Microsoft Sentinel in de Microsoft Defender-portal
In dit artikel wordt de Microsoft Sentinel-ervaring in de Microsoft Defender-portal beschreven. Microsoft Sentinel is algemeen beschikbaar in het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal met Microsoft Defender XDR. Zie voor meer informatie:
- Blogbericht: Algemene beschikbaarheid van het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft
- Blogbericht: Veelgestelde vragen over het geïntegreerde beveiligingsbewerkingsplatform
- Microsoft Sentinel verbinden met Microsoft Defender XDR
- Ondersteuning voor Microsoft Sentinel-functies voor commerciële/andere Azure-clouds
Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie.
Nieuwe en verbeterde mogelijkheden
In de volgende tabel worden de nieuwe of verbeterde mogelijkheden beschreven die beschikbaar zijn in de Defender-portal met de integratie van Microsoft Sentinel. Microsoft blijft innoveren in deze nieuwe ervaring met functies die mogelijk exclusief zijn voor de Defender-portal.
Functies | Beschrijving |
---|---|
Geavanceerde opsporing | Query's uitvoeren vanuit één portal in verschillende gegevenssets om de opsporing efficiënter te maken en de noodzaak van contextwisselingen te verwijderen. Gebruik Security Copilot om uw KQL te genereren. Bekijk en voer een query uit op alle gegevens, inclusief gegevens van Microsoft-beveiligingsservices en Microsoft Sentinel. Gebruik al uw bestaande Inhoud van de Microsoft Sentinel-werkruimte, inclusief query's en functies. Raadpleeg voor meer informatie de volgende artikelen: - Geavanceerde opsporing in de Microsoft Defender-portal - Security Copilot in geavanceerde opsporing |
SOC-optimalisaties | Krijg aanbevelingen van hoge kwaliteit en bruikbare aanbevelingen om u te helpen gebieden te identificeren voor: - Kosten verlagen - Beveiligingscontroles toevoegen - Ontbrekende gegevens toevoegen SOC-optimalisaties zijn beschikbaar in de Defender- en Azure-portals, zijn afgestemd op uw omgeving en zijn gebaseerd op uw huidige dekking en bedreigingslandschap. Raadpleeg voor meer informatie de volgende artikelen: - Uw beveiligingsbewerkingen optimaliseren - SOC-optimalisatiereferentie van aanbevelingen |
Microsoft Copilot in Microsoft Defender | Bij het onderzoeken van incidenten in de Defender-portal, - Incidenten samenvatten - Scripts analyseren - Bestanden analyseren - Incidentrapporten maken Bij het opsporen van bedreigingen bij geavanceerde opsporing maakt u kant-en-klare KQL-query's met behulp van de queryassistent. Zie Microsoft Security Copilot in geavanceerde opsporing voor meer informatie. |
In de volgende tabel worden de aanvullende mogelijkheden beschreven die beschikbaar zijn in de Defender-portal met de integratie van Microsoft Sentinel en Microsoft Defender XDR als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft.
