Připojení Microsoft Sentinel k portálu Microsoft Defender

Microsoft Sentinel je obecně k dispozici v rámci platformy SecOps (Unified Security Operations) společnosti Microsoft na portálu Microsoft Defender. Když nasadíte Microsoft Sentinel na portál Defender pomocí Microsoft Defender XDR, sjednotíte funkce, jako je správa incidentů a rozšířené proaktivní vyhledávání. Omezte přepínání nástrojů a vytvořte šetření více zaměřené na kontext, které urychlí reakci na incidenty a zastaví porušení zabezpečení rychleji. Další informace najdete tady:

• Co je sjednocená platforma microsoftu pro operace zabezpečení?
• Microsoft Sentinel na portálu Microsoft Defender
• Microsoft Defender XDR integrace s Microsoft Sentinel

Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5.

Požadavky

Než začnete, projděte si dokumentaci k funkcím a seznamte se se změnami a omezeními produktu.

• Microsoft Sentinel na portálu Microsoft Defender
• Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
• Výstrahy, incidenty a korelace v Microsoft Defender XDR
• Automatizace s využitím sjednocené platformy operací zabezpečení

Portál Microsoft Defender podporuje jednoho tenanta Microsoft Entra a připojení k primárnímu pracovnímu prostoru a několika sekundárním pracovním prostorům (Preview). Pokud máte při onboardingu Microsoft Sentinel jenom jeden pracovní prostor, bude tento pracovní prostor označen jako primární. Další informace najdete v tématu Více pracovních prostorů Microsoft Sentinel na portálu Defender. V kontextu tohoto článku je pracovní prostor služby Log Analytics s povolenými Microsoft Sentinel.

požadavky na Microsoft Sentinel

Pokud chcete nasadit a používat Microsoft Sentinel na portálu Defender, musíte mít následující prostředky a přístup:

• Pracovní prostor služby Log Analytics s povolenými Microsoft Sentinel

• Účet Azure s odpovídajícími rolemi pro nasazení, používání a vytváření žádostí o podporu pro Microsoft Sentinel na portálu Defender. Na portálu Defenderu neuvidíte pracovní prostory, které by se mohly připojit k místu, kde nemáte požadovaná oprávnění. V následující tabulce jsou uvedené některé klíčové role, které jsou potřeba.

  Úloha	Microsoft Entra nebo předdefinované role Azure	Rozsah
  Onboarding Microsoft Sentinel na portál Defender	Globální správce nebo správce zabezpečení v Microsoft Entra ID	Tenant
  Připojení nebo odpojení pracovního prostoru s povolenými Microsoft Sentinel	Vlastník nebo správce uživatelských přístupů a přispěvatel Microsoft Sentinel	– Předplatné pro role vlastníka nebo správce uživatelských přístupů – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele Microsoft Sentinel
  Změna primárního pracovního prostoru	Globální správce nebo správce zabezpečení v Microsoft Entra ID	Tenant
  Zobrazení Microsoft Sentinel na portálu Defender	Microsoft Sentinel Reader	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
  Dotazování Microsoft Sentinel tabulek dat nebo zobrazení incidentů	Microsoft Sentinel Čtenář nebo role s následujícími akcemi: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
  Provádění vyšetřovacích akcí v incidentech	Microsoft Sentinel Přispěvatel nebo role s následujícími akcemi: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write – Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
  Vytvoření žádosti o podporu	Vlastník , přispěvatel nebo přispěvatel nebo přispěvatel žádosti o podporu přispěvatel nebo vlastní role u Microsoft.Support/*	Předplatné

  Po připojení Microsoft Sentinel k portálu Defender vám stávající oprávnění řízení přístupu na základě role (RBAC) v Azure umožňují pracovat s Microsoft Sentinel funkcemi, ke kterým máte přístup. Pokračujte ve správě rolí a oprávnění pro uživatele Microsoft Sentinel z Azure Portal. Všechny změny Azure RBAC se projeví na portálu Defender. Další informace o Microsoft Sentinel oprávněních najdete v tématu Role a oprávnění v Microsoft Sentinel | Microsoft Learn a správa přístupu k Microsoft Sentinel datům podle prostředků | Microsoft Learn.

