Delen via


Microsoft Sentinel in de Microsoft Defender-portal

In dit artikel wordt de Microsoft Sentinel-ervaring in de Microsoft Defender-portal beschreven. Microsoft Sentinel is algemeen beschikbaar in het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal met Microsoft Defender XDR. Zie voor meer informatie:

Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie.

Nieuwe en verbeterde mogelijkheden

In de volgende tabel worden de nieuwe of verbeterde mogelijkheden beschreven die beschikbaar zijn in de Defender-portal met de integratie van Microsoft Sentinel. Microsoft blijft innoveren in deze nieuwe ervaring met functies die mogelijk exclusief zijn voor de Defender-portal.

Functies Beschrijving
Geavanceerde opsporing Query's uitvoeren vanuit één portal in verschillende gegevenssets om de opsporing efficiënter te maken en de noodzaak van contextwisselingen te verwijderen. Gebruik Security Copilot om uw KQL te genereren. Bekijk en voer een query uit op alle gegevens, inclusief gegevens van Microsoft-beveiligingsservices en Microsoft Sentinel. Gebruik al uw bestaande Inhoud van de Microsoft Sentinel-werkruimte, inclusief query's en functies.

Raadpleeg voor meer informatie de volgende artikelen:
- Geavanceerde opsporing in de Microsoft Defender-portal
- Security Copilot in geavanceerde opsporing
SOC-optimalisaties Krijg aanbevelingen van hoge kwaliteit en bruikbare aanbevelingen om u te helpen gebieden te identificeren voor:
- Kosten verlagen
- Beveiligingscontroles toevoegen
- Ontbrekende gegevens toevoegen
SOC-optimalisaties zijn beschikbaar in de Defender- en Azure-portals, zijn afgestemd op uw omgeving en zijn gebaseerd op uw huidige dekking en bedreigingslandschap.

Raadpleeg voor meer informatie de volgende artikelen:
- Uw beveiligingsbewerkingen optimaliseren
- SOC-optimalisatiereferentie van aanbevelingen
Microsoft Copilot in Microsoft Defender Bij het onderzoeken van incidenten in de Defender-portal,
- Incidenten samenvatten
- Scripts analyseren
- Bestanden analyseren
- Incidentrapporten maken

Bij het opsporen van bedreigingen bij geavanceerde opsporing maakt u kant-en-klare KQL-query's met behulp van de queryassistent. Zie Microsoft Security Copilot in geavanceerde opsporing voor meer informatie.

In de volgende tabel worden de aanvullende mogelijkheden beschreven die beschikbaar zijn in de Defender-portal met de integratie van Microsoft Sentinel en Microsoft Defender XDR als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft.

Functies Beschrijving
Aanvalsstoring Implementeer automatische aanvalsonderbreking voor SAP met zowel de Defender-portal als de Microsoft Sentinel-oplossing voor SAP-toepassingen. Neem bijvoorbeeld inbreuk op assets door verdachte SAP-gebruikers te vergrendelen in geval van een aanval op het manipuleren van financiële processen.

Mogelijkheden voor aanvallenonderbreking voor SAP zijn alleen beschikbaar in de Defender-portal. Als u onderbreking van aanvallen voor SAP wilt gebruiken, werkt u de versie van de gegevensconnectoragent bij en zorgt u ervoor dat de relevante Azure-rol is toegewezen aan de identiteit van uw agent.

Zie Automatische aanvalsonderbreking voor SAP voor meer informatie.
Geïntegreerde entiteiten Entiteitspagina's voor apparaten, gebruikers, IP-adressen en Azure-resources in de Defender-portal geven informatie weer van Microsoft Sentinel- en Defender-gegevensbronnen. Deze entiteitspagina's bieden u een uitgebreide context voor uw onderzoeken van incidenten en waarschuwingen in de Defender-portal.

