Microsoft Sentinel yhdistäminen Microsoft Defender portaaliin
Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyn suojaustoiminnon (SecOps) käyttöympäristössä Microsoft Defender-portaalissa. Kun Microsoft Sentinel Defender-portaaliin Microsoft Defender XDR avulla, yhdistät ominaisuuksia, kuten tapausten hallinnan ja kehittyneen metsästyksen. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin. Lisätietoja on seuraavissa artikkeleissa:
- Blogikirjoitus: Microsoftin yhtenäisen suojaustoimintojen ympäristön yleinen saatavuus
- Blogikirjoitus: Usein kysyttyjä kysymyksiä yhtenäisestä suojaustoimintojen ympäristöstä
- Microsoft Sentinel Microsoft Defender -portaalissa
- Microsoft Defender XDR integrointi Microsoft Sentinel kanssa
Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta.
Ennakkovaatimukset
Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista.
- Microsoft Sentinel Microsoft Defender -portaalissa
- Tarkennettu etsintä Microsoft Defender -portaalissa
- ilmoitukset, tapaukset ja korrelaatio Microsoft Defender XDR
- Automaatio yhdistetyn suojaustoimintojen ympäristön avulla
Microsoft Defender portaali tukee yhtä Microsoft Entra vuokraajaa ja yhteyttä yhteen työtilaan kerrallaan. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa Microsoft Sentinel käytössä.
Microsoft Sentinel edellytykset
Jotta voit ottaa Microsoft Sentinel käyttöön ja käyttää sitä Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:
Log Analytics -työtila, jossa on Microsoft Sentinel käytössä
Microsoft Defender XDR tietoyhdistin käytössä Microsoft Sentinel tapauksille ja hälytyksille. Asenna Defender XDR ratkaisu ja määritä tietoyhdistin muodostamaan yhteys Microsoft Sentinel Defender-portaaliin. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta. Defender XDR-tietoyhdistimessä määritysasetus tapausten ja hälytysten yhdistämiseksi poistetaan käytöstä ja poistetaan käytöstä sen jälkeen, kun olet ottanut Microsoft Sentinel Defender-portaaliin.
Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinel käyttöönottoon, käyttöön ja luomiseen Defender-portaalissa. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.
Tehtävä Microsoft Entra tai Azuren sisäinen rooli vaaditaan Laajuus Onboard Microsoft Sentinel Defender-portaaliin yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja Microsoft Entra ID Vuokraaja Työtilan yhdistäminen tai yhteyden katkaiseminen Microsoft Sentinel käytössä Omistaja tai
käyttöoikeuksien järjestelmänvalvoja ja Microsoft Sentinel osallistuja- Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien
tilaus - Microsoft Sentinel osallistujan tilaus, resurssiryhmä tai työtilaresurssiNäytä Microsoft Sentinel Defender-portaalissa Microsoft Sentinel lukuohjelma Tilaus-, resurssiryhmä- tai työtilaresurssi Kyselyn Sentinel tietotaulukoihin tai tapahtumien tarkasteluun Microsoft Sentinel Reader tai rooli seuraavilla toimilla:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readTilaus-, resurssiryhmä- tai työtilaresurssi Tapauksiin liittyvien tutkintatoimien toteuttaminen Microsoft Sentinel Osallistuja tai rooli seuraavilla toimilla:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeTilaus-, resurssiryhmä- tai työtilaresurssi Tukipyynnön luominen Omistaja ,
osallistuja tai
tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssaTilaus Kun olet muodostanut yhteyden Microsoft Sentinel Defender-portaaliin, olemassa olevien roolipohjaisten käyttöoikeuksien (RBAC) avulla voit käyttää Microsoft Sentinel ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaali. Kaikki Azure RBAC -muutokset näkyvät Defender-portaalissa. Lisätietoja Microsoft Sentinel käyttöoikeuksista on artikkelissa Microsoft Sentinel | Microsoft Learn ja Microsoft Sentinel tietojen käyttöoikeuksien hallinta resurssin mukaan | Microsoft Learn.
Microsoftin yhtenäisen SecOps-ympäristön edellytykset
Jos haluat yhdistää ominaisuuksia Defender XDR Microsoftin yhdistetyssä SecOps-ympäristössä, sinulla on oltava seuraavat resurssit ja käyttöoikeus:
- Defender XDR käyttöoikeudet Microsoft Defender XDR edellytysten mukaan
- Tili Defender XDR on saman Microsoft Entra vuokraajan jäsen, johon Microsoft Sentinel on liitetty
- käyttöoikeus Microsoft Defender XDR Defender-portaalissa Microsoft Defender XDR edellytysten mukaan
Laivan Microsoft Sentinel
Voit yhdistää Microsoft Sentinel työtilan Defender-portaaliin suorittamalla seuraavat vaiheet. Jos olet perehdyttämässä Microsoft Sentinel ilman Defender XDR (esikatselu), on olemassa ylimääräinen vaihe, joka käynnistää yhteyden Microsoft Sentinel ja Defender-portaaliin.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Voit ottaa Microsoft Sentinel käyttöön ilman Defender XDR Defender-portaalissa seuraavasti:
- Jos haluat käynnistää yhteyden Microsoft Sentinel kanssa, valitse Tutkinta &vastaustapaukset>.
