Microsoft Sentinel verbinden met de Microsoft Defender-portal

• Van toepassing op:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel is algemeen beschikbaar in het SecOps-platform (Unified Security Operations) van Microsoft in de Microsoft Defender portal. Wanneer u Microsoft Sentinel met Microsoft Defender XDR naar de Defender-portal onboardt, kunt u mogelijkheden zoals incidentbeheer en geavanceerde opsporing samenvoegen. Verminder het schakelen tussen hulpprogramma's en bouw een meer contextgericht onderzoek dat de reactie op incidenten versnelt en inbreuken sneller stopt. Zie voor meer informatie:

• Blogbericht: Algemene beschikbaarheid van het geïntegreerde beveiligingsplatform van Microsoft
• Blogbericht: Veelgestelde vragen over het geïntegreerde platform voor beveiligingsbewerkingen
• Microsoft Sentinel in de Microsoft Defender-portal
• Microsoft Defender XDR integratie met Microsoft Sentinel

Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie.

Vereisten

Voordat u begint, raadpleegt u de functiedocumentatie voor meer informatie over de productwijzigingen en -beperkingen.

• Microsoft Sentinel in de Microsoft Defender-portal
• Geavanceerde opsporing in de Microsoft Defender-portal
• Waarschuwingen, incidenten en correlatie in Microsoft Defender XDR
• Automatisering met het geïntegreerde platform voor beveiligingsbewerkingen

De Microsoft Defender-portal ondersteunt één Microsoft Entra tenant en de verbinding met één werkruimte tegelijk. In de context van dit artikel is een werkruimte een Log Analytics-werkruimte waarvoor Microsoft Sentinel ingeschakeld.

vereisten voor Microsoft Sentinel

Als u Microsoft Sentinel in de Defender-portal wilt onboarden en gebruiken, moet u beschikken over de volgende resources en toegang:

• Een Log Analytics-werkruimte waarvoor Microsoft Sentinel is ingeschakeld

• De gegevensconnector voor Microsoft Defender XDR ingeschakeld in Microsoft Sentinel voor incidenten en waarschuwingen. Installeer de Defender XDR-oplossing en configureer de gegevensconnector om Microsoft Sentinel te verbinden met de Defender-portal. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie. In de Defender XDR gegevensconnector is de configuratieoptie voor het verbinden van incidenten en waarschuwingen uitgeschakeld nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal.

• Een Azure-account met de juiste rollen voor het onboarden, gebruiken en maken van ondersteuningsaanvragen voor Microsoft Sentinel in de Defender-portal. In de volgende tabel worden enkele belangrijke rollen weergegeven die nodig zijn.

  Taak	ingebouwde Microsoft Entra- of azure-rol vereist	Bereik
  Onboard Microsoft Sentinel naar de Defender-portal	Globale beheerder of beveiligingsbeheerder in Microsoft Entra ID	Tenant
  Verbinding maken met een werkruimte of de verbinding verbreken met Microsoft Sentinel ingeschakeld	Eigenaar of beheerder van gebruikerstoegang en Microsoft Sentinel inzender	- Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender
  Microsoft Sentinel weergeven in de Defender-portal	Microsoft Sentinel lezer	Abonnements-, resourcegroep- of werkruimteresource
  Query uitvoeren Sentinel gegevenstabellen of incidenten weergeven	Microsoft Sentinel lezer of een rol met de volgende acties: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonnements-, resourcegroep- of werkruimteresource
  Onderzoekacties uitvoeren voor incidenten	Microsoft Sentinel inzender of een rol met de volgende acties: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnements-, resourcegroep- of werkruimteresource
  Een ondersteuningsaanvraag maken	Eigenaar , inzender of inzender van ondersteuningsaanvraag of een aangepaste rol bij Microsoft.Support/*	Abonnement

  Nadat u Microsoft Sentinel verbinding hebt gemaakt met de Defender-portal, kunt u met uw bestaande RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure werken met de Microsoft Sentinel functies waartoe u toegang hebt. Ga door met het beheren van rollen en machtigingen voor uw Microsoft Sentinel gebruikers vanuit de Azure Portal. Wijzigingen in Azure RBAC worden weergegeven in de Defender-portal. Zie Rollen en machtigingen in Microsoft Sentinel Microsoft Sentinel | Microsoft Learn en toegang tot Microsoft Sentinel gegevens beheren per resource | Microsoft Learn.