Zie Entiteiten onderzoeken met entiteitspagina's in Microsoft Sentinel voor meer informatie.
Geïntegreerde incidenten Beveiligingsincidenten op één locatie en vanuit één wachtrij in de Defender-portal beheren en onderzoeken. Gebruik Security Copilot om samen te vatten, te reageren en te rapporteren. Incidenten zijn onder andere:
- Gegevens uit de breedte van bronnen
- AI-analysehulpprogramma's voor beveiligingsinformatie en gebeurtenisbeheer (SIEM)
- Context- en risicobeperkingshulpprogramma's die worden aangeboden door uitgebreide detectie en respons (XDR)

Raadpleeg voor meer informatie de volgende artikelen:
- Reactie op incidenten in de Microsoft Defender-portal
- Microsoft Sentinel-incidenten onderzoeken in Security Copilot
Microsoft Copilot in Microsoft Defender Bij het onderzoeken van incidenten met Microsoft Sentinel geïntegreerd met Defender XDR,
- Incidenten met begeleide antwoorden classificeren en onderzoeken
- Apparaatgegevens samenvatten
- Identiteitsgegevens samenvatten

Geef een overzicht van de relevante bedreigingen die van invloed zijn op uw omgeving, om prioriteit te geven aan het oplossen van bedreigingen op basis van uw blootstellingsniveaus of om bedreigingsactoren te vinden die mogelijk gericht zijn op uw branche door Security Copilot te gebruiken in bedreigingsinformatie. Zie Microsoft Security Copilot gebruiken voor bedreigingsinformatie voor meer informatie.

Mogelijkheidsverschillen tussen portals

De meeste mogelijkheden van Microsoft Sentinel zijn beschikbaar in zowel de Azure- als de Defender-portal. In de Defender-portal zijn sommige Microsoft Sentinel-ervaringen beschikbaar in Azure Portal, zodat u een taak kunt voltooien.

In deze sectie worden de mogelijkheden of integraties van Microsoft Sentinel beschreven die alleen beschikbaar zijn in Azure Portal of Defender Portal of andere belangrijke verschillen tussen de portals. Het sluit de Microsoft Sentinel-ervaringen uit die de Azure-portal openen vanuit de Defender-portal.

Mogelijkheid Beschikbaarheid Beschrijving
Geavanceerde opsporing met bladwijzers Alleen Azure Portal Bladwijzers worden niet ondersteund in de geavanceerde opsporingservaring in de Microsoft Defender-portal. In de Defender-portal worden ze ondersteund in de Opsporing van bedreigingen > van Microsoft Sentinel>.

Zie Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel voor meer informatie.
Aanvalsonderbreking voor SAP Defender-portal alleen met Defender XDR Deze functionaliteit is niet beschikbaar in Azure Portal.

Zie Automatische aanvalsonderbreking in de Microsoft Defender-portal voor meer informatie.
Automation Sommige automatiseringsprocedures zijn alleen beschikbaar in Azure Portal.

Andere automatiseringsprocedures zijn hetzelfde in de Defender- en Azure-portals, maar verschillen in Azure Portal tussen werkruimten die worden toegevoegd aan de Defender-portal en werkruimten die dat niet zijn.


Zie Automation met het geïntegreerde platform voor beveiligingsbewerkingen voor meer informatie.
Gegevensconnectors: zichtbaarheid van connectors die worden gebruikt door het geïntegreerde platform voor beveiligingsbewerkingen Alleen Azure Portal Na de onboarding van Microsoft Sentinel in de Defender-portal worden de volgende gegevensconnectors die deel uitmaken van het geïntegreerde platform voor beveiligingsbewerkingen niet weergegeven op de pagina Gegevensconnectors :
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender voor Eindpunten
  • Microsoft Defender for Identity
  • Microsoft Defender voor Office 365 (preview)
  • Microsoft Defender XDR
  • Abonnementsgebaseerde Microsoft Defender voor Cloud (verouderd)
  • Tenantgebaseerde Microsoft Defender voor Cloud (preview)

    In Azure Portal worden deze gegevensconnectors nog steeds vermeld met de geïnstalleerde gegevensconnectors in Microsoft Sentinel.
  • Entiteiten: Entiteiten toevoegen aan bedreigingsinformatie van incidenten Alleen Azure Portal Deze functionaliteit is niet beschikbaar in de Defender-portal.

