Microsoft Sentinel im Microsoft Defender-Portal
Dieser Artikel beschreibt die Microsoft Sentinel-Erfahrung im Microsoft Defender-Portal. Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal mit Microsoft Defender XDR allgemein verfügbar. Weitere Informationen finden Sie unter:
- Blogbeitrag: Allgemeine Verfügbarkeit der Microsoft Unified Security Operations Platform
- Blogbeitrag: Häufig gestellte Fragen zur einheitlichen Sicherheitsbetriebsplattform
- Verbinden von Microsoft Sentinel mit Microsoft Defender XDR
- Unterstützung von Microsoft Sentinel-Features für kommerzielle/sonstige Azure-Clouds
Für die Preview ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar.
Neue und verbesserte Funktionen
Die folgende Tabelle beschreibt die neuen oder verbesserten Funktionen, die im Defender-Portal mit der Integration von Microsoft Sentinel verfügbar sind. Microsoft entwickelt diese neue Umgebung mit Features weiter, die möglicherweise exklusiv für das Defender-Portal sind.
| Capabilities | Beschreibung |
|---|---|
| Erweiterte Erkennung | Fragen Sie verschiedene Datasets aus einem einzelne Portal ab, um das Hunting effizienter zu gestalten und die Notwendigkeit des Kontextwechsels zu beseitigen. Verwenden Sie Security Copilot zum Generieren Ihrer KQL. Zeigen Sie alle Daten an und fragen diese ab, einschließlich Daten von Microsoft-Sicherheitsdiensten und Microsoft Sentinel. Verwenden Sie Ihre vorhandenen Microsoft Sentinel-Arbeitsbereichsinhalte, einschließlich Abfragen und Funktionen. Weitere Informationen finden Sie in den folgenden Artikeln: - Erweiterte Bedrohungssuche im Microsoft Defender-Portal - Security Copilot bei der erweiterten Bedrohungssuche |
| SOC-Optimierungen | Erhalten Sie Empfehlungen mit hoher Genauigkeit und umsetzbaren Maßnahmen, um die Bereiche für Folgendes zu identifizieren: – Senkung von Kosten – Hinzufügen von Sicherheitssteuerelementen – Hinzufügen fehlender Daten SOC-Optimierungen sind in den Defender- und Azure-Portalen verfügbar, sind auf Ihre Umgebung zugeschnitten und basieren auf Ihrer aktuellen Abdeckungs- und Bedrohungslandschaft. Weitere Informationen finden Sie in den folgenden Artikeln: - Optimieren Ihrer Security Operations - Referenz zu SOC-Optimierungsempfehlungen |
| Microsoft Copilot in Microsoft Defender | Bei der Untersuchung von Vorfällen im Defender-Portal unternehmen Sie folgende Schritte: - Zusammenfassung von Vorfällen - Analysieren von Skripts - Analysieren von Dateien - Erstellen von Vorfallberichten Erstellen Sie bei der Suche nach Bedrohungen im Rahmen einer erweiterten Suche mithilfe des Abfrage-Assistenten sofort einsatzbereite KQL-Abfragen. Weitere Informationen finden Sie unter Microsoft Security Copilot in der erweiterten Suche. |
Die folgende Tabelle beschreibt zusätzlichen Funktionen, die im Defender-Portal durch die Integration von Microsoft Sentinel und Microsoft Defender XDR als Bestandteile der einheitlichen Security Operations-Plattform von Microsoft verfügbar sind.