Požadavky na sjednocenou platformu SecOps od Microsoftu

Pokud chcete sjednotit možnosti s Defender XDR na sjednocené platformě Microsoftu SecOps, musíte mít následující prostředky a přístup:

• Licencování pro Defender XDR, jak je popsáno v požadavcích Microsoft Defender XDR
• Účet pro Defender XDR je členem stejného tenanta Microsoft Entra, ke kterému je přidružený Microsoft Sentinel.
• Přístup k Microsoft Defender XDR na portálu Defender, jak je popsáno v části požadavky Microsoft Defender XDR

Pokud je to možné, dokončete tyto požadavky:

• Pokud vaše organizace používá Správa insiderských rizik Microsoft Purview, integrujte tato data povolením datového konektoru Microsoft 365 Insider Risk Management ve vašem primárním pracovním prostoru pro Microsoft Sentinel. Zakažte tento konektor ve všech sekundárních pracovních prostorech pro Microsoft Sentinel, které plánujete onboardovat na portálu Defender.

  • Nainstalujte řešení Správa insiderských rizik Microsoft Purview z centra Obsah v primárním pracovním prostoru.
  • Nakonfigurujte datový konektor.
  • Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

• Streamování incidentů Defenderu for Cloud, které korelují napříč všemi předplatnými tenanta, do primárního pracovního prostoru pro Microsoft Sentinel:

  • Připojte datový konektor Microsoft Defender pro cloud založený na tenantovi (Preview) v primárním pracovním prostoru.
  • Odpojte konektor upozornění Microsoft Defender pro cloud založený na předplatném (starší verze) od všech pracovních prostorů v tenantovi.

  Pokud nechcete streamovat korelovaná data tenanta pro Defender for Cloud do primárního pracovního prostoru, pokračujte v používání konektoru Microsoft Defender založeného na předplatném pro cloud (starší verze) ve vašich pracovních prostorech.

  Další informace najdete v tématu Ingestování Microsoft Defender pro cloudové incidenty s integrací Microsoft Defender XDR.

Onboarding Microsoft Sentinel

Pokud chcete k portálu Defender připojit pracovní prostor Microsoft Sentinel, proveďte následující kroky. Pokud onboardujete Microsoft Sentinel bez Defender XDR (Preview), je tu další krok, který aktivuje připojení pomocí Microsoft Sentinel a portálu Defender.

1. Přejděte na portál Microsoft Defender a přihlaste se.
2. Nasazení Microsoft Sentinel bez Defender XDR na portálu Defender:
   1. Pokud chcete aktivovat připojení pomocí Microsoft Sentinel, vyberte Vyšetřování & reakce>Incidenty.
   2. Počkejte několik minut, než se připojení dokončí.
3. Na portálu Defender vyberte Přehled.
4. Vyberte Připojit pracovní prostor.
5. Zvolte pracovní prostory, které chcete připojit, a vyberte Další.
6. Vyberte primární pracovní prostor.
7. Přečtěte si změny produktů spojené s připojením pracovního prostoru a seznamte se s nimi.
8. Vyberte Připojit.

Po připojení pracovního prostoru se v banneru na stránce Přehled zobrazuje, že vaše prostředí je připravené. Stránka Přehled se aktualizuje o nové oddíly, které obsahují metriky z Microsoft Sentinel, jako je počet datových konektorů a pravidla automatizace.

