Verbinden von Microsoft Sentinel mit Microsoft Defender XDR
Microsoft Sentinel ist allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, vereinheitlichen Sie Funktionen mit Microsoft Defender XDR, z. B. incident management und advanced hunting. Reduzieren Sie den Toolwechsel, und erstellen Sie eine kontextorientiertere Untersuchung, die die Reaktion auf Vorfälle beschleunigt und Sicherheitsverletzungen schneller stoppt. Weitere Informationen finden Sie unter:
- Blogbeitrag: Allgemeine Verfügbarkeit der Microsoft Unified Security Operations-Plattform
- Blogbeitrag: Häufig gestellte Fragen zur Unified Security Operations-Plattform
- Microsoft Sentinel im Microsoft Defender-Portal
- Microsoft Defender XDR-Integration mit Microsoft Sentinel
Voraussetzungen
Bevor Sie beginnen, lesen Sie die Featuredokumentation, um die Produktänderungen und Einschränkungen zu verstehen:
- Microsoft Sentinel im Microsoft Defender-Portal
- Erweiterte Suche im Microsoft Defender-Portal
- Warnungen, Incidents und Korrelationen in Microsoft Defender XDR
- Automatisierung mit der Unified Security Operations-Plattform
Das Microsoft Defender-Portal unterstützt einen einzelnen Microsoft Entra-Mandanten und die Verbindung mit jeweils einem Arbeitsbereich. Im Kontext dieses Artikels ist ein Arbeitsbereich ein Log Analytics-Arbeitsbereich mit aktiviertem Microsoft Sentinel.
Zum Integrieren und Verwenden von Microsoft Sentinel im Microsoft Defender-Portal benötigen Sie die folgenden Ressourcen und Zugriff:
Ein Log Analytics-Arbeitsbereich, für den Microsoft Sentinel aktiviert ist
Der Datenconnector für Microsoft Defender XDR (ehemals Microsoft 365 Defender), der in Microsoft Sentinel für Incidents und Warnungen aktiviert ist. Weitere Informationen finden Sie unter Verbinden von Daten aus Microsoft Defender XDR mit Microsoft Sentinel.
Zugriff auf Microsoft Defender XDR im Defender-Portal
Integration von Microsoft Defender XDR in den Microsoft Entra-Mandanten
Ein Azure-Konto mit den entsprechenden Rollen zum Onboarding, Verwenden und Erstellen von Supportanfragen für Microsoft Sentinel im Defender-Portal. In der folgenden Tabelle sind einige der erforderlichen Schlüsselrollen aufgeführt.
Aufgabe Integrierte Azure-Rolle erforderlich Bereich Verbinden oder Trennen eines Arbeitsbereichs mit aktiviertem Microsoft Sentinel Besitzer oder
Benutzerzugriffsadministrator und Microsoft Sentinel-Mitwirkender– Abonnement für die Rolle
"Besitzer" oder "Benutzerzugriffsadministrator": Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel-MitwirkenderAnzeigen von Microsoft Sentinel im Defender-Portal Microsoft Sentinel-Leser Abonnement, Ressourcengruppe oder Arbeitsbereichsressource Abfragen von Sentinel-Datentabellen oder Anzeigen von Incidents Microsoft Sentinel-Leser oder eine Rolle mit den folgenden Aktionen:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readAbonnement, Ressourcengruppe oder Arbeitsbereichsressource Ergreifen von Ermittlungsmaßnahmen bei Vorfällen Microsoft Sentinel-Mitwirkender oder eine Rolle mit den folgenden Aktionen:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnement, Ressourcengruppe oder Arbeitsbereichsressource Erstellen einer Supportanfrage Besitzer oder
Mitwirkender oder Mitwirkender für
Supportanfragen oder eine benutzerdefinierte Rolle mit Microsoft.Support/*Abonnement Nachdem Sie Microsoft Sentinel mit dem Defender-Portal verbunden haben, können Sie mit Ihren vorhandenen Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure mit den Microsoft Sentinel-Features arbeiten, auf die Sie Zugriff haben. Fahren Sie mit dem Verwalten von Rollen und Berechtigungen für Ihre Microsoft Sentinel-Benutzer über das Azure-Portal fort. Alle Azure RBAC-Änderungen werden im Defender-Portal widergespiegelt. Weitere Informationen zu Microsoft Sentinel-Berechtigungen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel | Microsoft Learn und Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource | Microsoft Learn.
Onboarding von Microsoft Sentinel
Führen Sie die folgenden Schritte aus, um einen Arbeitsbereich mit aktiviertem Microsoft Sentinel für Defender XDR zu verbinden:
Wechseln Sie zum Microsoft Defender-Portal , und melden Sie sich an.
Wählen Sie in Microsoft Defender XDR die Option Übersicht aus.
Wählen Sie Arbeitsbereich verbinden aus.
Wählen Sie den Arbeitsbereich aus, den Sie verbinden möchten, und wählen Sie Weiter aus.