- Odota muutaman minuutin ajan, että yhteys on valmis.
Valitse Defender-portaalissa Yleiskatsaus.
Valitse Yhdistä työtila.
Valitse työtila, johon haluat muodostaa yhteyden, ja valitse Seuraava.
Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin. Näitä muutoksia ovat muun muassa seuraavat:
- Microsoft Sentinel työtilan lokitaulukot, kyselyt ja funktiot ovat käytettävissä myös kehittyneessä metsästyksessä Defender-portaalissa.
- Microsoft Sentinel Osallistuja -rooli määritetään tilauksen Sisäisille Microsoft Threat Protection- ja WindowsDefenderATP-sovelluksille.
- Microsoftin aktiivisten tietoturvatapausten luontisäännöt on poistettu käytöstä päällekkäisten tapausten välttämiseksi. Tämä muutos koskee vain Microsoftin ilmoitusten tapausten luontisääntöjä, ei muita analytiikkasääntöjä.
- Kaikki Defender XDR tuotteisiin liittyvät hälytykset virtautetaan suoraan päätietoyhdistimestä Defender XDR johdonmukaisuuden varmistamiseksi. Varmista, että sinulla on tapauksia ja ilmoituksia tästä liittimestä otettuna käyttöön työtilassa.
Valitse Yhdistä.
Kun työtilasi on yhdistetty, Yleiskatsaus-sivun palkki näyttää, että ympäristösi on valmis. Yleiskatsaus-sivulle päivitetään uusia osia, jotka sisältävät Microsoft Sentinel mittausarvoja, kuten tietoliittimien määrän ja automaatiosäännöt.
Defender-portaalin Microsoft Sentinel ominaisuuksiin tutustuminen
Kun olet yhdistänut työtilan Defender-portaaliin, Microsoft Sentinel on vasemmanpuoleisessa siirtymisruudussa. Jos Defender XDR käytössä, sivuilla, kuten Yleiskatsaus, Tapaukset ja Kehittynyt metsästys, on yhtenäiset tiedot Microsoft Sentinel ja Defender XDR. Jos et ole ottanut Defender XDR käyttöön, nämä sivut sisältävät vain Microsoft Sentinel (esikatselu) tietoja. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Sentinel Microsoft Defender portaalissa.
Monet nykyisistä Microsoft Sentinel ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että Microsoft Sentinel Azure-portaali ja Defender-portaalin välinen käyttökokemus on samankaltainen näissä ominaisuuksissa. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinel käyttämisen Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaali sijaan.
- Etsiä
- Tietoturvauhkien hallinta
- Tietojen visualisointi ja valvonta työkirjojen avulla
- Päästä päähän uhkien metsästys Huntsin kanssa
- Tietojen tutkimiseen käytettävien metsästyskirjanmerkkien käyttö
- Käytä livestreamin metsästystä Microsoft Sentinel uhan havaitsemiseksi
- Tietoturvauhkien etsiminen Jupyter-muistikirjoilla
- Indikaattorien lisääminen joukkona uhkatietojen Microsoft Sentinel CSV- tai JSON-tiedostosta
- Uhkaindikaattoreiden käsitteleminen Microsoft Sentinel
- Mitre ATT&CK -kehyksen suojauksen kattavuus
- Sisällönhallinta
- Määritykset
- Microsoft Sentinel-tietoyhdistimen etsiminen
- Mukautettujen analytiikkasääntöjen luominen uhkien havaitsemiseksi
- Lähes reaaliaikaisten NRT-tunnistussääntöjen käsitteleminen Microsoft Sentinel
- Katseluluetteloiden luominen
- Katseluluettelojen hallinta Microsoft Sentinel
- Automaatiosääntöjen luominen
- Luo ja mukauta Microsoft Sentinel toistokirjoja sisältömalleista
Etsi Microsoft Sentinel asetukset Defender-portaalista kohdasta Järjestelmäasetukset>>Microsoft Sentinel.
Offboard Microsoft Sentinel
Sinulla voi olla vain yksi työtila yhdistettynä Defender-portaaliin kerrallaan. Jos haluat muodostaa yhteyden toiseen työtilaan, jossa on käytössä Microsoft Sentinel, katkaise nykyisen työtilan yhteys ja yhdistä toinen työtila.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Defender-portaalin Järjestelmä-kohdastaAsetukset>Microsoft Sentinel.
Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.
Anna syy, miksi katkaiset työtilan yhteyden.
Vahvista valintasi.
Kun työtilasi yhteys on katkaistu, Microsoft Sentinel-osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinel tiedot eivät enää sisälly Yleiskatsaus-sivulle.
Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.