Prozkoumání Microsoft Sentinel funkcí na portálu Defenderu

Po připojení pracovního prostoru k portálu Defender se v levém navigačním podokně nachází Microsoft Sentinel. Pokud jste povolili Defender XDR, stránky jako Přehled, Incidenty a Rozšířené proaktivní vyhledávání obsahují sjednocená data z primárního pracovního prostoru pro Microsoft Sentinel a Defender XDR. Pokud nemáte povolené Defender XDR, tyto stránky obsahují jenom data z Microsoft Sentinel (Preview). Další informace o jednotných možnostech a rozdílech mezi portály najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Mnoho stávajících funkcí Microsoft Sentinel je integrovaných na portálu Defender. U těchto funkcí si všimněte, že prostředí mezi Microsoft Sentinel na Azure Portal a portálu Defender je podobné. Následující články vám pomůžou začít pracovat s Microsoft Sentinel na portálu Defender. Při používání těchto článků mějte na paměti, že výchozím bodem v tomto kontextu je portál Defender místo Azure Portal.

• Hledání
  • Hledání v dlouhých časových obdobích ve velkých datových sadách
  • Obnovení archivovaných protokolů z vyhledávání
• Řízení rizik
  • Vizualizace a monitorování dat pomocí sešitů
  • Provádění komplexního proaktivního vyhledávání hrozeb pomocí funkce Hunts
  • Použití záložek proaktivního vyhledávání pro zkoumání dat
  • Použití živého streamu proaktivního vyhledávání v Microsoft Sentinel k detekci hrozby
  • Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter
  • Hromadné přidání indikátorů pro Microsoft Sentinel analýzy hrozeb ze souboru CSV nebo JSON
  • Práce s indikátory hrozeb v Microsoft Sentinel
  • Vysvětlení zabezpečení pomocí architektury MITRE ATT&CK
• Správa obsahu
  • Zjišťování a správa Microsoft Sentinel předefinovaný obsah
  • Microsoft Sentinel katalog centra obsahu
  • Nasazení vlastního obsahu z úložiště
• Konfigurace
  • Vyhledání datového konektoru Microsoft Sentinel
  • Vytvoření vlastních analytických pravidel pro detekci hrozeb
  • Práce s analytickými pravidly detekce téměř v reálném čase (NRT) v Microsoft Sentinel
  • Vytváření seznamů ke zhlédnutí
  • Správa seznamů ke zhlédnutí v Microsoft Sentinel
  • Vytváření pravidel automatizace
  • Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu

Nastavení Microsoft Sentinel najdete na portálu Defender v částiNastavení>systému>Microsoft Sentinel.

Změna primárního pracovního prostoru

K portálu Defender můžete mít současně připojený jenom jeden primární pracovní prostor. Primární pracovní prostor ale můžete změnit.

1. Na portálu Defender přejděte naNastavení>systému>Microsoft Sentinel>Pracovní prostory.
2. Vyberte název pracovního prostoru, který chcete nastavit jako primární.
3. Vyberte Nastavit jako primární.
4. Přečtěte si změny produktů spojené se změnou primárního pracovního prostoru a seznamte se s nimi.
5. Vyberte Potvrdit a pokračujte.

Když přepnete primární pracovní prostor na Microsoft Sentinel, konektor Defender XDR se připojí k novému primárnímu a automaticky se odpojí od předchozího. Další informace najdete v tématu Více pracovních prostorů Microsoft Sentinel na portálu Defender.

Offboarding Microsoft Sentinel

Pokud se rozhodnete pracovní prostor z portálu Defender odpojit od nastavení Microsoft Sentinel.

1. Přejděte na portál Microsoft Defender a přihlaste se.

2. Na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinel.

3. Na stránce Pracovní prostory vyberte připojený pracovní prostor a Odpojit pracovní prostor.

4. Uveďte důvod, proč pracovní prostor odpojíte.

5. Potvrďte výběr.

   Po odpojení pracovního prostoru se oddíl Microsoft Sentinel odebere z levého navigačního panelu portálu Defender. Data z Microsoft Sentinel už nejsou na stránce Přehled zahrnutá.

Pokud se chcete připojit k jinému pracovnímu prostoru, na stránce Pracovní prostory vyberte pracovní prostor a Připojte pracovní prostor.

Související obsah

• Microsoft Sentinel na portálu Microsoft Defender
• Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
• Automatické přerušení útoku v Microsoft Defender XDR
• Vyšetřování incidentů na portálu Microsoft Defender
• Optimalizace operací zabezpečení