete v tématu:
- Blogové příspěvky: Obecná dostupnost sjednocené platformy microsoftu pro provoz zabezpečení
- Blogové příspěvky: Nejčastější dotazy týkající se sjednocené provozní platformy zabezpečení
- Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender
- Podpora funkcí Microsoft Sentinelu pro komerční nebo jiné cloudy Azure
Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5.
Nové a vylepšené funkce
Následující tabulka popisuje nové nebo vylepšené funkce dostupné na portálu Defender s integrací Služby Microsoft Sentinel. Microsoft nadále inovuje v tomto novém prostředí s funkcemi, které můžou být exkluzivní na portálu Defender.
| Možnosti | Popis |
|---|---|
| Pokročilý proaktivní vyhledávání | Dotazování z jednoho portálu v různých datových sadách za účelem efektivnějšího proaktivního vyhledávání a odebrání potřeby přepínání kontextu K vygenerování KQL použijte funkci Security Copilot. Umožňuje zobrazit a dotazovat všechna data včetně dat ze služeb zabezpečení Microsoftu a Microsoft Sentinelu. Použijte veškerý obsah vašeho existujícího pracovního prostoru Microsoft Sentinelu, včetně dotazů a funkcí. Další informace najdete v následujících článcích: - Rozšířené proaktivní vyhledávání na portálu Microsoft Defender - Zabezpečení Copilot v rozšířeném proaktivním vyhledávání |
| Optimalizace SOC | Získejte vysoce věrná a užitečná doporučení, která vám pomůžou identifikovat oblasti pro: - Snížení nákladů - Přidání bezpečnostních prvků – Přidání chybějících dat Optimalizace SOC jsou k dispozici na portálech Defender a Azure Portal, jsou přizpůsobené vašemu prostředí a jsou založené na aktuálním pokrytí a na šířku hrozeb. Další informace najdete v následujících článcích: - Optimalizace operací zabezpečení - Referenční informace k optimalizaci SOC doporučení |
| Microsoft Copilot v programu Microsoft Defender | Při vyšetřování incidentů na portálu Defender - Shrnutí incidentů - Analýza skriptů - Analýza souborů - Vytváření hlášení incidentů Při proaktivním vyhledávání hrozeb v pokročilém proaktivním vyhledávání můžete pomocí pomocníka pro dotazy vytvořit připravené dotazy KQL. Další informace naleznete v tématu Microsoft Security Copilot v rozšířeném proaktivním vyhledávání. |
Následující tabulka popisuje další možnosti, které jsou k dispozici na portálu Defender s integrací Microsoft Sentinelu a XDR v programu Microsoft Defender jako součást sjednocené platformy pro operace zabezpečení Microsoftu.
| Možnosti | Popis |
|---|---|
| Narušení útoku | Nasaďte automatické přerušení útoku pro SAP pomocí portálu Defender i řešení Microsoft Sentinel pro aplikace SAP. Například obsahují ohrožené prostředky uzamčením podezřelých uživatelů SAP v případě útoku na manipulaci s finančními procesy. Možnosti přerušení útoků pro SAP jsou dostupné jenom na portálu Defender. Pokud chcete pro SAP použít přerušení útoku, aktualizujte verzi agenta datového konektoru a ujistěte se, že je příslušná role Azure přiřazená identitě vašeho agenta. Další informace najdete v tématu Automatické přerušení útoku pro SAP. |
| Sjednocené entity | Stránky entit pro zařízení, uživatele, IP adresy a prostředky Azure na portálu Defender zobrazují informace ze zdrojů dat Microsoft Sentinelu a Defenderu. Tyto stránky entit poskytují rozšířený kontext pro vyšetřování incidentů a upozornění na portálu Defender. Další informace najdete v tématu Zkoumání entit se stránkami entit v Microsoft Sentinelu. |
| Sjednocené incidenty | Spravujte a prošetřujte incidenty zabezpečení v jednom umístění a z jedné fronty na portálu Defender. Pomocí funkce Security Copilot můžete shrnout sestavy, reagovat na ně a reagovat na ně. Mezi incidenty patří: - Data z šířky zdrojů - Analytické nástroje AI pro správu informací o zabezpečení a událostí (SIEM) – Kontextové nástroje a nástroje pro zmírnění rizik, které nabízí rozšířená detekce a reakce (XDR) Další informace najdete v následujících článcích: - Reakce na incidenty na portálu Microsoft Defender - Prozkoumání incidentů Služby Microsoft Sentinel v kopírovací službě Security Copilot |
| Microsoft Copilot v programu Microsoft Defender | Při vyšetřování incidentů pomocí Služby Microsoft Sentinel integrované s XDR v programu Defender - Třídění a vyšetřování incidentů s asistencí odpovědí - Shrnutí informací o zařízení - Shrnutí informací o identitě Shrňte relevantní hrozby, které mají dopad na vaše prostředí, abyste mohli určit prioritu řešení hrozeb na základě úrovní expozice nebo najít aktéry hrozeb, které by mohly být cílem vašeho odvětví, pomocí funkce Security Copilot v analýze hrozeb. Další informace najdete v tématu Použití funkce Microsoft Security Copilot pro analýzu hrozeb. |
Rozdíly mezi možnostmi mezi portály
Většina funkcí Služby Microsoft Sentinel je dostupná na portálech Azure i Defenderu. Na portálu Defender se některé prostředí Microsoft Sentinelu otevírají na webu Azure Portal, abyste mohli dokončit úkol.
