Microsoft Sentinel im Microsoft Defender-Portal
Dieser Artikel beschreibt die Microsoft Sentinel-Erfahrung im Microsoft Defender-Portal. Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter:
- Blogbeitrag: Allgemeine Verfügbarkeit der Microsoft Unified Security Operations Platform
- Blogbeitrag: Häufig gestellte Fragen zur einheitlichen Sicherheitsbetriebsplattform
- Verbinden von Microsoft Sentinel mit Microsoft Defender XDR
Neue und verbesserte Funktionen
Die folgende Tabelle beschreibt die neuen oder verbesserten Funktionen, die im Defender-Portal mit der Integration von Microsoft Sentinel und Defender XDR verfügbar sind.
| Capabilities | Beschreibung |
|---|---|
| Erweiterte Erkennung | Fragen Sie verschiedene Datasets aus einem einzelne Portal ab, um das Hunting effizienter zu gestalten und die Notwendigkeit des Kontextwechsels zu beseitigen. Verwenden Sie Copilot für Security, um KQL zu generieren. Zeigen Sie alle Daten an und fragen diese ab, einschließlich Daten von Microsoft-Sicherheitsdiensten und Microsoft Sentinel. Verwenden Sie Ihre vorhandenen Microsoft Sentinel-Arbeitsbereichsinhalte, einschließlich Abfragen und Funktionen. Weitere Informationen finden Sie in den folgenden Artikeln: - Erweiterte Bedrohungssuche im Microsoft Defender-Portal - Copilot für Sicherheit bei der erweiterten Bedrohungssuche |
| Angriff unterbrechen | Stellen Sie automatische Angriffsunterbrechungen für SAP sowohl mit der einheitlichen Security Operations-Plattform wie auch der Microsoft Sentinel-Lösung für SAP-Anwendungen bereit. Dämmen Sie beispielsweise kompromittierte Ressourcen ein, indem Sie verdächtige SAP-Benutzer bei einem Angriff zur Manipulation von Finanzprozessen sperren. Die Angriffsunterbrechungsfunktionen für SAP sind nur im Defender-Portal verfügbar. Um Angriffsunterbrechungen für SAP zu verwenden, aktualisieren Sie die Agentversion Ihres Datenconnectors, und stellen Sie sicher, dass die relevante Azure-Rolle der Identität Ihres Agents zugewiesen ist. Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung für SAP. |
| SOC-Optimierungen | Erhalten Sie Empfehlungen mit hoher Genauigkeit und umsetzbaren Maßnahmen, um die Bereiche für Folgendes zu identifizieren: – Senkung von Kosten – Hinzufügen von Sicherheitssteuerelementen – Hinzufügen fehlender Daten SOC-Optimierungen sind in den Defender- und Azure-Portalen verfügbar, sind auf Ihre Umgebung zugeschnitten und basieren auf Ihrer aktuellen Abdeckungs- und Bedrohungslandschaft. Weitere Informationen finden Sie in den folgenden Artikeln: - Optimieren Ihrer Security Operations - Referenz zu SOC-Optimierungsempfehlungen |
| Einheitliche Entitäten | Entitätsseiten für Geräte, Benutzer, IP-Adressen und Azure-Ressourcen im Defender-Portal zeigen Informationen aus Microsoft Sentinel- und Defender-Datenquellen an. Diese Entitätsseiten bieten Ihnen einen erweiterten Kontext für Ihre Untersuchungen von Vorfällen und Warnungen im Defender-Portal. Weitere Informationen finden Sie unter Untersuchen von Entitäten mit Entitätsseiten in Microsoft Sentinel. |
| Einheitliche Vorfälle | Verwalten und untersuchen Sie Sicherheitsvorfälle an einem einzigen Ort und aus einer einzigen Warteschlange im Defender-Portal. Verwenden Sie Copilot für Security für Zusammenfassung, Reaktion und Berichterstellung. Vorfälle umfassen: – Daten aus einer Vielzahl von Quellen – KI-Analysetools von SIEM (Security Information & Event Management) – Tools für Kontext und Risikominderung, die von der erweiterten Erkennung und Reaktion (eXtended Detection and Response, XDR) angeboten werden Weitere Informationen finden Sie in den folgenden Artikeln: - Incident Response im Microsoft Defender-Portal - Untersuchen von Microsoft Sentinel-Incidents in Copilot für Security |
Funktionsunterschiede zwischen den Portalen
Die meisten Microsoft Sentinel-Funktionen sind sowohl im Azure- als auch im Defender-Portal verfügbar. Im Defender-Portal öffnen sich einige Microsoft Sentinel-Erfahrungen im Azure-Portal, damit Sie eine Aufgabe abschließen können.
