Koble Microsoft Sentinel til Microsoft Defender-portalen

• Gjelder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner (SecOps) i Microsoft Defender-portalen. Når du går om bord Microsoft Sentinel til Defender-portalen med Microsoft Defender XDR, forener du funksjoner som hendelseshåndtering og avansert jakt. Reduser verktøybytte og bygg en mer kontekstfokusert undersøkelse som fremskynder hendelsesresponsen og stopper brudd raskere. Hvis du vil ha mer informasjon, kan du se:

• Blogginnlegg: Generell tilgjengelighet for Microsofts plattform for enhetlige sikkerhetsoperasjoner
• Blogginnlegg: Vanlige spørsmål om plattformen for enhetlige sikkerhetsoperasjoner
• Microsoft Sentinel i Microsoft Defender-portalen
• Microsoft Defender XDR integrering med Microsoft Sentinel

For forhåndsvisning er Microsoft Sentinel tilgjengelig i Defender-portalen uten Microsoft Defender XDR eller en E5-lisens.

Forutsetninger

Før du begynner, kan du se gjennom funksjonsdokumentasjonen for å forstå produktendringene og begrensningene.

• Microsoft Sentinel i Microsoft Defender-portalen
• Avansert jakt i Microsoft Defender-portalen
• Varsler, hendelser og korrelasjon i Microsoft Defender XDR
• Automatisering med plattformen for enhetlige sikkerhetsoperasjoner

Portalen Microsoft Defender støtter én enkelt Microsoft Entra tenant og tilkoblingen til ett arbeidsområde om gangen. I denne artikkelen er et arbeidsområde et log analytics-arbeidsområde med Microsoft Sentinel aktivert.

Microsoft Sentinel forutsetninger

Hvis du vil ta vare på og bruke Microsoft Sentinel i Defender-portalen, må du ha følgende ressurser og tilgang:

• Et Log Analytics-arbeidsområde som har Microsoft Sentinel aktivert

• Datakoblingen for Microsoft Defender XDR aktivert i Microsoft Sentinel for hendelser og varsler. Installer Defender XDR-løsningen, og konfigurer datakoblingen for å koble Microsoft Sentinel til Defender-portalen. Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel forhåndsdefinert innhold. Konfigurasjonsalternativet for å koble hendelser og varsler er slått av og deaktivert i Defender XDR datakobling etter at du har koblet Microsoft Sentinel til Defender-portalen.

• En Azure-konto med riktige roller for å ta på seg, bruke og opprette støtteforespørsler for Microsoft Sentinel i Defender-portalen. Tabellen nedenfor uthever noen av de nødvendige nøkkelrollene.

  Oppgave	Microsoft Entra eller den innebygde Azure-rollen som kreves	Omfang
  Om bord Microsoft Sentinel til Defender-portalen	global administrator eller sikkerhetsadministrator i Microsoft Entra ID	Leier
  Koble til eller koble fra et arbeidsområde med Microsoft Sentinel aktivert	Eier eller brukertilgangsadministrator og Microsoft Sentinel bidragsyter	– Abonnement for eier- eller brukertilgangsadministratorroller – abonnement, ressursgruppe eller arbeidsområderessurs for Microsoft Sentinel bidragsyter
  Vis Microsoft Sentinel i Defender-portalen	Microsoft Sentinel Leser	Abonnement, ressursgruppe eller arbeidsområderessurs
  Spørring Sentinel datatabeller eller vise hendelser	Microsoft Sentinel Reader eller en rolle med følgende handlinger: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonnement, ressursgruppe eller arbeidsområderessurs
  Utfør etterforskningstiltak om hendelser	Microsoft Sentinel bidragsyter eller en rolle med følgende handlinger: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnement, ressursgruppe eller arbeidsområderessurs
  Opprette en støtteforespørsel	Eier eller bidragsyter eller kundestøtte ber om bidragsyter eller en egendefinert rolle med Microsoft.Support/*	Abonnement

  Når du har koblet Microsoft Sentinel til Defender-portalen, kan du bruke de eksisterende azure rollebaserte tilgangskontrolltillatelsene (RBAC) til å arbeide med de Microsoft Sentinel funksjonene du har tilgang til. Fortsett å administrere roller og tillatelser for Microsoft Sentinel brukere fra Azure Portal. Eventuelle Azure RBAC-endringer gjenspeiles i Defender-portalen. Hvis du vil ha mer informasjon om Microsoft Sentinel tillatelser, kan du se Roller og tillatelser i Microsoft Sentinel | Microsoft Learn og Administrer tilgang til Microsoft Sentinel data etter ressurs | Microsoft Learn.

Forutsetninger for Microsofts enhetlige SecOps-plattform

Hvis du vil forene funksjoner med Defender XDR i Microsofts enhetlige SecOps-plattform, må du ha følgende ressurser og tilgang:

• Lisensiering for Defender XDR, som beskrevet i Microsoft Defender XDR forutsetninger
• Konto for Defender XDR er medlem av samme Microsoft Entra tenant som Microsoft Sentinel er tilknyttet
• Tilgang til Microsoft Defender XDR i Defender-portalen, som beskrevet i Microsoft Defender XDR forutsetninger

Innebygd Microsoft Sentinel

Hvis du vil koble et Microsoft Sentinel arbeidsområde til Defender-portalen, fullfører du følgende trinn. Hvis du tar Microsoft Sentinel uten Defender XDR (forhåndsversjon), finnes det et ekstra trinn for å utløse tilkoblingen med Microsoft Sentinel og Defender-portalen.