Tato část se věnuje možnostem nebo integracím Microsoft Sentinelu, které jsou dostupné jenom na portálu Azure Portal nebo na portálu Defender nebo v jiných významných rozdílech mezi portály. Vyloučí prostředí Microsoft Sentinelu, která otevřou Azure Portal z portálu Defender.
| Schopnost | Dostupnost | Popis |
|---|---|---|
| Pokročilé proaktivní vyhledávání pomocí záložek | Pouze azure Portal | Záložky nejsou podporovány v rozšířeném prostředí proaktivního vyhledávání na portálu Microsoft Defender. Na portálu Defender jsou podporované v proaktivním vyhledávání > správy hrozeb microsoft Sentinelu>. Další informace najdete v tématu Sledování dat během proaktivního vyhledávání pomocí Služby Microsoft Sentinel. |
| Přerušení útoku pro SAP | Portál Defender pouze s XDR v programu Defender | Tato funkce není dostupná na webu Azure Portal. Další informace najdete v tématu Automatické přerušení útoku na portálu Microsoft Defender. |
| Automation | Některé postupy automatizace jsou k dispozici pouze na webu Azure Portal. Jiné postupy automatizace jsou stejné na portálu Defender a Azure Portal, ale liší se na webu Azure Portal mezi pracovními prostory, které jsou nasazené na portálu Defender a pracovních prostorech, které nejsou. |
Další informace najdete v tématu Automatizace s jednotnou platformou operací zabezpečení. |
| Datové konektory: viditelnost konektorů používaných jednotnou platformou pro provoz zabezpečení | Pouze azure Portal | Po připojení Microsoft Sentinelu na portálu Defender se na stránce Datové konektory nezobrazují následující datové konektory, které jsou součástí sjednocené platformy operací zabezpečení: Na webu Azure Portal jsou tyto datové konektory stále uvedené s nainstalovanými datovými konektory v Microsoft Sentinelu. |
| Entity: Přidání entit do analýzy hrozeb z incidentů | Pouze azure Portal | Tato funkce není dostupná na portálu Defender. Další informace najdete v tématu Přidání entity do indikátorů hrozeb. |
| Fúze: Pokročilá detekce útoků s více fázemi | Pouze azure Portal | Pravidlo analýzy fúzní analýzy, které vytváří incidenty na základě korelací výstrah provedených modulem korelace Fusion, se zakáže při onboardingu Microsoft Sentinelu na portálu Defender. Portál Defender používá funkce XDR v programu Microsoft Defender pro vytváření incidentů a korelace k nahrazení funkcí modulu Fusion. Další informace najdete v tématu Rozšířené zjišťování útoků s více fázemi v Microsoft Sentinelu. |
| Incidenty: Přidání výstrah do incidentů / Odebrání výstrah z incidentů |
Pouze portál Defender | Po zprovoznění služby Microsoft Sentinel na portálu Defender už na webu Azure Portal nemůžete přidávat výstrahy ani je z incidentů odebírat. Výstrahu můžete odebrat z incidentu na portálu Defender, ale pouze propojením výstrahy s jiným incidentem (existujícím nebo novým). |
| Incidenty: Úpravy komentářů | Pouze azure Portal | Po onboardingu Microsoft Sentinelu na portálu Defender můžete přidat komentáře k incidentům na obou portálech, ale existující komentáře se nedají upravovat. Úpravy komentářů na webu Azure Portal se nesynchronizují s portálem Defender. |
| Incidenty: Programové a ruční vytváření incidentů | Pouze azure Portal | Incidenty vytvořené v Microsoft Sentinelu prostřednictvím rozhraní API, playbooku aplikace logiky nebo ručně z webu Azure Portal se nesynchronují s portálem Defender. Tyto incidenty se stále podporují na webu Azure Portal a v rozhraní API. Viz Ruční vytvoření vlastních incidentů v Microsoft Sentinelu. |
| Incidenty: Opětovné otevření uzavřených incidentů | Pouze azure Portal | Na portálu Defender nemůžete nastavit seskupení výstrah v analytických pravidlech Služby Microsoft Sentinel, aby se znovu otevřely zavřené incidenty, pokud se přidají nová upozornění. Uzavřené incidenty se v tomto případě znovu neotevře a nové výstrahy aktivují nové incidenty. |
| Incidenty: Úkoly | Pouze azure Portal | Úlohy nejsou na portálu Defender k dispozici. Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu. |
| Správa více pracovních prostorů pro Microsoft Sentinel | Portál Defender: Omezeno na jeden pracovní prostor Služby Microsoft Sentinel na tenanta Azure Portal: Centrální správa více pracovních prostorů Microsoft Sentinelu pro tenanty |
Na portálu Defender se v současné době podporuje jenom jeden pracovní prostor Microsoft Sentinelu na tenanta. Správa víceklientů v programu Microsoft Defender proto podporuje jeden pracovní prostor Microsoft Sentinelu na tenanta. Další informace najdete v následujících článcích: – Portál Defender: Správa víceklientů v programu Microsoft Defender – Azure Portal: Správa více pracovních prostorů Služby Microsoft Sentinel pomocí správce pracovních prostorů |
Omezené nebo nedostupné možnosti
Když nasadíte Microsoft Sentinel na portál Defenderu bez povoleného XDR defenderu nebo jiných služeb, jsou v současné době omezené nebo nedostupné následující funkce, které se zobrazují na portálu Defender.