    Zie Entiteit toevoegen aan bedreigingsindicatoren voor meer informatie.
    Fusion: Geavanceerde detectie van aanvallen met meerdere fasen Alleen Azure Portal De Fusion Analytics-regel, die incidenten maakt op basis van waarschuwingscorrelaties die zijn gemaakt door de Fusion-correlatie-engine, wordt uitgeschakeld wanneer u Microsoft Sentinel onboardt naar de Defender-portal.

    De Defender-portal maakt gebruik van de functies voor het maken en correlatie van incidenten van Microsoft Defender XDR om die van de Fusion-engine te vervangen.

    Zie Geavanceerde detectie van aanvallen met meerdere fasen in Microsoft Sentinel voor meer informatie
    Incidenten: Waarschuwingen toevoegen aan incidenten /
    Waarschuwingen uit incidenten verwijderen
    Alleen Defender-portal Nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, kunt u geen waarschuwingen meer toevoegen aan of verwijderen uit, incidenten in Azure Portal.

    U kunt een waarschuwing verwijderen uit een incident in de Defender-portal, maar alleen door de waarschuwing te koppelen aan een ander incident (bestaand of nieuw).
    Incidenten: opmerkingen bewerken Alleen Azure Portal Nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, kunt u opmerkingen toevoegen aan incidenten in beide portals, maar u kunt bestaande opmerkingen niet bewerken.

    Wijzigingen die zijn aangebracht in opmerkingen in Azure Portal, worden niet gesynchroniseerd met de Defender-portal.
    Incidenten: Programmatisch en handmatig maken van incidenten Alleen Azure Portal Incidenten die zijn gemaakt in Microsoft Sentinel via de API, door een playbook voor logische apps of handmatig vanuit Azure Portal, worden niet gesynchroniseerd met de Defender-portal. Deze incidenten worden nog steeds ondersteund in Azure Portal en de API. Zie Uw eigen incidenten handmatig maken in Microsoft Sentinel.
    Incidenten: gesloten incidenten opnieuw openen Alleen Azure Portal In de Defender-portal kunt u geen waarschuwingsgroepering instellen in analyseregels van Microsoft Sentinel om gesloten incidenten opnieuw te openen als er nieuwe waarschuwingen worden toegevoegd.
    Gesloten incidenten worden in dit geval niet opnieuw geopend en nieuwe waarschuwingen activeren nieuwe incidenten.
    Incidenten: Taken Alleen Azure Portal Taken zijn niet beschikbaar in de Defender-portal.

    Zie Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel voor meer informatie.
    Beheer van meerdere werkruimten voor Microsoft Sentinel Defender-portal: beperkt tot één Microsoft Sentinel-werkruimte per tenant

    Azure Portal: Meerdere Microsoft Sentinel-werkruimten centraal beheren voor tenants
    Er wordt momenteel slechts één Microsoft Sentinel-werkruimte per tenant ondersteund in de Defender-portal. Microsoft Defender multitenant-beheer ondersteunt dus één Microsoft Sentinel-werkruimte per tenant.

    Raadpleeg voor meer informatie de volgende artikelen:
    - Defender-portal: Multitenant-beheer van Microsoft Defender
    - Azure Portal: Meerdere Microsoft Sentinel-werkruimten beheren met werkruimtebeheer

    Beperkte of niet-beschikbare mogelijkheden

    Wanneer u Microsoft Sentinel onboardt naar de Defender-portal zonder Defender XDR of andere services ingeschakeld, zijn de volgende functies die in de Defender-portal worden weergegeven, momenteel beperkt of niet beschikbaar.

