Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
W tym artykule opisano środowisko usługi Microsoft Sentinel w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu Microsoft Defender za pomocą usługi Microsoft Defender XDR. Aby uzyskać więcej informacji, zobacz:
- Wpis w blogu: Ogólna dostępność ujednoliconej platformy operacji zabezpieczeń firmy Microsoft
- Wpis w blogu: Często zadawane pytania dotyczące ujednoliconej platformy operacji zabezpieczeń
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
- Obsługa funkcji usługi Microsoft Sentinel dla platformy Azure komercyjnych/innych chmur
W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5.
Nowe i ulepszone możliwości
W poniższej tabeli opisano nowe lub ulepszone funkcje dostępne w portalu usługi Defender z integracją usługi Microsoft Sentinel. Firma Microsoft nadal wprowadza innowacje w tym nowym środowisku z funkcjami, które mogą być dostępne wyłącznie w portalu usługi Defender.
| Możliwości | opis |
|---|---|
| Zaawansowane wyszukiwanie zagrożeń | Wykonywanie zapytań z jednego portalu w różnych zestawach danych w celu zwiększenia wydajności wyszukiwania zagrożeń i usunięcia konieczności przełączania kontekstu. Użyj narzędzia Security Copilot, aby pomóc wygenerować język KQL. Wyświetlanie i wykonywanie zapytań dotyczących wszystkich danych, w tym danych z usług zabezpieczeń firmy Microsoft i usługi Microsoft Sentinel. Użyj całej istniejącej zawartości obszaru roboczego usługi Microsoft Sentinel, w tym zapytań i funkcji. Aby uzyskać więcej informacji, zobacz następujące artykuły: - Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender - Security Copilot w zaawansowanym polowaniu |
| Optymalizacje SOC | Uzyskaj zalecenia o wysokiej wierności i możliwości działania, aby ułatwić identyfikowanie obszarów: - Obniżanie kosztów - Dodawanie mechanizmów kontroli zabezpieczeń - Dodawanie brakujących danych Optymalizacje SOC są dostępne w witrynach Defender i Azure Portal, są dostosowane do twojego środowiska i są oparte na bieżącym zasięgu i krajobrazie zagrożeń. Aby uzyskać więcej informacji, zobacz następujące artykuły: - Optymalizowanie operacji zabezpieczeń - Dokumentacja optymalizacji SOC zaleceń |
| Microsoft Copilot w usłudze Microsoft Defender | Podczas badania zdarzeń w portalu usługi Defender, - Podsumowanie zdarzeń - Analizowanie skryptów - Analizowanie plików - Tworzenie raportów o zdarzeniach Podczas wyszukiwania zagrożeń w zaawansowanym wyszukiwaniu zagrożeń utwórz gotowe do uruchomienia zapytania KQL przy użyciu asystenta zapytań. Aby uzyskać więcej informacji, zobacz Microsoft Security Copilot in advanced hunting (Zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Security Copilot). |
W poniższej tabeli opisano dodatkowe możliwości dostępne w portalu usługi Defender z integracją usług Microsoft Sentinel i Microsoft Defender XDR w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft.