Vereisten voor het geïntegreerde SecOps-platform van Microsoft

Als u mogelijkheden wilt samenvoegen met Defender XDR in het geïntegreerde SecOps-platform van Microsoft, moet u beschikken over de volgende resources en toegang:

• Licenties voor Defender XDR, zoals beschreven in Microsoft Defender XDR vereisten
• Account voor Defender XDR is lid van dezelfde Microsoft Entra tenant waaraan Microsoft Sentinel is gekoppeld
• Toegang tot Microsoft Defender XDR in de Defender-portal, zoals beschreven in Microsoft Defender XDR vereisten

Onboard Microsoft Sentinel

Voer de volgende stappen uit om een Microsoft Sentinel werkruimte te verbinden met de Defender-portal. Als u Microsoft Sentinel zonder Defender XDR (preview) onboardt, is er een extra stap om de verbinding met Microsoft Sentinel en de Defender-portal te activeren.

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Onboarding van Microsoft Sentinel zonder Defender XDR in de Defender-portal:

   1. Als u de verbinding met Microsoft Sentinel wilt activeren, selecteert u Onderzoeken &antwoordincidenten>.
   2. Wacht enkele minuten totdat de verbinding is voltooid.

3. Selecteer Overzicht in de Defender-portal.

4. Selecteer Een werkruimte verbinden.

5. Kies de werkruimte die u wilt verbinden en selecteer Volgende.

6. Lees en begrijp de productwijzigingen die zijn gekoppeld aan het verbinden van uw werkruimte. Deze wijzigingen omvatten:

   • Incidenten worden niet meer gemaakt door Microsoft Sentinel. Ze worden nu gemaakt door de correlatie-engine in de Microsoft Defender-portal. Deze wijziging wordt weergegeven in het veld 'naam van incidentprovider', dat nu 'Microsoft Defender XDR' luidt.
   • Daarom worden actieve regels voor het maken van beveiligingsincidenten van Microsoft gedeactiveerd om dubbele incidenten te voorkomen. De instellingen voor het maken van incidenten in andere typen analyseregels blijven ongewijzigd, maar deze instellingen worden geïmplementeerd in de Defender-portal, niet in Microsoft Sentinel.
   • Logboektabellen, query's en functies in de werkruimte Microsoft Sentinel zijn ook beschikbaar in geavanceerde opsporing in de Defender-portal.
   • De rol Microsoft Sentinel Inzender wordt toegewezen aan de apps Microsoft Threat Protection en WindowsDefenderATP binnen het abonnement.
   • Alle waarschuwingen met betrekking tot Defender XDR producten worden rechtstreeks vanuit de hoofd-Defender XDR gegevensconnector gestreamd om consistentie te garanderen. Zorg ervoor dat incidenten en waarschuwingen van deze connector zijn ingeschakeld in de werkruimte.

7. Selecteer Verbinding maken.

Nadat uw werkruimte is verbonden, ziet u in de banner op de pagina Overzicht dat uw omgeving gereed is. De pagina Overzicht is bijgewerkt met nieuwe secties met metrische gegevens van Microsoft Sentinel zoals het aantal gegevensconnectors en automatiseringsregels.