Lesen und verstehen Sie die Produktänderungen, die mit dem Verbinden Ihres Arbeitsbereichs verbunden sind. Zu diesen Änderungen gehören:
- Protokolltabellen, Abfragen und Funktionen im Microsoft Sentinel-Arbeitsbereich sind auch in der erweiterten Suche in Defender XDR verfügbar.
- Die Rolle Microsoft Sentinel-Mitwirkender wird den Apps Microsoft Threat Protection und WindowsDefenderATP innerhalb des Abonnements zugewiesen.
- Regeln zur Erstellung aktiver Microsoft-Sicherheitsvorfälle werden deaktiviert, um doppelte Vorfälle zu vermeiden. Diese Änderung gilt nur für Regeln zur Erstellung von Vorfällen für Microsoft-Warnungen und nicht für andere Analyseregeln.
- Alle Warnungen im Zusammenhang mit Defender XDR-Produkten werden direkt vom Defender XDR-Hauptdatenconnector gestreamt, um die Konsistenz sicherzustellen. Stellen Sie sicher, dass Incidents und Warnungen von diesem Connector im Arbeitsbereich aktiviert sind.
Wählen Sie Verbinden aus.
Nachdem Ihr Arbeitsbereich verbunden ist, zeigt das Banner auf der Seite Übersicht , dass Ihre einheitliche Sicherheitsinformations- und Ereignisverwaltung (UNIFIED Security Information and Event Management, SIEM) und die erweiterte Erkennung und Reaktion (XDR) bereit sind. Die Seite Übersicht wird mit neuen Abschnitten aktualisiert, die Metriken aus Microsoft Sentinel wie die Anzahl der Datenconnectors und Automatisierungsregeln enthalten.
Erkunden der Microsoft Sentinel-Features im Defender-Portal
Nachdem Sie Ihren Arbeitsbereich mit dem Defender-Portal verbunden haben, befindet sich Microsoft Sentinel im linken Navigationsbereich. Seiten wie Übersicht, Incidents und Erweiterte Suche enthalten einheitliche Daten aus Microsoft Sentinel und Defender XDR. Weitere Informationen zu den einheitlichen Funktionen und Unterschieden zwischen Portalen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Viele der vorhandenen Microsoft Sentinel-Features sind in das Defender-Portal integriert. Beachten Sie für diese Features, dass die Erfahrung zwischen Microsoft Sentinel im Azure-Portal und Defender-Portal ähnlich ist. Verwenden Sie die folgenden Artikel, um Ihnen den Einstieg in die Arbeit mit Microsoft Sentinel im Defender-Portal zu erleichtern. Beachten Sie bei der Verwendung dieser Artikel, dass Ihr Ausgangspunkt in diesem Kontext das Defender-Portal und nicht das Azure-Portal ist.
- Suche
- Bedrohungsverwaltung
- Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen
- Durchführen der End-to-End-Bedrohungssuche mit Hunts
- Verwenden von Suchmarken für Datenuntersuchungen
- Verwenden des Hunting-Livestreams in Microsoft Sentinel zum Erkennen von Bedrohungen
- Suchen nach Sicherheitsbedrohungen mit Jupyter Notebooks
- Massenhinzufügen von Indikatoren zu Microsoft Sentinel Threat Intelligence aus einer CSV- oder JSON-Datei
- Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel
- Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK-Framework
- Inhaltsverwaltung
- Konfiguration
- Suchen ihres Microsoft Sentinel-Datenconnectors
- Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen
- Arbeiten mit Regeln für die Erkennungsanalyse nahezu in Echtzeit (NRT) in Microsoft Sentinel
- Erstellen von Watchlists
- Verwalten von Watchlists in Microsoft Sentinel
- Erstellen von Automatisierungsregeln
- Erstellen und Anpassen von Microsoft Sentinel-Playbooks aus Inhaltsvorlagen
Suchen Sie microsoft Sentinel-Einstellungen im Defender-Portal unter Systemeinstellungen>>Microsoft Sentinel.
Offboarden von Microsoft Sentinel
Es kann jeweils nur ein Arbeitsbereich mit dem Defender-Portal verbunden sein. Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, für den Microsoft Sentinel aktiviert ist, trennen Sie den aktuellen Arbeitsbereich, und verbinden Sie den anderen Arbeitsbereich.
Wechseln Sie zum Microsoft Defender-Portal , und melden Sie sich an.
Wählen Sie im Defender-Portal unter Systemdie Option Einstellungen>Microsoft Sentinel aus.
Wählen Sie auf der Seite Arbeitsbereiche den verbundenen Arbeitsbereich und dann Arbeitsbereich trennen aus.
Geben Sie einen Grund an, warum Sie die Verbindung mit dem Arbeitsbereich trennen.
Bestätigen Sie Ihre Auswahl.
Wenn ihr Arbeitsbereich getrennt wird, wird der Microsoft Sentinel-Abschnitt aus der linken Navigationsleiste des Defender-Portals entfernt. Daten aus Microsoft Sentinel sind nicht mehr auf der Seite Übersicht enthalten.
Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, wählen Sie auf der Seite Arbeitsbereiche den Arbeitsbereich und dann Arbeitsbereich verbinden aus.