Dieser Abschnitt behandelt die Microsoft Sentinel-Funktionen oder -Integrationen in der einheitlichen Security Operations-Plattform, die nur im Azure-Portal oder im Defender-Portal verfügbar sind, sowie andere wesentliche Unterschiede zwischen den Portalen. Es schließt die Microsoft Sentinel-Erfahrungen aus, die das Azure-Portal über das Defender-Portal öffnen.
| Funktion | Verfügbarkeit | Beschreibung |
|---|---|---|
| Erweiterte Suche mit Lesezeichen | Nur Azure-Portal | Lesezeichen werden im Microsoft Defender-Portal in der erweiterten Hunting-Erfahrung nicht unterstützt. Im Defender-Portal werden sie unter Microsoft Sentinel > Bedrohungsverwaltung > Hunting unterstützt. Weitere Informationen finden Sie unter Daten während des Huntings mit Microsoft Sentinel verfolgen. |
| Angriffsunterbrechung für SAP | Nur Defender-Portal | Diese Funktionalität ist im Azure-Portal nicht verfügbar. Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung im Microsoft Defender-Portal. |
| Automatisierung | Einige Automatisierungsverfahren sind nur im Azure-Portal verfügbar. Andere Automatisierungsverfahren sind in den Defender- und Azure-Portalen identisch, unterscheiden sich jedoch im Azure-Portal zwischen Arbeitsbereichen, die in die einheitliche Security Operations-Plattform integriert sind, und solchen, die es nicht sind. |
Weitere Informationen finden Sie unter Automatisierung mit der einheitlichen Security Operations-Plattform. |
| Datenconnectors: Sichtbarkeit von Connectors, die von der einheitlichen Security Operations-Plattform verwendet werden | Nur Azure-Portal | Nach dem Onboarding von Microsoft Sentinel werden im Defender-Portal die folgenden Datenconnectors, die Teil der einheitlichen Security Operations-Plattform sind, nicht auf der Seite Datenconnectors angezeigt: Im Azure-Portal werden diese Datenconnectors weiterhin mit den installierten Datenconnectors in Microsoft Sentinel aufgeführt. |
| Entitäten: Hinzufügen von Entitäten zur Threat Intelligence von Vorfällen | Nur Azure-Portal | Diese Funktionalität ist auf der einheitlichen Security Operations-Plattform nicht verfügbar. Weitere Informationen finden Sie unter Hinzufügen einer Entität zu Bedrohungsindikatoren. |
| Fusion: Erweiterte Erkennung von mehrstufigen Angriffen | Nur Azure-Portal | Die Fusion-Analyseregel, die Vorfälle basierend auf Warnkorrelationen erstellt, die vom Fusion-Korrelationsmodul erstellt werden, wird deaktiviert, wenn Sie ein Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform durchführen. Die einheitliche Security Operations-Plattform verwendet die Funktionen zur Erstellung von Vorfällen und Korrelationen von Microsoft Defender XDR, um die Funktionen des Fusion-Moduls zu ersetzen. Weitere Informationen finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel |
| Vorfälle: Hinzufügen von Warnungen zu Vorfällen/ Entfernen von Warnungen aus Vorfällen |
Nur Defender-Portal | Nach dem Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform können Sie im Azure-Portal keine Warnungen mehr zu Vorfällen hinzufügen oder daraus entfernen. Sie können eine Warnung aus einem Vorfall im Defender-Portal entfernen, aber nur, indem Sie die Warnung mit einem anderen Vorfall (vorhanden oder neu) verknüpfen. |
| Vorfälle: Bearbeiten von Kommentaren | Nur Azure-Portal | Nach dem Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform können Sie Vorfällen in beiden Portalen Kommentare hinzufügen, vorhandene Kommentare können jedoch nicht bearbeitet werden. An Kommentaren im Azure-Portal vorgenommene Änderungen werden nicht mit der einheitlichen Security Operations-Plattform synchronisiert. |
| Vorfälle: Programmgesteuerte und manuelle Erstellung von Vorfällen | Nur Azure-Portal | Vorfälle, die in Microsoft Sentinel über die API, durch ein Logic App-Playbook oder manuell über das Azure-Portal erstellt wurden, werden nicht mit der einheitlichen Security Operations-Plattform synchronisiert. Diese Vorfälle werden weiterhin im Azure-Portal und in der API unterstützt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer eigenen Vorfälle in Microsoft Sentinel. |
