Připojení Microsoft Sentinel k portálu Microsoft Defender

• Platí pro:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel je obecně k dispozici v rámci platformy SecOps (Unified Security Operations) společnosti Microsoft na portálu Microsoft Defender. Když nasadíte Microsoft Sentinel na portál Defender pomocí Microsoft Defender XDR, sjednotíte funkce, jako je správa incidentů a rozšířené proaktivní vyhledávání. Omezte přepínání nástrojů a vytvořte šetření více zaměřené na kontext, které urychlí reakci na incidenty a zastaví porušení zabezpečení rychleji. Další informace najdete tady:

• Příspěvek na blogu: Obecná dostupnost sjednocené platformy microsoftu pro operace zabezpečení
• Příspěvek na blogu: Nejčastější dotazy k jednotné platformě operací zabezpečení
• Microsoft Sentinel na portálu Microsoft Defender
• Microsoft Defender XDR integrace s Microsoft Sentinel

Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5.

Požadavky

Než začnete, projděte si dokumentaci k funkcím a seznamte se se změnami a omezeními produktu.

• Microsoft Sentinel na portálu Microsoft Defender
• Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
• Výstrahy, incidenty a korelace v Microsoft Defender XDR
• Automatizace s využitím sjednocené platformy operací zabezpečení

Portál Microsoft Defender podporuje jednoho tenanta Microsoft Entra a připojení k jednomu pracovnímu prostoru. V kontextu tohoto článku je pracovní prostor služby Log Analytics s povolenými Microsoft Sentinel.

požadavky na Microsoft Sentinel

Pokud chcete nasadit a používat Microsoft Sentinel na portálu Defender, musíte mít následující prostředky a přístup:

• Pracovní prostor služby Log Analytics s povolenými Microsoft Sentinel

• Datový konektor pro Microsoft Defender XDR povolen v Microsoft Sentinel pro incidenty a výstrahy. Nainstalujte řešení Defender XDR a nakonfigurujte datový konektor pro připojení Microsoft Sentinel k portálu Defender. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení. V datovém konektoru Defender XDR se po připojení Microsoft Sentinel na portál Defender vypne a zakáže možnost konfigurace připojení incidentu a výstrah.

• Účet Azure s odpovídajícími rolemi pro nasazení, používání a vytváření žádostí o podporu pro Microsoft Sentinel na portálu Defender. V následující tabulce jsou uvedené některé klíčové role, které jsou potřeba.

  Úloha	Microsoft Entra nebo předdefinované role Azure	Rozsah
  Onboarding Microsoft Sentinel na portál Defender	Globální správce nebo správce zabezpečení v Microsoft Entra ID	Tenant
  Připojení nebo odpojení pracovního prostoru s povolenými Microsoft Sentinel	Vlastník nebo správce uživatelských přístupů a přispěvatel Microsoft Sentinel	– Předplatné pro role vlastníka nebo správce uživatelských přístupů – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele Microsoft Sentinel
  Zobrazení Microsoft Sentinel na portálu Defender	Microsoft Sentinel Reader	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
  Dotazování Sentinel tabulek dat nebo zobrazení incidentů	Microsoft Sentinel Čtenář nebo role s následujícími akcemi: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
  Provádění vyšetřovacích akcí v incidentech	Microsoft Sentinel Přispěvatel nebo role s následujícími akcemi: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write – Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
  Vytvoření žádosti o podporu	Vlastník , přispěvatel nebo přispěvatel nebo přispěvatel žádosti o podporu přispěvatel nebo vlastní role u Microsoft.Support/*	Předplatné

  Po připojení Microsoft Sentinel k portálu Defender vám stávající oprávnění řízení přístupu na základě role (RBAC) v Azure umožňují pracovat s Microsoft Sentinel funkcemi, ke kterým máte přístup. Pokračujte ve správě rolí a oprávnění pro uživatele Microsoft Sentinel z Azure Portal. Všechny změny Azure RBAC se projeví na portálu Defender. Další informace o Microsoft Sentinel oprávněních najdete v tématu Role a oprávnění v Microsoft Sentinel | Microsoft Learn a správa přístupu k Microsoft Sentinel datům podle prostředků | Microsoft Learn.

Požadavky na sjednocenou platformu SecOps od Microsoftu

Pokud chcete sjednotit možnosti s Defender XDR na sjednocené platformě Microsoftu SecOps, musíte mít následující prostředky a přístup:

• Licencování pro Defender XDR, jak je popsáno v požadavcích Microsoft Defender XDR
• Účet pro Defender XDR je členem stejného tenanta Microsoft Entra, ke kterému je přidružený Microsoft Sentinel.
• Přístup k Microsoft Defender XDR na portálu Defender, jak je popsáno v části požadavky Microsoft Defender XDR

Onboarding Microsoft Sentinel

Pokud chcete k portálu Defender připojit pracovní prostor Microsoft Sentinel, proveďte následující kroky. Pokud provádíte onboarding Microsoft Sentinel bez Defender XDR (Preview), existuje další krok, který aktivuje připojení pomocí Microsoft Sentinel a portálu Defender.