| Capabilities | Beschreibung |
|---|---|
| Angriff unterbrechen | Stellen Sie automatische Angriffsunterbrechungen für SAP sowohl mithilfe des Defender-Portals als auch der Microsoft Sentinel-Lösung für SAP-Anwendungen bereit. Dämmen Sie beispielsweise kompromittierte Ressourcen ein, indem Sie verdächtige SAP-Benutzer bei einem Angriff zur Manipulation von Finanzprozessen sperren. Die Angriffsunterbrechungsfunktionen für SAP sind nur im Defender-Portal verfügbar. Um Angriffsunterbrechungen für SAP zu verwenden, aktualisieren Sie die Agentversion Ihres Datenconnectors, und stellen Sie sicher, dass die relevante Azure-Rolle der Identität Ihres Agents zugewiesen ist. Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung für SAP. |
| Einheitliche Entitäten | Entitätsseiten für Geräte, Benutzer, IP-Adressen und Azure-Ressourcen im Defender-Portal zeigen Informationen aus Microsoft Sentinel- und Defender-Datenquellen an. Diese Entitätsseiten bieten Ihnen einen erweiterten Kontext für Ihre Untersuchungen von Vorfällen und Warnungen im Defender-Portal. Weitere Informationen finden Sie unter Untersuchen von Entitäten mit Entitätsseiten in Microsoft Sentinel. |
| Einheitliche Vorfälle | Verwalten und untersuchen Sie Sicherheitsvorfälle an einem einzigen Ort und aus einer einzigen Warteschlange im Defender-Portal. Verwenden Sie Security Copilot für Zusammenfassung, Reaktion und Berichterstellung. Vorfälle umfassen: – Daten aus einer Vielzahl von Quellen – KI-Analysetools von SIEM (Security Information & Event Management) – Tools für Kontext und Risikominderung, die von der erweiterten Erkennung und Reaktion (eXtended Detection and Response, XDR) angeboten werden Weitere Informationen finden Sie in den folgenden Artikeln: - Incident Response im Microsoft Defender-Portal - Untersuchen von Microsoft Sentinel-Vorfällen in Security Copilot |
| Microsoft Copilot in Microsoft Defender | Bei der Untersuchung von Vorfällen mit in Defender XDR integriertes Microsoft Sentinel führen Sie folgende Schritte durch: - Triage und Untersuchen von Vorfällen mit angeleiteten Reaktionen - Zusammenfassen der Geräteinformationen - Zusammenfassen der Identitätsinformationen Fassen Sie die relevanten Bedrohungen zusammen, die sich auf Ihre Umgebung auswirken, um ihre Beseitigung basierend auf Ihrem Gefährdungspotenzial zu priorisieren oder Bedrohungsakteure zu finden, die möglicherweise auf Ihre Branche abzielen, indem Sie Security Copilot in der Threat Intelligence verwenden. Weitere Informationen finden Sie unter Verwenden von Microsoft Security Copilot für Threat Intelligence. |
Funktionsunterschiede zwischen den Portalen
Die meisten Microsoft Sentinel-Funktionen sind sowohl im Azure- als auch im Defender-Portal verfügbar. Im Defender-Portal öffnen sich einige Microsoft Sentinel-Erfahrungen im Azure-Portal, damit Sie eine Aufgabe abschließen können.
Dieser Abschnitt behandelt die Microsoft Sentinel-Funktionen oder -Integrationen, die nur im Azure-Portal oder im Defender-Portal verfügbar sind, sowie andere wesentliche Unterschiede zwischen den Portalen. Es schließt die Microsoft Sentinel-Erfahrungen aus, die das Azure-Portal über das Defender-Portal öffnen.
| Funktion | Verfügbarkeit | Beschreibung |
|---|---|---|
| Erweiterte Suche mit Lesezeichen | Nur Azure-Portal | Lesezeichen werden im Microsoft Defender-Portal in der erweiterten Hunting-Erfahrung nicht unterstützt. Im Defender-Portal werden sie unter Microsoft Sentinel > Bedrohungsverwaltung > Hunting unterstützt. Weitere Informationen finden Sie unter Daten während des Huntings mit Microsoft Sentinel verfolgen. |
| Angriffsunterbrechung für SAP | Defender-Portal nur mit Defender XDR | Diese Funktionalität ist im Azure-Portal nicht verfügbar. Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung im Microsoft Defender-Portal. |
| Automatisierung | Einige Automatisierungsverfahren sind nur im Azure-Portal verfügbar. Andere Automatisierungsverfahren sind in den Defender- und Azure-Portalen identisch, unterscheiden sich jedoch im Azure-Portal zwischen Arbeitsbereichen, die in das Defender-Portal integriert sind, und solchen, die es nicht sind. |