Verken Microsoft Sentinel functies in de Defender-portal

Nadat u uw werkruimte hebt verbonden met de Defender-portal, bevindt Microsoft Sentinel zich in het navigatiedeelvenster aan de linkerkant. Als u Defender XDR hebt ingeschakeld, bevatten pagina's zoals Overzicht, Incidenten en Geavanceerde opsporing uniforme gegevens uit Microsoft Sentinel en Defender XDR. Als u Defender XDR niet hebt ingeschakeld, bevatten deze pagina's alleen gegevens uit Microsoft Sentinel (preview). Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie over de geïntegreerde mogelijkheden en verschillen tussen portals.

Veel van de bestaande Microsoft Sentinel-functies zijn geïntegreerd in de Defender-portal. Voor deze functies ziet u dat de ervaring tussen Microsoft Sentinel in de Azure Portal en Defender-portal vergelijkbaar is. Gebruik de volgende artikelen om aan de slag te gaan met Microsoft Sentinel in de Defender-portal. Wanneer u deze artikelen gebruikt, moet u er rekening mee houden dat het uitgangspunt in deze context de Defender-portal is in plaats van de Azure Portal.

• Zoeken
  • Zoeken in lange tijdsperioden in grote gegevenssets
  • Gearchiveerde logboeken herstellen vanuit zoeken
• Risicobeheer
  • Uw gegevens visualiseren en bewaken met behulp van werkmappen
  • End-to-end opsporing van bedreigingen uitvoeren met Hunts
  • Opsporingsbladwijzers gebruiken voor gegevensonderzoek
  • Opsporings livestream in Microsoft Sentinel gebruiken om bedreigingen te detecteren
  • Beveiligingsrisico's opsporen met Jupyter-notebooks
  • Indicatoren bulksgewijs toevoegen aan Microsoft Sentinel bedreigingsinformatie uit een CSV- of JSON-bestand
  • Werken met bedreigingsindicatoren in Microsoft Sentinel
  • Informatie over beveiligingsdekking door het MITRE ATT&CK-framework
• Inhoudsbeheer
  • Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
  • Microsoft Sentinel inhoudshubcatalogus
  • Aangepaste inhoud implementeren vanuit uw opslagplaats
• Configuratie
  • Uw Microsoft Sentinel-gegevensconnector zoeken
  • Aangepaste analyseregels maken om bedreigingen te detecteren
  • Werken met nrt-detectieanalyseregels (near-real-time) in Microsoft Sentinel
  • Volglijsten maken
  • Volglijsten beheren in Microsoft Sentinel
  • Automatiseringsregels maken
  • Microsoft Sentinel playbooks maken en aanpassen vanuit inhoudssjablonen

Zoek Microsoft Sentinel instellingen in de Defender-portal onderSysteeminstellingen>>Microsoft Sentinel.

Offboard Microsoft Sentinel

U kunt slechts één werkruimte tegelijk verbinden met de Defender-portal. Als u verbinding wilt maken met een andere werkruimte waarvoor Microsoft Sentinel is ingeschakeld, koppelt u de huidige werkruimte los en verbindt u de andere werkruimte.

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Selecteer in de Defender-portal onder Systeemde optie Instellingen>Microsoft Sentinel.

3. Selecteer op de pagina Werkruimten de verbonden werkruimte en Werkruimte loskoppelen.

4. Geef een reden op waarom u de verbinding met de werkruimte verbreekt.

5. Bevestig uw selectie.

   Wanneer de verbinding met uw werkruimte is verbroken, wordt de sectie Microsoft Sentinel verwijderd uit de navigatie aan de linkerkant van de Defender-portal. Gegevens van Microsoft Sentinel zijn niet langer opgenomen op de pagina Overzicht.

Als u verbinding wilt maken met een andere werkruimte, selecteert u op de pagina Werkruimten de werkruimte en verbindt u een werkruimte.

Verwante onderwerpen

• Microsoft Sentinel in de Microsoft Defender-portal
• Geavanceerde opsporing in de Microsoft Defender-portal
• Automatische aanvalsonderbreking in Microsoft Defender XDR
• Incidenten onderzoeken in Microsoft Defender portal
• Uw beveiligingsbewerkingen optimaliseren