Freigeben über


Verbinden Microsoft Sentinel mit dem Microsoft Defender-Portal

Microsoft Sentinel ist allgemein auf der SecOps-Plattform (Unified Security Operations) von Microsoft im Microsoft Defender-Portal verfügbar. Wenn Sie Microsoft Sentinel mit Microsoft Defender XDR in das Defender-Portal integrieren, vereinheitlichen Sie Funktionen wie incident management und advanced hunting. Reduzieren Sie den Toolwechsel, und erstellen Sie eine kontextorientiertere Untersuchung, die die Reaktion auf Vorfälle beschleunigt und Sicherheitsverletzungen schneller stoppt. Weitere Informationen finden Sie unter:

Für die Vorschauversion ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder E5-Lizenz verfügbar.

Voraussetzungen

Bevor Sie beginnen, lesen Sie die Featuredokumentation, um die Produktänderungen und Einschränkungen zu verstehen.

Das Microsoft Defender-Portal unterstützt einen einzelnen Microsoft Entra Mandanten und die Verbindung mit einem Arbeitsbereich gleichzeitig. Im Kontext dieses Artikels ist ein Arbeitsbereich ein Log Analytics-Arbeitsbereich mit aktiviertem Microsoft Sentinel.

Microsoft Sentinel Voraussetzungen

Um Microsoft Sentinel im Defender-Portal zu integrieren und zu verwenden, benötigen Sie die folgenden Ressourcen und Zugriff:

  • Ein Log Analytics-Arbeitsbereich, für den Microsoft Sentinel aktiviert ist

  • Der Datenconnector für Microsoft Defender XDR in Microsoft Sentinel für Incidents und Warnungen aktiviert. Installieren Sie die Defender XDR-Lösung, und konfigurieren Sie den Datenconnector, um Microsoft Sentinel mit dem Defender-Portal zu verbinden. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten. Innerhalb des Defender XDR-Datenconnectors ist die Konfigurationsoption zum Verbinden von Incident und Warnungen deaktiviert und deaktiviert, nachdem Sie Microsoft Sentinel in das Defender-Portal integriert haben.

  • Ein Azure-Konto mit den geeigneten Rollen zum Onboarding, Verwenden und Erstellen von Supportanfragen für Microsoft Sentinel im Defender-Portal. In der folgenden Tabelle sind einige der erforderlichen Schlüsselrollen aufgeführt.

    Aufgabe Microsoft Entra oder integrierte Azure-Rolle erforderlich Bereich
    Integrieren von Microsoft Sentinel in das Defender-Portal globaler Administrator oder Sicherheitsadministrator in Microsoft Entra ID Mandant
    Verbinden oder Trennen eines Arbeitsbereichs mit aktivierter Microsoft Sentinel Besitzer oder
    Benutzerzugriffsadministrator und Microsoft Sentinel Mitwirkender
    – Abonnement für die Rollen

    "Besitzer" oder "Benutzerzugriffsadministrator": Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel Mitwirkender
    Anzeigen Microsoft Sentinel im Defender-Portal Microsoft Sentinel Reader Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Abfragen Sentinel Datentabellen oder Anzeigen von Incidents Microsoft Sentinel Leser oder eine Rolle mit den folgenden Aktionen:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/read
    Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Ergreifen von Ermittlungsmaßnahmen bei Vorfällen Microsoft Sentinel Mitwirkender oder eine Rolle mit den folgenden Aktionen:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Erstellen einer Supportanfrage Besitzer oder
    Mitwirkender oder
    Supportanfrage Mitwirkender oder eine benutzerdefinierte Rolle mit Microsoft.Support/*
    Abonnement

    Nachdem Sie Microsoft Sentinel mit dem Defender-Portal verbunden haben, können Sie mit Ihren vorhandenen Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure mit den Microsoft Sentinel Features arbeiten, auf die Sie Zugriff haben. Verwalten Sie weiterhin Rollen und Berechtigungen für Ihre Microsoft Sentinel Benutzer aus dem Azure-Portal. Alle Azure RBAC-Änderungen werden im Defender-Portal widergespiegelt. Weitere Informationen zu Microsoft Sentinel Berechtigungen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel | Microsoft Learn und Verwalten des Zugriffs auf Microsoft Sentinel Daten nach Ressource | Microsoft Learn.

Voraussetzungen für die einheitliche SecOps-Plattform von Microsoft

Um Funktionen mit Defender XDR auf der einheitlichen SecOps-Plattform von Microsoft zu vereinheitlichen, benötigen Sie die folgenden Ressourcen und Zugriff:

Onboarding von Microsoft Sentinel

Führen Sie die folgenden Schritte aus, um einen Microsoft Sentinel Arbeitsbereich mit dem Defender-Portal zu verbinden. Wenn Sie Microsoft Sentinel ohne Defender XDR (Vorschau) integrieren, müssen Sie die Verbindung mit Microsoft Sentinel und dem Defender-Portal auslösen.

