Verbinden Microsoft Sentinel mit dem Microsoft Defender-Portal
Microsoft Sentinel ist allgemein auf der SecOps-Plattform (Unified Security Operations) von Microsoft im Microsoft Defender-Portal verfügbar. Wenn Sie Microsoft Sentinel mit Microsoft Defender XDR in das Defender-Portal integrieren, vereinheitlichen Sie Funktionen wie incident management und advanced hunting. Reduzieren Sie den Toolwechsel, und erstellen Sie eine kontextorientiertere Untersuchung, die die Reaktion auf Vorfälle beschleunigt und Sicherheitsverletzungen schneller stoppt. Weitere Informationen finden Sie unter:
- Blogbeitrag: Allgemeine Verfügbarkeit der Unified Security Operations-Plattform von Microsoft
- Blogbeitrag: Häufig gestellte Fragen zur Unified Security Operations-Plattform
- Microsoft Sentinel im Microsoft Defender-Portal
- Microsoft Defender XDR Integration mit Microsoft Sentinel
Für die Vorschauversion ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder E5-Lizenz verfügbar.
Voraussetzungen
Bevor Sie beginnen, lesen Sie die Featuredokumentation, um die Produktänderungen und Einschränkungen zu verstehen.
- Microsoft Sentinel im Microsoft Defender-Portal
- Erweiterte Suche im Microsoft Defender-Portal
- Warnungen, Vorfälle und Korrelationen in Microsoft Defender XDR
- Automatisierung mit der Unified Security Operations-Plattform
Das Microsoft Defender-Portal unterstützt einen einzelnen Microsoft Entra Mandanten und die Verbindung mit einem Arbeitsbereich gleichzeitig. Im Kontext dieses Artikels ist ein Arbeitsbereich ein Log Analytics-Arbeitsbereich mit aktiviertem Microsoft Sentinel.
Microsoft Sentinel Voraussetzungen
Um Microsoft Sentinel im Defender-Portal zu integrieren und zu verwenden, benötigen Sie die folgenden Ressourcen und Zugriff:
Ein Log Analytics-Arbeitsbereich, für den Microsoft Sentinel aktiviert ist
Der Datenconnector für Microsoft Defender XDR in Microsoft Sentinel für Incidents und Warnungen aktiviert. Installieren Sie die Defender XDR-Lösung, und konfigurieren Sie den Datenconnector, um Microsoft Sentinel mit dem Defender-Portal zu verbinden. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten. Innerhalb des Defender XDR-Datenconnectors ist die Konfigurationsoption zum Verbinden von Incident und Warnungen deaktiviert und deaktiviert, nachdem Sie Microsoft Sentinel in das Defender-Portal integriert haben.
Ein Azure-Konto mit den geeigneten Rollen zum Onboarding, Verwenden und Erstellen von Supportanfragen für Microsoft Sentinel im Defender-Portal. In der folgenden Tabelle sind einige der erforderlichen Schlüsselrollen aufgeführt.