1. Přejděte na portál Microsoft Defender a přihlaste se.
2. Nasazení Microsoft Sentinel bez Defender XDR na portálu Defender:
   1. Pokud chcete aktivovat připojení pomocí Microsoft Sentinel, vyberte Vyšetřování & reakce>Incidenty.
   2. Počkejte několik minut, než se připojení dokončí.
3. Na portálu Defender vyberte Přehled.
4. Vyberte Připojit pracovní prostor.
5. Zvolte pracovní prostor, ke kterému se chcete připojit, a vyberte Další.
6. Přečtěte si změny produktů spojené s připojením pracovního prostoru a seznamte se s nimi.
7. Vyberte Připojit.

Po připojení pracovního prostoru se v banneru na stránce Přehled zobrazuje, že vaše prostředí je připravené. Stránka Přehled se aktualizuje o nové oddíly, které obsahují metriky z Microsoft Sentinel, jako je počet datových konektorů a pravidla automatizace.

Prozkoumání Microsoft Sentinel funkcí na portálu Defenderu

Po připojení pracovního prostoru k portálu Defender se v levém navigačním podokně nachází Microsoft Sentinel. Pokud jste povolili Defender XDR, stránky jako Přehled, Incidenty a Rozšířené vyhledávání obsahují sjednocená data z Microsoft Sentinel a Defender XDR. Pokud nemáte povolené Defender XDR, tyto stránky obsahují jenom data z Microsoft Sentinel (Preview). Další informace o jednotných možnostech a rozdílech mezi portály najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Mnoho stávajících funkcí Microsoft Sentinel je integrovaných na portálu Defender. U těchto funkcí si všimněte, že prostředí mezi Microsoft Sentinel na Azure Portal a portálu Defender je podobné. Následující články vám pomůžou začít pracovat s Microsoft Sentinel na portálu Defender. Při používání těchto článků mějte na paměti, že výchozím bodem v tomto kontextu je portál Defender místo Azure Portal.

• Hledání
  • Hledání v dlouhých časových obdobích ve velkých datových sadách
  • Obnovení archivovaných protokolů z vyhledávání
• Řízení rizik
  • Vizualizace a monitorování dat pomocí sešitů
  • Provádění komplexního proaktivního vyhledávání hrozeb pomocí funkce Hunts
  • Použití záložek proaktivního vyhledávání pro zkoumání dat
  • Použití živého streamu proaktivního vyhledávání v Microsoft Sentinel k detekci hrozby
  • Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter
  • Hromadné přidání indikátorů pro Microsoft Sentinel analýzy hrozeb ze souboru CSV nebo JSON
  • Práce s indikátory hrozeb v Microsoft Sentinel
  • Vysvětlení zabezpečení pomocí architektury MITRE ATT&CK
• Správa obsahu
  • Zjišťování a správa Microsoft Sentinel předefinovaný obsah
  • Microsoft Sentinel katalog centra obsahu
  • Nasazení vlastního obsahu z úložiště
• Konfigurace
  • Vyhledání datového konektoru Microsoft Sentinel
  • Vytvoření vlastních analytických pravidel pro detekci hrozeb
  • Práce s analytickými pravidly detekce téměř v reálném čase (NRT) v Microsoft Sentinel
  • Vytváření seznamů ke zhlédnutí
  • Správa seznamů ke zhlédnutí v Microsoft Sentinel
  • Vytváření pravidel automatizace
  • Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu

Nastavení Microsoft Sentinel najdete na portálu Defender v částiNastavení>systému>Microsoft Sentinel.

Offboarding Microsoft Sentinel

K portálu Defender můžete mít najednou připojený jenom jeden pracovní prostor. Pokud se chcete připojit k jinému pracovnímu prostoru, který má povolené Microsoft Sentinel, odpojte aktuální pracovní prostor a připojte druhý pracovní prostor.

1. Přejděte na portál Microsoft Defender a přihlaste se.

2. Na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinel.

3. Na stránce Pracovní prostory vyberte připojený pracovní prostor a Odpojit pracovní prostor.

4. Uveďte důvod, proč pracovní prostor odpojíte.

5. Potvrďte výběr.

   Po odpojení pracovního prostoru se oddíl Microsoft Sentinel odebere z levého navigačního panelu portálu Defender. Data z Microsoft Sentinel už nejsou na stránce Přehled zahrnutá.

Pokud se chcete připojit k jinému pracovnímu prostoru, na stránce Pracovní prostory vyberte pracovní prostor a Připojte pracovní prostor.

Související obsah

• Microsoft Sentinel na portálu Microsoft Defender
• Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
• Automatické přerušení útoku v Microsoft Defender XDR
• Vyšetřování incidentů na portálu Microsoft Defender
• Optimalizace operací zabezpečení