Opret forbindelse Microsoft Sentinel til Microsoft Defender-portalen
Microsoft Sentinel er generelt tilgængelig på Microsofts SecOps-platform (Unified Security Operations) på portalen Microsoft Defender. Når du onboarder Microsoft Sentinel til Defender-portalen med Microsoft Defender XDR, forener du funktioner som administration af hændelser og avanceret jagt. Reducer skift af værktøj, og opret en mere kontekstfokuseret undersøgelse, der fremskynder svar på hændelser og stopper brud hurtigere. Du kan finde flere oplysninger under:
- Blogindlæg: Generel tilgængelighed af Microsofts unified security operations-platform
- Blogindlæg: Ofte stillede spørgsmål om platformen til samlede sikkerhedshandlinger
- Microsoft Sentinel på Microsoft Defender-portalen
- Microsoft Defender XDR integration med Microsoft Sentinel
Som prøveversion er Microsoft Sentinel tilgængelig på Defender-portalen uden Microsoft Defender XDR eller en E5-licens.
Forudsætninger
Før du begynder, skal du gennemse funktionsdokumentationen for at forstå produktændringerne og -begrænsningerne.
- Microsoft Sentinel på Microsoft Defender-portalen
- Avanceret jagt på Microsoft Defender-portalen
- Beskeder, hændelser og korrelation i Microsoft Defender XDR
- Automatisering med den samlede platform til sikkerhedshandlinger
Microsoft Defender-portalen understøtter en enkelt Microsoft Entra lejer og forbindelsen til ét arbejdsområde ad gangen. I forbindelse med denne artikel er et arbejdsområde et Log Analytics-arbejdsområde med Microsoft Sentinel aktiveret.
Microsoft Sentinel forudsætninger
Hvis du vil onboarde og bruge Microsoft Sentinel på Defender-portalen, skal du have følgende ressourcer og adgang:
Et Log Analytics-arbejdsområde, hvor Microsoft Sentinel er aktiveret
Dataconnectoren for Microsoft Defender XDR aktiveret i Microsoft Sentinel for hændelser og beskeder. Installér Defender XDR-løsningen, og konfigurer dataconnectoren for at oprette forbindelse Microsoft Sentinel til Defender-portalen. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug. I Defender XDR dataconnector er konfigurationsindstillingen for at oprette forbindelse til hændelser og beskeder slået fra og deaktiveret, når du har onboardet Microsoft Sentinel til Defender-portalen.
En Azure-konto med de relevante roller til at onboarde, bruge og oprette supportanmodninger om Microsoft Sentinel på Defender-portalen. Du kan ikke se arbejdsområder på den samlede SecOps-portal, som du ikke har tilladelse til at onboarde. I følgende tabel fremhæves nogle af de vigtige roller, der skal bruges.
Opgave Microsoft Entra eller indbygget Rolle i Azure er påkrævet Omfanget Onboarde Microsoft Sentinel til Defender-portalen Global administrator eller sikkerhedsadministrator i Microsoft Entra ID Lejer Opret forbindelse til eller afbryd forbindelsen til et arbejdsområde med Microsoft Sentinel aktiveret Ejer- eller
brugeradgangsadministrator og Microsoft Sentinel bidragyder– Abonnement på rollerne
Ejer eller Brugeradgangsadministrator – Abonnement, ressourcegruppe eller arbejdsområderessource for Microsoft Sentinel bidragyderVis Microsoft Sentinel på Defender-portalen Microsoft Sentinel Læser Abonnement, ressourcegruppe eller arbejdsområderessource Forespørg Sentinel datatabeller, eller få vist hændelser Microsoft Sentinel Læser eller en rolle med følgende handlinger:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readAbonnement, ressourcegruppe eller arbejdsområderessource Udfør undersøgelseshandlinger i forbindelse med hændelser Microsoft Sentinel bidragyder eller en rolle med følgende handlinger:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnement, ressourcegruppe eller arbejdsområderessource Opret en supportanmodning Bidragyder eller bidragyder eller
supportanmodningsbidragsyder eller en brugerdefineret rolle med Microsoft.Support/*Abonnement Når du har oprettet forbindelse Microsoft Sentinel til Defender-portalen, giver dine eksisterende RBAC-tilladelser (Azure role-based access control) dig mulighed for at arbejde med de Microsoft Sentinel funktioner, du har adgang til. Fortsæt med at administrere roller og tilladelser for dine Microsoft Sentinel brugere fra Azure Portal. Alle Azure RBAC-ændringer afspejles på Defender-portalen. Du kan få flere oplysninger om Microsoft Sentinel tilladelser under Roller og tilladelser i Microsoft Sentinel | Microsoft Learn og Administrer adgang til Microsoft Sentinel data efter ressource | Microsoft Learn.