| Vorfälle: Erneutes Öffnen geschlossener Vorfälle | Nur Azure-Portal | In der einheitlichen Security Operations-Plattform können Sie keine Warngruppierung in Microsoft Sentinel-Analyseregeln festlegen, um geschlossene Vorfälle erneut zu öffnen, wenn neue Warnungen hinzugefügt werden. Geschlossene Vorfälle werden in diesem Fall nicht erneut geöffnet, und neue Warnungen lösen neue Vorfälle aus. |
| Vorfälle: Aufgaben | Nur Azure-Portal | Aufgaben sind auf der einheitlichen Security Operations-Plattform nicht verfügbar. Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben. |
| Verwaltung mehrerer Arbeitsbereiche für Microsoft Sentinel | Defender-Portal: Auf einen Microsoft Sentinel-Arbeitsbereich pro Mandant beschränkt Azure-Portal: Zentrales Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche für Mandanten |
Derzeit wird nur ein Microsoft Sentinel-Arbeitsbereich pro Mandant in der einheitlichen Sicherheitsoperationsplattform unterstützt. Daher unterstützt die Microsoft Defender-Mehrinstanzenverwaltung einen Microsoft Sentinel-Arbeitsbereich pro Mandant. Weitere Informationen finden Sie in den folgenden Artikeln: - Defender-Portal: Microsoft Defender-Mehrinstanzenverwaltung - Azure Portal: Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche mit dem Arbeitsbereichs-Manager |
Kurzreferenz
Einige Microsoft Sentinel-Funktionen, z. B. die einheitliche Vorfallwarteschlange, sind in Microsoft Defender XDR in der einheitlichen Security Operations-Plattform integriert. Viele andere Microsoft Sentinel-Funktionen sind im Abschnitt Microsoft Sentinel des Defender-Portals verfügbar.
Die folgende Abbildung zeigt das Microsoft Sentinel-Menü im Defender-Portal:
Die folgenden Abschnitte beschreiben, wo Sie Microsoft Sentinel-Features im Defender-Portal finden. Die Abschnitte sind so organisiert, wie es Microsoft Sentinel im Azure-Portal ist.
Allgemein
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Allgemein im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Übersicht | Übersicht |
| Protokolle | Untersuchung und Reaktion > Hunting > Erweitertes Hunting |
| Neuigkeiten und Leitfäden | Nicht verfügbar |
| Suche | Microsoft Sentinel > Suche |
Verwaltung von Bedrohungen
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Bedrohungsverwaltung im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Vorfälle | Untersuchung und Reaktion > Vorfälle und Warnungen > Vorfälle |
| Arbeitsmappen | Microsoft Sentinel > Bedrohungsverwaltung > Workbooks |
| Hunting | Microsoft Sentinel > Bedrohungsverwaltung > Hunting |
| Notebooks | Microsoft Sentinel > Bedrohungsverwaltung > Notebooks |
| Entitätsverhalten | Benutzerentitätsseite: Ressourcen > Identitäten >{user}> Sentinel-Ereignisse Geräteentitätsseite: Ressourcen > Geräte >{device}> Sentinel-Ereignisse Suchen Sie außerdem die Entitätsseiten für die Entitätstypen Benutzer, Gerät, IP-Adresse und Azure-Ressource aus Vorfällen und Warnungen, sobald sie angezeigt werden. |
| Threat Intelligence | Microsoft Sentinel > Bedrohungsverwaltung > Threat Intelligence |
| MITRE ATT&CK | Microsoft Sentinel > Bedrohungsverwaltung > MITRE ATT&CK |
Content Management
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Inhaltsverwaltung im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Inhaltshub | Microsoft Sentinel > Inhaltsverwaltung > Inhaltshub |
| Repositorys | Microsoft Sentinel > Inhaltsverwaltung > Repositorys |
| Community | Microsoft Sentinel > Inhaltsverwaltung > Community |
Konfiguration
Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Konfiguration im Azure-Portal auf.
| Azure-Portal | Defender-Portal. |
|---|---|
| Arbeitsbereichs-Manager | Nicht verfügbar |
| Datenconnectors | Microsoft Sentinel > Konfiguration > Datenconnector |
| Analyse | Microsoft Sentinel > Konfiguration > Analytics |
| Watchlists | Microsoft Sentinel > Konfiguration > Watchlists |
| Automatisierung | Microsoft Sentinel > Konfiguration > Automatisierung |
| Einstellungen | System > Einstellungen > Microsoft Sentinel |