    Mogelijkheid Service vereist
    Blootstellingsbeheer Microsoft Security Exposure Management
    Aangepaste detectieregels Microsoft Defender XDR
    Actiecentrum Microsoft Defender XDR

    De volgende beperkingen gelden ook voor Microsoft Sentinel in de Defender-portal zonder Defender XDR of andere services ingeschakeld:

    • Nieuwe Microsoft Sentinel-klanten komen niet in aanmerking voor het onboarden van een Log Analytics-werkruimte die is gemaakt in de regio Israël. Als u wilt onboarden naar de Defender-portal, maakt u een andere werkruimte voor Microsoft Sentinel in een andere regio.
    • Klanten die Gebruikmaken van Microsoft Sentinel-analyse van gebruikers- en entiteitsgedrag (UEBA) zijn voorzien van een beperkte versie van de tabel IdentityInfo.

    Snelzoekgids

    Sommige mogelijkheden van Microsoft Sentinel, zoals de geïntegreerde incidentwachtrij, zijn geïntegreerd met Microsoft Defender XDR in het geïntegreerde beveiligingsbewerkingsplatform van Microsoft. Veel andere mogelijkheden van Microsoft Sentinel zijn beschikbaar in de sectie Microsoft Sentinel van de Defender-portal.

    In de volgende afbeelding ziet u het menu Microsoft Sentinel in de Defender-portal:

    Schermopname van de linkernavigatie van de Defender-portal met de sectie Microsoft Sentinel.

    In de volgende secties wordt beschreven waar u Microsoft Sentinel-functies kunt vinden in de Defender-portal. De secties zijn ingedeeld als Microsoft Sentinel zich in Azure Portal bevindt.

    Algemeen

    De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Algemeen in Azure Portal.

    Azure Portal Defender-portal
    Overzicht Overzicht
    Logboeken Onderzoek en respons > Opsporing > Geavanceerde opsporing
    Nieuws en richtlijnen Niet beschikbaar
    Zoeken Microsoft Sentinel > Search

    Beveiligingsbeheer

    De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Bedreigingsbeheer in Azure Portal.

    Azure Portal Defender-portal
    Incidenten Onderzoeks- en responsincidenten > & waarschuwingen > incidenten
    Werkmappen Microsoft Sentinel > Threat Management-werkmappen>
    Zoeken Microsoft Sentinel > Threat management > Hunting
    Notebooks Microsoft Sentinel > Threat management > Notebooks
    Gedrag van entiteit Pagina Gebruikersentiteit: Assetsidentiteiten >>{user}> Sentinel-gebeurtenissen
    Pagina Apparaatentiteit: Apparaten >>{device}> Sentinel-gebeurtenissen

    Zoek ook de entiteitspagina's voor de entiteitstypen gebruiker, apparaat, IP en Azure-resource van incidenten en waarschuwingen wanneer ze worden weergegeven.
    Informatie over bedreigingen Bedreigingsinformatie > van Microsoft Sentinel >
    MITRE ATT&CK Microsoft Sentinel > Threat management > MITRE ATT&CK

    Inhoudbeheer

    De volgende tabel bevat de wijzigingen in de navigatie tussen de Azure- en Defender-portals voor de sectie Inhoudsbeheer in Azure Portal.

    Azure Portal Defender-portal
    Inhoudshub Inhoudshub voor Microsoft Sentinel-inhoudsbeheer > >
    Opslagplaatsen Opslagplaatsen voor Inhoudsbeheer > van Microsoft Sentinel >
    Community Microsoft Sentinel > Content management > Community

    Configuratie

    De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Configuratie in Azure Portal.

    Azure Portal Defender-portal
    Werkruimtebeheer Niet beschikbaar
    Gegevensconnectors Microsoft Sentinel > Configuration > Data-connectors
    Analyse Microsoft Sentinel > Configuration > Analytics
    Volglijsten Microsoft Sentinel > Configuration > Watchlists
    Automation Microsoft Sentinel-configuratieautomatisering > >
    Instellingen Systeeminstellingen > > Microsoft Sentinel