Aufgabe Microsoft Entra oder integrierte Azure-Rolle erforderlich Bereich Integrieren von Microsoft Sentinel in das Defender-Portal globaler Administrator oder Sicherheitsadministrator in Microsoft Entra ID Mandant Verbinden oder Trennen eines Arbeitsbereichs mit aktivierter Microsoft Sentinel Besitzer oder
Benutzerzugriffsadministrator und Microsoft Sentinel Mitwirkender– Abonnement für die Rollen
"Besitzer" oder "Benutzerzugriffsadministrator": Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel MitwirkenderAnzeigen Microsoft Sentinel im Defender-Portal Microsoft Sentinel Reader Abonnement, Ressourcengruppe oder Arbeitsbereichsressource Abfragen Sentinel Datentabellen oder Anzeigen von Incidents Microsoft Sentinel Leser oder eine Rolle mit den folgenden Aktionen:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/readAbonnement, Ressourcengruppe oder Arbeitsbereichsressource Ergreifen von Ermittlungsmaßnahmen bei Vorfällen Microsoft Sentinel Mitwirkender oder eine Rolle mit den folgenden Aktionen:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnement, Ressourcengruppe oder Arbeitsbereichsressource Erstellen einer Supportanfrage Besitzer oder
Mitwirkender oder
Supportanfrage Mitwirkender oder eine benutzerdefinierte Rolle mit Microsoft.Support/*Abonnement Nachdem Sie Microsoft Sentinel mit dem Defender-Portal verbunden haben, können Sie mit Ihren vorhandenen Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure mit den Microsoft Sentinel Features arbeiten, auf die Sie Zugriff haben. Verwalten Sie weiterhin Rollen und Berechtigungen für Ihre Microsoft Sentinel Benutzer aus dem Azure-Portal. Alle Azure RBAC-Änderungen werden im Defender-Portal widergespiegelt. Weitere Informationen zu Microsoft Sentinel Berechtigungen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel | Microsoft Learn und Verwalten des Zugriffs auf Microsoft Sentinel Daten nach Ressource | Microsoft Learn.
Voraussetzungen für die einheitliche SecOps-Plattform von Microsoft
Um Funktionen mit Defender XDR auf der einheitlichen SecOps-Plattform von Microsoft zu vereinheitlichen, benötigen Sie die folgenden Ressourcen und Zugriff:
- Lizenzierung für Defender XDR, wie unter Microsoft Defender XDR Voraussetzungen beschrieben
- Das Konto für Defender XDR ist Mitglied desselben Microsoft Entra Mandanten, dem Microsoft Sentinel zugeordnet ist.
- Zugriff auf Microsoft Defender XDR im Defender-Portal, wie unter Microsoft Defender XDR Voraussetzungen beschrieben
Onboarding von Microsoft Sentinel
Führen Sie die folgenden Schritte aus, um einen Microsoft Sentinel Arbeitsbereich mit dem Defender-Portal zu verbinden. Wenn Sie Microsoft Sentinel ohne Defender XDR (Vorschau) integrieren, müssen Sie die Verbindung mit Microsoft Sentinel und dem Defender-Portal auslösen.
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
So integrieren Sie Microsoft Sentinel ohne Defender XDR im Defender-Portal:
- Um die Verbindung mit Microsoft Sentinelauszulösen, wählen Sie Untersuchung & Reaktion incidents> aus.
- Warten Sie einige Minuten, bis die Verbindung abgeschlossen ist.
Wählen Sie im Defender-Portal die Option Übersicht aus.
Wählen Sie Arbeitsbereich verbinden aus.
Wählen Sie den Arbeitsbereich aus, den Sie verbinden möchten, und wählen Sie Weiter aus.
Lesen und verstehen Sie die Produktänderungen, die mit dem Verbinden Ihres Arbeitsbereichs verbunden sind. Zu diesen Änderungen gehören:
- Protokolltabellen, Abfragen und Funktionen im Microsoft Sentinel Arbeitsbereich sind auch in der erweiterten Suche im Defender-Portal verfügbar.
- Die Rolle Microsoft Sentinel Mitwirkender wird den Apps Microsoft Threat Protection und WindowsDefenderATP innerhalb des Abonnements zugewiesen.
- Regeln zur Erstellung aktiver Microsoft-Sicherheitsvorfälle werden deaktiviert, um doppelte Vorfälle zu vermeiden. Diese Änderung gilt nur für Regeln zur Erstellung von Vorfällen für Microsoft-Warnungen und nicht für andere Analyseregeln.
- Alle Warnungen im Zusammenhang mit Defender XDR Produkten werden direkt vom Standard Defender XDR-Datenconnector gestreamt, um die Konsistenz sicherzustellen. Stellen Sie sicher, dass Incidents und Warnungen von diesem Connector im Arbeitsbereich aktiviert sind.
Wählen Sie Verbinden aus.