| Możliwości | opis |
|---|---|
| Zakłócenia ataku | Wdróż automatyczne zakłócenia ataków dla oprogramowania SAP zarówno w portalu Defender, jak i w rozwiązaniu Microsoft Sentinel dla aplikacji SAP. Na przykład zawierają naruszone zasoby przez zablokowanie podejrzanych użytkowników SAP w przypadku ataku manipulowania procesami finansowymi. Możliwości zakłóceń ataków dla oprogramowania SAP są dostępne tylko w portalu usługi Defender. Aby użyć zakłóceń w ataku na oprogramowanie SAP, zaktualizuj wersję agenta łącznika danych i upewnij się, że odpowiednia rola platformy Azure jest przypisana do tożsamości agenta. Aby uzyskać więcej informacji, zobacz Automatyczne zakłócenia ataków dla systemu SAP. |
| Ujednolicone jednostki | Strony jednostek dla urządzeń, użytkowników, adresów IP i zasobów platformy Azure w portalu usługi Defender zawierają informacje ze źródeł danych usługi Microsoft Sentinel i Defender. Te strony jednostek zapewniają rozszerzony kontekst do badania zdarzeń i alertów w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Badanie jednostek za pomocą stron jednostek w usłudze Microsoft Sentinel. |
| Ujednolicone zdarzenia | Zarządzanie zdarzeniami zabezpieczeń i badanie ich w jednej lokalizacji oraz z jednej kolejki w portalu usługi Defender. Użyj narzędzia Security Copilot, aby podsumować, odpowiedzieć i raport. Zdarzenia obejmują: - Dane z zakresu źródeł — Narzędzia do analizy sztucznej inteligencji do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) — Narzędzia do zmniejszania ryzyka i kontekstu oferowane przez rozszerzone wykrywanie i reagowanie (XDR) Aby uzyskać więcej informacji, zobacz następujące artykuły: - Reagowanie na zdarzenia w portalu usługi Microsoft Defender - Badanie zdarzeń usługi Microsoft Sentinel w rozwiązaniu Security Copilot |
| Microsoft Copilot w usłudze Microsoft Defender | Podczas badania zdarzeń za pomocą usługi Microsoft Sentinel zintegrowanej z usługą Defender XDR, - Klasyfikowanie i badanie zdarzeń przy użyciu odpowiedzi z przewodnikiem - Podsumowanie informacji o urządzeniu - Podsumowanie informacji o tożsamości Podsumuj odpowiednie zagrożenia wpływające na środowisko, aby określić priorytety rozwiązywania zagrożeń na podstawie poziomów narażenia lub znaleźć podmioty zagrożeń, które mogą być skierowane do twojej branży przy użyciu rozwiązania Security Copilot w analizie zagrożeń. Aby uzyskać więcej informacji, zobacz Using Microsoft Security Copilot for threat intelligence (Używanie rozwiązania Microsoft Security Copilot do analizy zagrożeń). |
Różnice możliwości między portalami
Większość funkcji usługi Microsoft Sentinel jest dostępna zarówno w portalach platformy Azure, jak i w usłudze Defender. W portalu usługi Defender niektóre środowiska usługi Microsoft Sentinel są otwierane w witrynie Azure Portal, aby wykonać zadanie.
W tej sekcji opisano możliwości lub integracje usługi Microsoft Sentinel, które są dostępne tylko w witrynie Azure Portal lub w portalu Usługi Defender lub w innych istotnych różnicach między portalami. Wyklucza ona środowiska usługi Microsoft Sentinel, które otwierają witrynę Azure Portal z portalu usługi Defender.
| Możliwość | Dostępność | opis |
|---|---|---|
| Zaawansowane wyszukiwanie zagrożeń przy użyciu zakładek | Tylko witryna Azure Portal | Zakładki nie są obsługiwane w zaawansowanym środowisku wyszukiwania zagrożeń w portalu usługi Microsoft Defender. W portalu usługi Defender są one obsługiwane w usłudze Microsoft Sentinel > Threat Management > Hunting. Aby uzyskać więcej informacji, zobacz Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel. |
| Zakłócenia ataków dla oprogramowania SAP | Portal usługi Defender tylko z usługą Defender XDR | Ta funkcja jest niedostępna w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Automatyczne zakłócenia ataków w portalu usługi Microsoft Defender. |
| Automation | Niektóre procedury automatyzacji są dostępne tylko w witrynie Azure Portal. Inne procedury automatyzacji są takie same w witrynach Defender i Azure Portal, ale różnią się w witrynie Azure Portal między obszarami roboczymi dołączonymi do portalu usługi Defender i obszarami roboczymi, które nie są. |
Aby uzyskać więcej informacji, zobacz Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń. |
| Łączniki danych: widoczność łączników używanych przez ujednoliconą platformę operacji zabezpieczeń | Tylko witryna Azure Portal | W portalu usługi Defender po dołączeniu usługi Microsoft Sentinel następujące łączniki danych będące częścią ujednoliconej platformy operacji zabezpieczeń nie są wyświetlane na stronie Łączniki danych: W witrynie Azure Portal te łączniki danych są nadal wyświetlane z zainstalowanymi łącznikami danych w usłudze Microsoft Sentinel. |