Functies | Beschrijving |
---|---|
Aanvalsstoring | Implementeer automatische aanvalsonderbreking voor SAP met zowel de Defender-portal als de Microsoft Sentinel-oplossing voor SAP-toepassingen. Neem bijvoorbeeld inbreuk op assets door verdachte SAP-gebruikers te vergrendelen in geval van een aanval op het manipuleren van financiële processen. Mogelijkheden voor aanvallenonderbreking voor SAP zijn alleen beschikbaar in de Defender-portal. Als u onderbreking van aanvallen voor SAP wilt gebruiken, werkt u de versie van de gegevensconnectoragent bij en zorgt u ervoor dat de relevante Azure-rol is toegewezen aan de identiteit van uw agent. Zie Automatische aanvalsonderbreking voor SAP voor meer informatie. |
Geïntegreerde entiteiten | Entiteitspagina's voor apparaten, gebruikers, IP-adressen en Azure-resources in de Defender-portal geven informatie weer van Microsoft Sentinel- en Defender-gegevensbronnen. Deze entiteitspagina's bieden u een uitgebreide context voor uw onderzoeken van incidenten en waarschuwingen in de Defender-portal. Zie Entiteiten onderzoeken met entiteitspagina's in Microsoft Sentinel voor meer informatie. |
Geïntegreerde incidenten | Beveiligingsincidenten op één locatie en vanuit één wachtrij in de Defender-portal beheren en onderzoeken. Gebruik Security Copilot om samen te vatten, te reageren en te rapporteren. Incidenten zijn onder andere: - Gegevens uit de breedte van bronnen - AI-analysehulpprogramma's voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) - Context- en risicobeperkingshulpprogramma's die worden aangeboden door uitgebreide detectie en respons (XDR) Raadpleeg voor meer informatie de volgende artikelen: - Reactie op incidenten in de Microsoft Defender-portal - Microsoft Sentinel-incidenten onderzoeken in Security Copilot |
Microsoft Copilot in Microsoft Defender | Bij het onderzoeken van incidenten met Microsoft Sentinel geïntegreerd met Defender XDR, - Incidenten met begeleide antwoorden classificeren en onderzoeken - Apparaatgegevens samenvatten - Identiteitsgegevens samenvatten Geef een overzicht van de relevante bedreigingen die van invloed zijn op uw omgeving, om prioriteit te geven aan het oplossen van bedreigingen op basis van uw blootstellingsniveaus of om bedreigingsactoren te vinden die mogelijk gericht zijn op uw branche door Security Copilot te gebruiken in bedreigingsinformatie. Zie Microsoft Security Copilot gebruiken voor bedreigingsinformatie voor meer informatie. |
Mogelijkheidsverschillen tussen portals
De meeste mogelijkheden van Microsoft Sentinel zijn beschikbaar in zowel de Azure- als de Defender-portal. In de Defender-portal zijn sommige Microsoft Sentinel-ervaringen beschikbaar in Azure Portal, zodat u een taak kunt voltooien.
In deze sectie worden de mogelijkheden of integraties van Microsoft Sentinel beschreven die alleen beschikbaar zijn in Azure Portal of Defender Portal of andere belangrijke verschillen tussen de portals. Het sluit de Microsoft Sentinel-ervaringen uit die de Azure-portal openen vanuit de Defender-portal.
Mogelijkheid | Beschikbaarheid | Beschrijving |
---|---|---|
Geavanceerde opsporing met bladwijzers | Alleen Azure Portal | Bladwijzers worden niet ondersteund in de geavanceerde opsporingservaring in de Microsoft Defender-portal. In de Defender-portal worden ze ondersteund in de Opsporing van bedreigingen > van Microsoft Sentinel>. Zie Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel voor meer informatie. |
Aanvalsonderbreking voor SAP | Defender-portal alleen met Defender XDR | Deze functionaliteit is niet beschikbaar in Azure Portal. Zie Automatische aanvalsonderbreking in de Microsoft Defender-portal voor meer informatie. |
Automation | Sommige automatiseringsprocedures zijn alleen beschikbaar in Azure Portal. Andere automatiseringsprocedures zijn hetzelfde in de Defender- en Azure-portals, maar verschillen in Azure Portal tussen werkruimten die worden toegevoegd aan de Defender-portal en werkruimten die dat niet zijn. |