Weitere Informationen finden Sie unter Automatisierung mit der einheitlichen Security Operations-Plattform. |
| Datenconnectors: Sichtbarkeit von Connectors, die von der einheitlichen Security Operations-Plattform verwendet werden | Nur Azure-Portal | Nach dem Onboarding von Microsoft Sentinel werden im Defender-Portal die folgenden Datenconnectors, die Teil der einheitlichen Security Operations-Plattform sind, nicht auf der Seite Datenconnectors angezeigt: Im Azure-Portal werden diese Datenconnectors weiterhin mit den installierten Datenconnectors in Microsoft Sentinel aufgeführt. |
| Entitäten: Hinzufügen von Entitäten zur Threat Intelligence von Vorfällen | Nur Azure-Portal | Diese Funktionalität ist im Defender-Portal nicht verfügbar. Weitere Informationen finden Sie unter Hinzufügen einer Entität zu Bedrohungsindikatoren. |
| Fusion: Erweiterte Erkennung von mehrstufigen Angriffen | Nur Azure-Portal | Die Fusion-Analyseregel, die Vorfälle basierend auf Warnkorrelationen erstellt, die vom Fusion-Korrelationsmodul erstellt werden, wird deaktiviert, wenn Sie ein Onboarding von Microsoft Sentinel in das Defender-Portal durchführen. Das Defender-Portal verwendet die Funktionen zur Erstellung von Vorfällen und Korrelationen von Microsoft Defender XDR, um die Funktionen des Fusion-Moduls zu ersetzen. Weitere Informationen finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel |
| Vorfälle: Hinzufügen von Warnungen zu Vorfällen/ Entfernen von Warnungen aus Vorfällen |
Nur Defender-Portal | Nach dem Onboarding von Microsoft Sentinel in das Defender-Portal können Sie im Azure-Portal keine Warnungen mehr zu Vorfällen hinzufügen oder daraus entfernen. Sie können eine Warnung aus einem Vorfall im Defender-Portal entfernen, aber nur, indem Sie die Warnung mit einem anderen Vorfall (vorhanden oder neu) verknüpfen. |
| Vorfälle: Bearbeiten von Kommentaren | Nur Azure-Portal | Nach dem Onboarding von Microsoft Sentinel in das Defender-Portal können Sie Vorfällen in beiden Portalen Kommentare hinzufügen, vorhandene Kommentare können jedoch nicht bearbeitet werden. An Kommentaren im Azure-Portal vorgenommene Änderungen werden nicht mit dem Defender-Portal synchronisiert. |
| Vorfälle: Programmgesteuerte und manuelle Erstellung von Vorfällen | Nur Azure-Portal | Vorfälle, die in Microsoft Sentinel über die API, durch ein Logic App-Playbook oder manuell über das Azure-Portal erstellt wurden, werden nicht mit dem Defender-Portal synchronisiert. Diese Vorfälle werden weiterhin im Azure-Portal und in der API unterstützt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer eigenen Vorfälle in Microsoft Sentinel. |
| Vorfälle: Erneutes Öffnen geschlossener Vorfälle | Nur Azure-Portal | Im Defender-Portal können Sie keine Warngruppierung in Microsoft Sentinel-Analyseregeln festlegen, um geschlossene Vorfälle erneut zu öffnen, wenn neue Warnungen hinzugefügt werden. Geschlossene Vorfälle werden in diesem Fall nicht erneut geöffnet, und neue Warnungen lösen neue Vorfälle aus. |
| Vorfälle: Aufgaben | Nur Azure-Portal | Aufgaben sind im Defender-Portal nicht verfügbar. Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben. |
| Verwaltung mehrerer Arbeitsbereiche für Microsoft Sentinel | Defender-Portal: Auf einen Microsoft Sentinel-Arbeitsbereich pro Mandant beschränkt Azure-Portal: Zentrales Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche für Mandanten |
Derzeit wird im Defender-Portal nur ein Microsoft Sentinel-Arbeitsbereich pro Mandant unterstützt. Daher unterstützt die Microsoft Defender-Mehrinstanzenverwaltung einen Microsoft Sentinel-Arbeitsbereich pro Mandant. Weitere Informationen finden Sie in den folgenden Artikeln: - Defender-Portal: Microsoft Defender-Mehrinstanzenverwaltung - Azure Portal: Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche mit dem Arbeitsbereichs-Manager |
Eingeschränkte oder nicht verfügbare Funktionen
Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, ohne Defender XDR oder andere Dienste aktiviert zu haben, sind die folgenden Features, die im Defender-Portal angezeigt werden, derzeit nur eingeschränkt oder nicht verfügbar.