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

  2. So integrieren Sie Microsoft Sentinel ohne Defender XDR im Defender-Portal:

    1. Um die Verbindung mit Microsoft Sentinelauszulösen, wählen Sie Untersuchung & Reaktion incidents> aus.
    2. Warten Sie einige Minuten, bis die Verbindung abgeschlossen ist.
  3. Wählen Sie im Defender-Portal die Option Übersicht aus.

  4. Wählen Sie Arbeitsbereich verbinden aus.

  5. Wählen Sie den Arbeitsbereich aus, den Sie verbinden möchten, und wählen Sie Weiter aus.

  6. Lesen und verstehen Sie die Produktänderungen, die mit dem Verbinden Ihres Arbeitsbereichs verbunden sind. Zu diesen Änderungen gehören:

    • Protokolltabellen, Abfragen und Funktionen im Microsoft Sentinel Arbeitsbereich sind auch in der erweiterten Suche im Defender-Portal verfügbar.
    • Die Rolle Microsoft Sentinel Mitwirkender wird den Apps Microsoft Threat Protection und WindowsDefenderATP innerhalb des Abonnements zugewiesen.
    • Regeln zur Erstellung aktiver Microsoft-Sicherheitsvorfälle werden deaktiviert, um doppelte Vorfälle zu vermeiden. Diese Änderung gilt nur für Regeln zur Erstellung von Vorfällen für Microsoft-Warnungen und nicht für andere Analyseregeln.
    • Alle Warnungen im Zusammenhang mit Defender XDR Produkten werden direkt vom Standard Defender XDR-Datenconnector gestreamt, um die Konsistenz sicherzustellen. Stellen Sie sicher, dass Incidents und Warnungen von diesem Connector im Arbeitsbereich aktiviert sind.
  7. Wählen Sie Verbinden aus.

Nachdem Ihr Arbeitsbereich verbunden ist, zeigt das Banner auf der Seite Übersicht , dass Ihre Umgebung bereit ist. Die Seite Übersicht wird mit neuen Abschnitten aktualisiert, die Metriken aus Microsoft Sentinel wie die Anzahl von Datenconnectors und Automatisierungsregeln enthalten.

Erkunden Microsoft Sentinel Features im Defender-Portal

Nachdem Sie Ihren Arbeitsbereich mit dem Defender-Portal verbunden haben, befindet sich Microsoft Sentinel im linken Navigationsbereich. Wenn Sie Defender XDR aktiviert haben, verfügen Seiten wie Übersicht, Incidents und Erweiterte Suche über einheitliche Daten aus Microsoft Sentinel und Defender XDR. Wenn Sie Defender XDR nicht aktiviert haben, enthalten diese Seiten nur Daten aus Microsoft Sentinel (Vorschau). Weitere Informationen zu den einheitlichen Funktionen und Unterschieden zwischen Portalen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Viele der vorhandenen Microsoft Sentinel Features sind in das Defender-Portal integriert. Beachten Sie für diese Features, dass die Erfahrung zwischen Microsoft Sentinel im Azure-Portal und Defender-Portal ähnlich ist. Verwenden Sie die folgenden Artikel, um ihnen zu helfen, mit Microsoft Sentinel im Defender-Portal zu arbeiten. Denken Sie bei der Verwendung dieser Artikel daran, dass Ihr Ausgangspunkt in diesem Kontext das Defender-Portal anstelle der Azure-Portal ist.

Suchen Sie Microsoft Sentinel Einstellungen im Defender-Portal unterSystemeinstellungen>>Microsoft Sentinel.

Offboarden von Microsoft Sentinel

Es kann jeweils nur ein Arbeitsbereich mit dem Defender-Portal verbunden sein. Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, für den Microsoft Sentinel aktiviert ist, trennen Sie den aktuellen Arbeitsbereich, und verbinden Sie den anderen Arbeitsbereich.

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

  2. Wählen Sie im Defender-Portal unter Systemdie Option Einstellungen>Microsoft Sentinel aus.

  3. Wählen Sie auf der Seite Arbeitsbereiche den verbundenen Arbeitsbereich und dann Arbeitsbereich trennen aus.

  4. Geben Sie einen Grund an, warum Sie die Verbindung mit dem Arbeitsbereich trennen.

  5. Bestätigen Sie Ihre Auswahl.

    Wenn ihr Arbeitsbereich getrennt wird, wird der Abschnitt Microsoft Sentinel aus der linken Navigation des Defender-Portals entfernt. Daten aus Microsoft Sentinel sind nicht mehr auf der Seite Übersicht enthalten.

Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, wählen Sie auf der Seite Arbeitsbereiche den Arbeitsbereich und dann Arbeitsbereich verbinden aus.