Zie Automation met het geïntegreerde platform voor beveiligingsbewerkingen voor meer informatie. |
Gegevensconnectors: zichtbaarheid van connectors die worden gebruikt door het geïntegreerde platform voor beveiligingsbewerkingen | Alleen Azure Portal | Na de onboarding van Microsoft Sentinel in de Defender-portal worden de volgende gegevensconnectors die deel uitmaken van het geïntegreerde platform voor beveiligingsbewerkingen niet weergegeven op de pagina Gegevensconnectors : In Azure Portal worden deze gegevensconnectors nog steeds vermeld met de geïnstalleerde gegevensconnectors in Microsoft Sentinel. |
Entiteiten: Entiteiten toevoegen aan bedreigingsinformatie van incidenten | Alleen Azure Portal | Deze functionaliteit is niet beschikbaar in de Defender-portal. Zie Entiteit toevoegen aan bedreigingsindicatoren voor meer informatie. |
Fusion: Geavanceerde detectie van aanvallen met meerdere fasen | Alleen Azure Portal | De Fusion Analytics-regel, die incidenten maakt op basis van waarschuwingscorrelaties die zijn gemaakt door de Fusion-correlatie-engine, wordt uitgeschakeld wanneer u Microsoft Sentinel onboardt naar de Defender-portal. De Defender-portal maakt gebruik van de functies voor het maken en correlatie van incidenten van Microsoft Defender XDR om die van de Fusion-engine te vervangen. Zie Geavanceerde detectie van aanvallen met meerdere fasen in Microsoft Sentinel voor meer informatie |
Incidenten: Waarschuwingen toevoegen aan incidenten / Waarschuwingen uit incidenten verwijderen |
Alleen Defender-portal | Nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, kunt u geen waarschuwingen meer toevoegen aan of verwijderen uit, incidenten in Azure Portal. U kunt een waarschuwing verwijderen uit een incident in de Defender-portal, maar alleen door de waarschuwing te koppelen aan een ander incident (bestaand of nieuw). |
Incidenten: opmerkingen bewerken | Alleen Azure Portal | Nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, kunt u opmerkingen toevoegen aan incidenten in beide portals, maar u kunt bestaande opmerkingen niet bewerken. Wijzigingen die zijn aangebracht in opmerkingen in Azure Portal, worden niet gesynchroniseerd met de Defender-portal. |
Incidenten: Programmatisch en handmatig maken van incidenten | Alleen Azure Portal | Incidenten die zijn gemaakt in Microsoft Sentinel via de API, door een playbook voor logische apps of handmatig vanuit Azure Portal, worden niet gesynchroniseerd met de Defender-portal. Deze incidenten worden nog steeds ondersteund in Azure Portal en de API. Zie Uw eigen incidenten handmatig maken in Microsoft Sentinel. |
Incidenten: gesloten incidenten opnieuw openen | Alleen Azure Portal | In de Defender-portal kunt u geen waarschuwingsgroepering instellen in analyseregels van Microsoft Sentinel om gesloten incidenten opnieuw te openen als er nieuwe waarschuwingen worden toegevoegd. Gesloten incidenten worden in dit geval niet opnieuw geopend en nieuwe waarschuwingen activeren nieuwe incidenten. |
Incidenten: Taken | Alleen Azure Portal | Taken zijn niet beschikbaar in de Defender-portal. Zie Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel voor meer informatie. |
Beheer van meerdere werkruimten voor Microsoft Sentinel | Defender-portal: beperkt tot één Microsoft Sentinel-werkruimte per tenant Azure Portal: Meerdere Microsoft Sentinel-werkruimten centraal beheren voor tenants |
Er wordt momenteel slechts één Microsoft Sentinel-werkruimte per tenant ondersteund in de Defender-portal. Microsoft Defender multitenant-beheer ondersteunt dus één Microsoft Sentinel-werkruimte per tenant. Raadpleeg voor meer informatie de volgende artikelen: - Defender-portal: Multitenant-beheer van Microsoft Defender - Azure Portal: Meerdere Microsoft Sentinel-werkruimten beheren met werkruimtebeheer |
Beperkte of niet-beschikbare mogelijkheden
Wanneer u Microsoft Sentinel onboardt naar de Defender-portal zonder Defender XDR of andere services ingeschakeld, zijn de volgende functies die in de Defender-portal worden weergegeven, momenteel beperkt of niet beschikbaar.