| Jednostki: dodawanie jednostek do analizy zagrożeń ze zdarzeń | Tylko witryna Azure Portal | Ta funkcja jest niedostępna w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Dodawanie jednostki do wskaźników zagrożeń. |
| Łączenie: Zaawansowane wieloestowe wykrywanie ataków | Tylko witryna Azure Portal | Reguła analizy łączenia, która tworzy zdarzenia na podstawie korelacji alertów dokonanych przez aparat korelacji fusion, jest wyłączona podczas dołączania usługi Microsoft Sentinel do portalu usługi Defender. Portal usługi Defender używa funkcji tworzenia i korelacji zdarzeń usługi Microsoft Defender XDR w celu zastąpienia tych funkcji aparatu Fusion. Aby uzyskać więcej informacji, zobacz Advanced multistage attack detection in Microsoft Sentinel (Zaawansowane wykrywanie ataków wieloestanowych w usłudze Microsoft Sentinel) |
| Zdarzenia: dodawanie alertów do zdarzeń / Usuwanie alertów ze zdarzeń |
Tylko portal usługi Defender | Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender nie można już dodawać alertów ani usuwać alertów ze zdarzeń w witrynie Azure Portal. Alert można usunąć ze zdarzenia w portalu usługi Defender, ale tylko przez połączenie alertu z innym incydentem (istniejącym lub nowym). |
| Zdarzenia: edytowanie komentarzy | Tylko witryna Azure Portal | Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender można dodawać komentarze do zdarzeń w obu portalach, ale nie można edytować istniejących komentarzy. Zmiany wprowadzone w komentarzach w witrynie Azure Portal nie są synchronizowane z portalem usługi Defender. |
| Zdarzenia: Programowe i ręczne tworzenie zdarzeń | Tylko witryna Azure Portal | Zdarzenia utworzone w usłudze Microsoft Sentinel za pośrednictwem interfejsu API przez podręcznik aplikacji logiki lub ręcznie z witryny Azure Portal nie są synchronizowane z portalem usługi Defender. Te zdarzenia są nadal obsługiwane w witrynie Azure Portal i interfejsie API. Zobacz Ręczne tworzenie własnych zdarzeń w usłudze Microsoft Sentinel. |
| Zdarzenia: Ponowne otwieranie zamkniętych zdarzeń | Tylko witryna Azure Portal | W portalu usługi Defender nie można ustawić grupowania alertów w regułach analizy usługi Microsoft Sentinel w celu ponownego otwarcia zamkniętych zdarzeń w przypadku dodania nowych alertów. Zamknięte zdarzenia nie są ponownie otwierane w tym przypadku, a nowe alerty wyzwalają nowe zdarzenia. |
| Zdarzenia: zadania | Tylko witryna Azure Portal | Zadania są niedostępne w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Używanie zadań do zarządzania zdarzeniami w usłudze Microsoft Sentinel. |
| Zarządzanie wieloma obszarami roboczymi dla usługi Microsoft Sentinel | Portal usługi Defender: ograniczony do jednego obszaru roboczego usługi Microsoft Sentinel na dzierżawę Witryna Azure Portal: centralnie zarządzaj wieloma obszarami roboczymi usługi Microsoft Sentinel dla dzierżaw |
W portalu usługi Defender jest obecnie obsługiwany tylko jeden obszar roboczy usługi Microsoft Sentinel na dzierżawę. Dlatego wielodostępne zarządzanie usługą Microsoft Defender obsługuje jeden obszar roboczy usługi Microsoft Sentinel na dzierżawę. Aby uzyskać więcej informacji, zobacz następujące artykuły: — Portal usługi Defender: zarządzanie wielodostępne w usłudze Microsoft Defender — Witryna Azure Portal: zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel za pomocą menedżera obszaru roboczego |
Ograniczone lub niedostępne możliwości
Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender bez włączonej usługi Defender XDR lub innych usług następujące funkcje wyświetlane w portalu usługi Defender są obecnie ograniczone lub niedostępne.
| Możliwość | Wymagana usługa |
|---|---|
| Zarządzanie ekspozycjami | Microsoft Security Exposure Management |
| Niestandardowe reguły wykrywania | Microsoft Defender XDR |
| Centrum akcji | Microsoft Defender XDR |
Następujące ograniczenia dotyczą również usługi Microsoft Sentinel w portalu usługi Defender bez włączonej usługi Defender XDR lub innych usług:
- Nowi klienci usługi Microsoft Sentinel nie kwalifikują się do dołączenia obszaru roboczego usługi Log Analytics utworzonego w regionie Izrael. Aby dołączyć do portalu usługi Defender, utwórz inny obszar roboczy dla usługi Microsoft Sentinel w innym regionie. Ten dodatkowy obszar roboczy nie musi zawierać żadnych danych.