| Schopnost | Vyžaduje se služba. |
|---|---|
| Řízení expozice | Správa ohrožení zabezpečení Microsoftu |
| Vlastní pravidla detekce | Microsoft Defender XDR |
| Centrum akcí | Microsoft Defender XDR |
Následující omezení platí také pro Microsoft Sentinel na portálu Defender bez povoleného XDR defenderu nebo jiných služeb:
- Noví zákazníci Microsoft Sentinelu nemají nárok na připojení pracovního prostoru služby Log Analytics, který je vytvořený v oblasti Izrael. Pokud chcete připojit k portálu Defender, vytvořte jiný pracovní prostor pro Microsoft Sentinel v jiné oblasti. Tento další pracovní prostor nemusí obsahovat žádná data.
- Zákazníci, kteří používají analýzu chování uživatelů a entit Microsoft Sentinelu (UEBA), mají omezenou verzi tabulky IdentityInfo.
Stručná referenční příručka
Některé funkce Microsoft Sentinelu, jako je sjednocená fronta incidentů, jsou integrované s XDR v programu Microsoft Defender v rámci sjednocené platformy pro operace zabezpečení. V části Microsoft Sentinel na portálu Defender je k dispozici řada dalších funkcí Microsoft Sentinelu .
Následující obrázek ukazuje nabídku Microsoft Sentinelu na portálu Defender:
Následující části popisují, kde najít funkce Služby Microsoft Sentinel na portálu Defender. Oddíly jsou uspořádané tak, jak je Microsoft Sentinel na webu Azure Portal.
OBECNÉ
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Obecné na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Přehled | Přehled |
| Protokoly | Prošetření a reakce > proaktivního vyhledávání pro pokročilé proaktivní > vyhledávání |
| Novinky a příručky | Není k dispozici |
| Hledání | Vyhledávání v Microsoft Sentinelu > |
Řízení rizik
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa hrozeb na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Incidenty | Incidenty vyšetřování a reakce > na incidenty a výstrahy > incidentů |
| Workbooks | Sešity správy> hrozeb v Microsoft Sentinelu > |
| Vyhledávání | Proaktivní vyhledávání pro správu > hrozeb v Microsoft Sentinelu > |
| Poznámkové bloky | Poznámkové bloky pro správu > hrozeb v Microsoft Sentinelu > |
| Chování entit | Stránka entity uživatele: Identity >prostředků > {user}> Sentinel – události Stránka entity zařízení: Zařízení >zařízení > {device}> Sentinel – události Najděte také stránky entit pro uživatele, zařízení, IP adresu a typy entit prostředků Azure z incidentů a výstrah, jak se zobrazují. |
| Analýza hrozeb | Analýza hrozeb pro správu > hrozeb v Microsoft Sentinelu > |
| MITRE ATT&CK | Správa > hrozeb pro Microsoft Sentinel > MITRE ATT&CK |
Správa obsahu
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa obsahu na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Centrum obsahu | Centrum obsahu správy > obsahu služby Microsoft Sentinel > |
| Úložiště | Úložiště správy > obsahu služby Microsoft Sentinel > |
| Komunita | Komunita správy > obsahu služby Microsoft Sentinel > |
Konfigurace
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Konfigurace na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Správce pracovních prostorů | Není k dispozici |
| Konektory dat | Konektory konfiguračních > dat služby Microsoft Sentinel > |
| Analýzy | Analýza konfigurace > Služby Microsoft Sentinel > |
| Seznamy ke zhlédnutí | Seznamy ke zhlédnutí konfigurace > služby Microsoft Sentinel > |
| Automation | Automatizace konfigurace > Microsoft Sentinelu > |
| Nastavení | > Nastavení systému > v Microsoft Sentinelu |