Microsofts samlede SecOps-platformforudsætninger
Hvis du vil samle funktioner med Defender XDR på Microsofts unified SecOps-platform, skal du have følgende ressourcer og adgang:
- Licenser til Defender XDR, som beskrevet i Microsoft Defender XDR forudsætninger
- Kontoen for Defender XDR er medlem af den samme Microsoft Entra lejer, som Microsoft Sentinel er knyttet til
- Adgang til Microsoft Defender XDR på Defender-portalen, som beskrevet i Microsoft Defender XDR forudsætninger
Ombord Microsoft Sentinel
Hvis du vil oprette forbindelse mellem et Microsoft Sentinel arbejdsområde og Defender-portalen, skal du udføre følgende trin. Hvis du onboarder Microsoft Sentinel uden Defender XDR (prøveversion), er der et ekstra trin til at udløse forbindelsen til Microsoft Sentinel og Defender-portalen.
- Gå til Microsoft Defender-portalen, og log på.
- Sådan onboarder du Microsoft Sentinel uden Defender XDR på Defender-portalen:
- Hvis du vil udløse forbindelsen med Microsoft Sentinel, skal du vælge Undersøgelse &svarHændelser>.
- Vent et par minutter, indtil forbindelsen er oprettet.
- Vælg Oversigt på Defender-portalen.
- Vælg Opret forbindelse til et arbejdsområde.
- Vælg det arbejdsområde, du vil oprette forbindelse til, og vælg Næste.
- Læs og forstå de produktændringer, der er knyttet til oprettelse af forbindelse til dit arbejdsområde.
- Vælg Opret forbindelse.
Når der er oprettet forbindelse til dit arbejdsområde, viser banneret på siden Oversigt , at dit miljø er klar. Siden Oversigt opdateres med nye sektioner, der indeholder målepunkter fra Microsoft Sentinel f.eks. antallet af dataconnectors og automatiseringsregler.
Udforsk Microsoft Sentinel funktioner på Defender-portalen
Når du har oprettet forbindelse mellem arbejdsområdet og Defender-portalen, er Microsoft Sentinel i navigationsruden til venstre. Hvis du har Defender XDR aktiveret, har sider som Oversigt, Hændelser og Avanceret jagt samlede data fra Microsoft Sentinel og Defender XDR. Hvis du ikke har Defender XDR aktiveret, indeholder disse sider kun data fra Microsoft Sentinel (prøveversion). Du kan få flere oplysninger om de samlede funktioner og forskelle mellem portaler i Microsoft Sentinel på Microsoft Defender-portalen.
Mange af de eksisterende Microsoft Sentinel funktioner er integreret i Defender-portalen. Bemærk, at oplevelsen mellem Microsoft Sentinel på Azure Portal- og Defender-portalen er den samme for disse funktioner. Brug følgende artikler til at hjælpe dig med at begynde at arbejde med Microsoft Sentinel på Defender-portalen. Når du bruger disse artikler, skal du huske på, at dit udgangspunkt i denne kontekst er Defender-portalen i stedet for Azure Portal.
- Søge
- Trusselshåndtering
- Visualiser og overvåg dine data ved hjælp af projektmapper
- Udfør trusselsjagt fra ende til anden med hunts
- Brug bogmærker til jagt til dataundersøgelser
- Brug jagt på Livestream i Microsoft Sentinel til at registrere trusler
- Jagt efter sikkerhedstrusler med Jupyter-notesbøger
- Føj indikatorer samlet til Microsoft Sentinel trusselsintelligens fra en CSV- eller JSON-fil
- Arbejd med trusselsindikatorer i Microsoft Sentinel
- Forstå sikkerhedsdækningen af MITRE ATT&CK-strukturen
- Indholdsstyring
- Konfiguration
- Find din Microsoft Sentinel dataconnector
- Opret brugerdefinerede analyseregler for at registrere trusler
- Arbejd med NRT-regler (near-real-time) detection analytics rules in Microsoft Sentinel
- Opret visningslister
- Administrer visningslister i Microsoft Sentinel
- Opret automatiseringsregler
- Opret og tilpas Microsoft Sentinel playbooks fra indholdsskabeloner
Find Microsoft Sentinel indstillinger på Defender-portalen underSystemindstillinger>>Microsoft Sentinel.
Offboard Microsoft Sentinel
Du kan kun have ét arbejdsområde forbundet til Defender-portalen ad gangen. Hvis du vil oprette forbindelse til et andet arbejdsområde, der har Microsoft Sentinel aktiveret, skal du afbryde forbindelsen til det aktuelle arbejdsområde og oprette forbindelse til det andet arbejdsområde.
Gå til Microsoft Defender-portalen, og log på.
Vælg Indstillinger> under System på Defender-portalen Microsoft Sentinel.
På siden Arbejdsområder skal du vælge det forbundne arbejdsområde og Afbryd forbindelsen til arbejdsområdet.
Angiv en årsag til, at du afbryder forbindelsen til arbejdsområdet.
Bekræft dit valg.
Når forbindelsen til arbejdsområdet afbrydes, fjernes sektionen Microsoft Sentinel fra venstre navigationsrude i Defender-portalen. Data fra Microsoft Sentinel er ikke længere inkluderet på siden Oversigt.
Hvis du vil oprette forbindelse til et andet arbejdsområde, skal du vælge arbejdsområdet og Opret forbindelse til et arbejdsområde på siden Arbejdsområder.