- Klienci korzystający z analizy zachowań użytkowników i jednostek usługi Microsoft Sentinel (UEBA) otrzymują ograniczoną wersję tabeli IdentityInfo.
Krótki przewodnik
Niektóre funkcje usługi Microsoft Sentinel, takie jak ujednolicona kolejka zdarzeń, są zintegrowane z usługą Microsoft Defender XDR na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft. Wiele innych funkcji usługi Microsoft Sentinel jest dostępnych w sekcji Microsoft Sentinel w portalu usługi Defender.
Na poniższej ilustracji przedstawiono menu usługi Microsoft Sentinel w portalu usługi Defender:
W poniższych sekcjach opisano, gdzie znaleźć funkcje usługi Microsoft Sentinel w portalu usługi Defender. Sekcje są zorganizowane, ponieważ usługa Microsoft Sentinel znajduje się w witrynie Azure Portal.
Ogólne
W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portals dla sekcji Ogólne w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Omówienie | Omówienie |
| Dzienniki | Badanie i wyszukiwanie odpowiedzi > Zaawansowane > wyszukiwanie zagrożeń |
| Wiadomości i przewodniki | Niedostępny |
| Search | Wyszukiwanie w usłudze Microsoft Sentinel > |
Zarządzanie zagrożeniami
W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portals w sekcji Zarządzanie zagrożeniami w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Zdarzenia | Zdarzenia i alerty > dotyczące badania i reagowania > |
| Skoroszyty | Skoroszyty zarządzania zagrożeniami> w usłudze Microsoft Sentinel > |
| Wyszukiwanie zagrożeń | Wyszukiwanie zagrożeń w usłudze > Microsoft Sentinel > |
| Notesy | Notesy zarządzania zagrożeniami > w usłudze Microsoft Sentinel > |
| Zachowanie jednostki | Strona jednostki użytkownika: Tożsamości >zasobów > {user}> Zdarzenia usługi Sentinel Strona jednostki urządzenia: Urządzenia zawartości > >{device}> Zdarzenia usługi Sentinel Ponadto znajdź strony jednostek dla użytkowników, urządzeń, adresów IP i typów jednostek zasobów platformy Azure z incydentów i alertów w miarę ich wyświetlania. |
| Analiza zagrożeń | Analiza zagrożeń zarządzania zagrożeniami > w usłudze Microsoft Sentinel > |
| MITRE ATT&CK | Zarządzanie zagrożeniami > w usłudze Microsoft Sentinel > MITRE ATT&CK |
Zarządzanie zawartością
W poniższej tabeli wymieniono zmiany nawigacji między portalami platformy Azure i usługi Defender dla sekcji Zarządzanie zawartością w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Centrum zawartości | Centrum zawartości zarządzania zawartością > usługi Microsoft Sentinel > |
| Repozytoria | Repozytoria zarządzania zawartością > usługi Microsoft Sentinel > |
| Społeczność | Społeczność zarządzania zawartością > usługi Microsoft Sentinel > |
Konfigurowanie
W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portal dla sekcji Konfiguracja w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Menedżer obszaru roboczego | Niedostępny |
| Łączniki danych | Łączniki danych konfiguracji > usługi Microsoft Sentinel > |
| Analiza | Analiza konfiguracji > usługi Microsoft Sentinel > |
| Listy do obejrzenia | Lista obserwowanych konfiguracji > usługi Microsoft Sentinel > |
| Automation | Automatyzacja konfiguracji > usługi Microsoft Sentinel > |
| Ustawienia | Ustawienia > systemowe > usługi Microsoft Sentinel |