| Funktion | Dienst erforderlich |
|---|---|
| Gefährdungsmanagement | Microsoft Security Exposure Management |
| Benutzerdefinierte Erkennungsregeln | Microsoft Defender XDR |
| Info-Center | Microsoft Defender XDR |
Die folgenden Einschränkungen gelten auch für Microsoft Sentinel im Defender-Portal, wenn Defender XDR oder andere Dienste nicht aktiviert sind:
- Neue Microsoft Sentinel-Kunden sind nicht berechtigt, einen Log Analytics-Arbeitsbereich zu integrieren, der in der Region Israel erstellt wurde. Um das Onboarding im Defender-Portal zu durchzuführen, erstellen Sie einen neuen Arbeitsbereich für Microsoft Sentinel in einer anderen Region.
- Für Kunden, die Microsoft Sentinel-Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavioral Analytics, UEBA) verwenden, wird eine eingeschränkte Version der IdentityInfo-Tabelle bereitgestellt.
Kurzreferenz
Einige Microsoft Sentinel-Funktionen, z. B. die einheitliche Vorfallwarteschlange, sind in Microsoft Defender XDR in der einheitlichen Security Operations-Plattform von Microsoft integriert. Viele andere Microsoft Sentinel-Funktionen sind im Abschnitt Microsoft Sentinel des Defender-Portals verfügbar.
Die folgende Abbildung zeigt das Microsoft Sentinel-Menü im Defender-Portal:
Die folgenden Abschnitte beschreiben, wo Sie Microsoft Sentinel-Features im Defender-Portal finden. Die Abschnitte sind so organisiert, wie es Microsoft Sentinel im Azure-Portal ist.
Allgemein
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Allgemein im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Übersicht | Übersicht |
| Protokolle | Untersuchung und Reaktion > Hunting > Erweitertes Hunting |
| Neuigkeiten und Leitfäden | Nicht verfügbar |
| Suche | Microsoft Sentinel > Suche |
Verwaltung von Bedrohungen
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Bedrohungsverwaltung im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Vorfälle | Untersuchung und Reaktion > Vorfälle und Warnungen > Vorfälle |
| Arbeitsmappen | Microsoft Sentinel > Bedrohungsverwaltung > Workbooks |
| Hunting | Microsoft Sentinel > Bedrohungsverwaltung > Hunting |
| Notebooks | Microsoft Sentinel > Bedrohungsverwaltung > Notebooks |
| Entitätsverhalten | Benutzerentitätsseite: Ressourcen > Identitäten >{user}> Sentinel-Ereignisse Geräteentitätsseite: Ressourcen > Geräte >{device}> Sentinel-Ereignisse Suchen Sie außerdem die Entitätsseiten für die Entitätstypen Benutzer, Gerät, IP-Adresse und Azure-Ressource aus Vorfällen und Warnungen, sobald sie angezeigt werden. |
| Threat Intelligence | Microsoft Sentinel > Bedrohungsverwaltung > Threat Intelligence |
| MITRE ATT&CK | Microsoft Sentinel > Bedrohungsverwaltung > MITRE ATT&CK |
Content Management
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Inhaltsverwaltung im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Inhaltshub | Microsoft Sentinel > Inhaltsverwaltung > Inhaltshub |
| Repositorys | Microsoft Sentinel > Inhaltsverwaltung > Repositorys |
| Community | Microsoft Sentinel > Inhaltsverwaltung > Community |
Konfiguration
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Konfiguration im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Arbeitsbereichs-Manager | Nicht verfügbar |
| Datenconnectors | Microsoft Sentinel > Konfiguration > Datenconnector |
| Analyse | Microsoft Sentinel > Konfiguration > Analytics |
| Watchlists | Microsoft Sentinel > Konfiguration > Watchlists |
| Automatisierung | Microsoft Sentinel > Konfiguration > Automatisierung |
| Einstellungen | System > Einstellungen > Microsoft Sentinel |