Nachdem Ihr Arbeitsbereich verbunden ist, zeigt das Banner auf der Seite Übersicht , dass Ihre Umgebung bereit ist. Die Seite Übersicht wird mit neuen Abschnitten aktualisiert, die Metriken aus Microsoft Sentinel wie die Anzahl von Datenconnectors und Automatisierungsregeln enthalten.
Erkunden Microsoft Sentinel Features im Defender-Portal
Nachdem Sie Ihren Arbeitsbereich mit dem Defender-Portal verbunden haben, befindet sich Microsoft Sentinel im linken Navigationsbereich. Wenn Sie Defender XDR aktiviert haben, verfügen Seiten wie Übersicht, Incidents und Erweiterte Suche über einheitliche Daten aus Microsoft Sentinel und Defender XDR. Wenn Sie Defender XDR nicht aktiviert haben, enthalten diese Seiten nur Daten aus Microsoft Sentinel (Vorschau). Weitere Informationen zu den einheitlichen Funktionen und Unterschieden zwischen Portalen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Viele der vorhandenen Microsoft Sentinel Features sind in das Defender-Portal integriert. Beachten Sie für diese Features, dass die Erfahrung zwischen Microsoft Sentinel im Azure-Portal und Defender-Portal ähnlich ist. Verwenden Sie die folgenden Artikel, um ihnen zu helfen, mit Microsoft Sentinel im Defender-Portal zu arbeiten. Denken Sie bei der Verwendung dieser Artikel daran, dass Ihr Ausgangspunkt in diesem Kontext das Defender-Portal anstelle der Azure-Portal ist.
- Suchen
- Bedrohungsverwaltung
- Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen
- Durchführen der End-to-End-Bedrohungssuche mit Hunts
- Verwenden von Suchmarken für Datenuntersuchungen
- Verwenden des Hunting-Livestreams in Microsoft Sentinel zum Erkennen von Bedrohungen
- Suchen nach Sicherheitsbedrohungen mit Jupyter Notebooks
- Massenweises Hinzufügen von Indikatoren zu Microsoft Sentinel Threat Intelligence aus einer CSV- oder JSON-Datei
- Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel
- Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK-Framework
- Inhaltsverwaltung
- Konfiguration
- Suchen des Microsoft Sentinel-Datenconnectors
- Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen
- Arbeiten mit Regeln für die Erkennungsanalyse nahezu in Echtzeit (NRT) in Microsoft Sentinel
- Erstellen von Watchlists
- Verwalten von Watchlists in Microsoft Sentinel
- Erstellen von Automatisierungsregeln
- Erstellen und Anpassen Microsoft Sentinel Playbooks aus Inhaltsvorlagen
Suchen Sie Microsoft Sentinel Einstellungen im Defender-Portal unterSystemeinstellungen>>Microsoft Sentinel.
Offboarden von Microsoft Sentinel
Es kann jeweils nur ein Arbeitsbereich mit dem Defender-Portal verbunden sein. Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, für den Microsoft Sentinel aktiviert ist, trennen Sie den aktuellen Arbeitsbereich, und verbinden Sie den anderen Arbeitsbereich.
Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
Wählen Sie im Defender-Portal unter Systemdie Option Einstellungen>Microsoft Sentinel aus.
Wählen Sie auf der Seite Arbeitsbereiche den verbundenen Arbeitsbereich und dann Arbeitsbereich trennen aus.
Geben Sie einen Grund an, warum Sie die Verbindung mit dem Arbeitsbereich trennen.
Bestätigen Sie Ihre Auswahl.
Wenn ihr Arbeitsbereich getrennt wird, wird der Abschnitt Microsoft Sentinel aus der linken Navigation des Defender-Portals entfernt. Daten aus Microsoft Sentinel sind nicht mehr auf der Seite Übersicht enthalten.
Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, wählen Sie auf der Seite Arbeitsbereiche den Arbeitsbereich und dann Arbeitsbereich verbinden aus.