Mogelijkheid | Service vereist |
---|---|
Blootstellingsbeheer | Microsoft Security Exposure Management |
Aangepaste detectieregels | Microsoft Defender XDR |
Actiecentrum | Microsoft Defender XDR |
De volgende beperkingen gelden ook voor Microsoft Sentinel in de Defender-portal zonder Defender XDR of andere services ingeschakeld:
- Nieuwe Microsoft Sentinel-klanten komen niet in aanmerking voor het onboarden van een Log Analytics-werkruimte die is gemaakt in de regio Israël. Als u wilt onboarden naar de Defender-portal, maakt u een andere werkruimte voor Microsoft Sentinel in een andere regio.
- Klanten die Gebruikmaken van Microsoft Sentinel-analyse van gebruikers- en entiteitsgedrag (UEBA) zijn voorzien van een beperkte versie van de tabel IdentityInfo.
Snelzoekgids
Sommige mogelijkheden van Microsoft Sentinel, zoals de geïntegreerde incidentwachtrij, zijn geïntegreerd met Microsoft Defender XDR in het geïntegreerde beveiligingsbewerkingsplatform van Microsoft. Veel andere mogelijkheden van Microsoft Sentinel zijn beschikbaar in de sectie Microsoft Sentinel van de Defender-portal.
In de volgende afbeelding ziet u het menu Microsoft Sentinel in de Defender-portal:
In de volgende secties wordt beschreven waar u Microsoft Sentinel-functies kunt vinden in de Defender-portal. De secties zijn ingedeeld als Microsoft Sentinel zich in Azure Portal bevindt.
Algemeen
De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Algemeen in Azure Portal.
Azure Portal | Defender-portal |
---|---|
Overzicht | Overzicht |
Logboeken | Onderzoek en respons > Opsporing > Geavanceerde opsporing |
Nieuws en richtlijnen | Niet beschikbaar |
Zoeken | Microsoft Sentinel > Search |
Beveiligingsbeheer
De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Bedreigingsbeheer in Azure Portal.
Azure Portal | Defender-portal |
---|---|
Incidenten | Onderzoeks- en responsincidenten > & waarschuwingen > incidenten |
Werkmappen | Microsoft Sentinel > Threat Management-werkmappen> |
Zoeken | Microsoft Sentinel > Threat management > Hunting |
Notebooks | Microsoft Sentinel > Threat management > Notebooks |
Gedrag van entiteit | Pagina Gebruikersentiteit: Assetsidentiteiten >>{user}> Sentinel-gebeurtenissen Pagina Apparaatentiteit: Apparaten >>{device}> Sentinel-gebeurtenissen Zoek ook de entiteitspagina's voor de entiteitstypen gebruiker, apparaat, IP en Azure-resource van incidenten en waarschuwingen wanneer ze worden weergegeven. |
Informatie over bedreigingen | Bedreigingsinformatie > van Microsoft Sentinel > |
MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Inhoudbeheer
De volgende tabel bevat de wijzigingen in de navigatie tussen de Azure- en Defender-portals voor de sectie Inhoudsbeheer in Azure Portal.
Azure Portal | Defender-portal |
---|---|
Inhoudshub | Inhoudshub voor Microsoft Sentinel-inhoudsbeheer > > |
Opslagplaatsen | Opslagplaatsen voor Inhoudsbeheer > van Microsoft Sentinel > |
Community | Microsoft Sentinel > Content management > Community |
Configuratie
De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Configuratie in Azure Portal.
Azure Portal | Defender-portal |
---|---|
Werkruimtebeheer | Niet beschikbaar |
Gegevensconnectors | Microsoft Sentinel > Configuration > Data-connectors |
Analyse | Microsoft Sentinel > Configuration > Analytics |
Volglijsten | Microsoft Sentinel > Configuration > Watchlists |
Automation | Microsoft Sentinel-configuratieautomatisering > > |
Instellingen | Systeeminstellingen > > Microsoft Sentinel |