1. Gå til Microsoft Defender-portalen, og logg på.
2. Hvis du vil ta Microsoft Sentinel uten Defender XDR i Defender-portalen:
   1. Hvis du vil utløse tilkoblingen med Microsoft Sentinel, velger du Undersøkelse &responshendelser>.
   2. Vent noen minutter på at tilkoblingen skal fullføres.
3. Velg Oversikt i Defender-portalen.
4. Velg Koble til et arbeidsområde.
5. Velg arbeidsområdet du vil koble til, og velg Neste.
6. Les og forstå produktendringene som er knyttet til tilkoblingen til arbeidsområdet.
7. Velg Koble til.

Når arbeidsområdet er koblet til, viser banneret på Oversikt-siden at miljøet er klart. Oversikt-siden oppdateres med nye inndelinger som inkluderer måledata fra Microsoft Sentinel som antall datakoblinger og automatiseringsregler.

Utforsk Microsoft Sentinel funksjoner i Defender-portalen

Når du har koblet arbeidsområdet til Defender-portalen, er Microsoft Sentinel i navigasjonsruten til venstre. Hvis du har Defender XDR aktivert, har sider som Oversikt, Hendelser og Avansert jakt samlet data fra Microsoft Sentinel og Defender XDR. Hvis du ikke har aktivert Defender XDR, inkluderer disse sidene bare data fra Microsoft Sentinel (forhåndsvisning). Hvis du vil ha mer informasjon om de enhetlige funksjonene og forskjellene mellom portaler, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Mange av de eksisterende Microsoft Sentinel-funksjonene er integrert i Defender-portalen. Legg merke til at opplevelsen mellom Microsoft Sentinel i Azure Portal og Defender-portalen ligner på disse funksjonene. Bruk følgende artikler for å hjelpe deg med å begynne å arbeide med Microsoft Sentinel i Defender-portalen. Når du bruker disse artiklene, må du huske på at utgangspunktet i denne konteksten er Defender-portalen i stedet for Azure Portal.

• Søke
  • Søk på tvers av lange tidsperioder i store datasett
  • Gjenopprett arkiverte logger fra søk
• Trusselhåndtering
  • Visualiser og overvåk dataene dine ved hjelp av arbeidsbøker
  • Utfør trusseljakt fra ende til ende med Hunts
  • Bruke jaktbokmerker for dataundersøkelser
  • Bruk jakt livestream i Microsoft Sentinel for å oppdage trussel
  • Jakten på sikkerhetstrusler med Jupyter-notatblokker
  • Legg til indikatorer i bulk for å Microsoft Sentinel trusselintelligens fra en CSV- eller JSON-fil
  • Arbeide med trusselindikatorer i Microsoft Sentinel
  • Forstå sikkerhetsdekning av MITRE ATT&CK-rammeverket
• Innholdsbehandling
  • Oppdag og administrer Microsoft Sentinel forhåndsdefinert innhold
  • Microsoft Sentinel innholdshubkatalog
  • Distribuer egendefinert innhold fra repositoriet
• Konfigurasjon
  • Finne Microsoft Sentinel-datakoblingen
  • Opprett egendefinerte analyseregler for å oppdage trusler
  • Arbeid med analyseregler for nesten sanntidsgjenkjenning (NRT) i Microsoft Sentinel
  • Opprette visningslister
  • Administrere visningslister i Microsoft Sentinel
  • Opprett automatiseringsregler
  • Opprette og tilpasse Microsoft Sentinel playbooks fra innholdsmaler

Finn Microsoft Sentinel innstillinger i Defender-portalen underSysteminnstillinger>>Microsoft Sentinel.

Tavle-Microsoft Sentinel

Du kan bare ha ett arbeidsområde koblet til Defender-portalen om gangen. Hvis du vil koble til et annet arbeidsområde som har Microsoft Sentinel aktivert, kobler du fra gjeldende arbeidsområde og kobler til det andre arbeidsområdet.

1. Gå til Microsoft Defender-portalen, og logg på.

2. Velg Innstillinger> i Defender-portalen under SystemMicrosoft Sentinel.

3. Velg det tilkoblede arbeidsområdet og Koble fra arbeidsområdet på Arbeidsområder-siden.

4. Oppgi en grunn til at du kobler fra arbeidsområdet.

5. Bekreft valget.

   Når arbeidsområdet er frakoblet, fjernes Microsoft Sentinel inndelingen fra navigasjonsruten til venstre i Defender-portalen. Data fra Microsoft Sentinel er ikke lenger inkludert på Oversikt-siden.

Hvis du vil koble til et annet arbeidsområde, velger du arbeidsområdet og Koble til et arbeidsområde fra siden Arbeidsområder.

Beslektet innhold

• Microsoft Sentinel i Microsoft Defender-portalen
• Avansert jakt i Microsoft Defender-portalen
• Automatisk angrepsforstyrrelse i Microsoft Defender XDR
• Undersøke hendelser i Microsoft Defender portal
• Optimaliser sikkerhetsoperasjonene dine