Łączenie Microsoft Sentinel z portalem Microsoft Defender
Microsoft Sentinel jest ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń (SecOps) firmy Microsoft w portalu Microsoft Defender. Po dołączeniu Microsoft Sentinel do portalu usługi Defender przy użyciu Microsoft Defender XDR można ujednolicić możliwości, takie jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia. Więcej informacji można znaleźć w następujących artykułach:
- Wpis w blogu: Ogólna dostępność ujednoliconej platformy operacji zabezpieczeń firmy Microsoft
- Wpis w blogu: często zadawane pytania dotyczące ujednoliconej platformy operacji zabezpieczeń
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- integracja Microsoft Defender XDR z Microsoft Sentinel
W wersji zapoznawczej Microsoft Sentinel jest dostępna w portalu usługi Defender bez Microsoft Defender XDR lub licencji E5.
Wymagania wstępne
Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu.
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
- Alerty, zdarzenia i korelacja w Microsoft Defender XDR
- Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń
Portal Microsoft Defender obsługuje pojedynczą dzierżawę Microsoft Entra i połączenie z jednym obszarem roboczym jednocześnie. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną Microsoft Sentinel.
Microsoft Sentinel wymagania wstępne
Aby dołączyć i używać Microsoft Sentinel w portalu usługi Defender, musisz mieć następujące zasoby i dostęp:
Obszar roboczy usługi Log Analytics z włączoną Microsoft Sentinel
Łącznik danych dla Microsoft Defender XDR włączony w Microsoft Sentinel dla zdarzeń i alertów. Zainstaluj rozwiązanie Defender XDR i skonfiguruj łącznik danych w celu nawiązania połączenia Microsoft Sentinel z portalem usługi Defender. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią. W łączniku danych Defender XDR opcja konfiguracji umożliwiająca połączenie zdarzenia i alertów jest wyłączona po dołączeniu Microsoft Sentinel do portalu usługi Defender.
Konto platformy Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla Microsoft Sentinel w portalu usługi Defender. W poniższej tabeli przedstawiono niektóre z kluczowych ról.
Zadanie wymagana wbudowana rola Microsoft Entra lub azure Zakres Dołączanie Microsoft Sentinel do portalu usługi Defender administrator globalny lub administrator zabezpieczeń w Tożsamość Microsoft Entra Dzierżawca Łączenie lub rozłączanie obszaru roboczego z włączoną Microsoft Sentinel Właściciel lub
administrator dostępu użytkowników i współautor Microsoft Sentinel— Subskrypcja dla ról
właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel WspółautorWyświetlanie Microsoft Sentinel w portalu usługi Defender czytelnik Microsoft Sentinel Subskrypcja, grupa zasobów lub zasób obszaru roboczego Wykonywanie zapytań Sentinel tabel danych lub wyświetlanie zdarzeń Microsoft Sentinel czytelnika lub rolę z następującymi akcjami:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readSubskrypcja, grupa zasobów lub zasób obszaru roboczego Podjęcie działań dochodzeniowych w sprawie zdarzeń Microsoft Sentinel współautora lub rolę z następującymi akcjami:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeSubskrypcja, grupa zasobów lub zasób obszaru roboczego Tworzenie wniosku o pomoc techniczną Właściciel, współautor lub
współautor żądania pomocy technicznej lub
rola niestandardowa w witrynie Microsoft.Support/*Subskrypcja Po nawiązaniu połączenia Microsoft Sentinel z portalem usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają pracę z funkcjami Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami dla użytkowników Microsoft Sentinel z Azure Portal. Wszelkie zmiany rbac platformy Azure są odzwierciedlane w portalu usługi Defender. Aby uzyskać więcej informacji na temat uprawnień Microsoft Sentinel, zobacz Role i uprawnienia w Microsoft Sentinel | Microsoft Learn i zarządzanie dostępem do Microsoft Sentinel danych według zasobu | Microsoft Learn.
Wymagania wstępne dotyczące ujednoliconej platformy SecOps firmy Microsoft
Aby ujednolicić możliwości za pomocą Defender XDR na ujednoliconej platformie SecOps firmy Microsoft, musisz mieć następujące zasoby i dostęp:
- Licencjonowanie Defender XDR zgodnie z opisem w temacie Microsoft Defender XDR wymagania wstępne
- Konto Defender XDR jest członkiem tej samej dzierżawy Microsoft Entra, z którą jest skojarzony Microsoft Sentinel
- Dostęp do Microsoft Defender XDR w portalu usługi Defender zgodnie z opisem w temacie Microsoft Defender XDR wymagania wstępne
Dołączanie Microsoft Sentinel
Aby połączyć obszar roboczy Microsoft Sentinel z portalem usługi Defender, wykonaj następujące kroki. Jeśli dołączasz Microsoft Sentinel bez Defender XDR (wersja zapoznawcza), istnieje dodatkowy krok wyzwalania połączenia z Microsoft Sentinel i portalem usługi Defender.
Przejdź do portalu Microsoft Defender i zaloguj się.
Aby dołączyć Microsoft Sentinel bez Defender XDR w portalu usługi Defender:
- Aby wyzwolić połączenie z Microsoft Sentinel, wybierz pozycję Badanie zdarzeń & odpowiedzi>.
- Poczekaj kilka minut na zakończenie połączenia.
W portalu usługi Defender wybierz pozycję Przegląd.
Wybierz pozycję Połącz obszar roboczy.
Wybierz obszar roboczy, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.
Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi. Zmiany te obejmują:
- Tabele dzienników, zapytania i funkcje w obszarze roboczym Microsoft Sentinel są również dostępne w zaawansowanym wyszukiwaniu w portalu usługi Defender.
- Rola współautora Microsoft Sentinel jest przypisywana do aplikacji Microsoft Threat Protection i WindowsDefenderATP w ramach subskrypcji.
- Aktywne reguły tworzenia zdarzeń zabezpieczeń firmy Microsoft są dezaktywowane, aby uniknąć zduplikowanych zdarzeń. Ta zmiana dotyczy tylko reguł tworzenia zdarzeń dla alertów firmy Microsoft, a nie innych reguł analizy.
- Wszystkie alerty związane z produktami Defender XDR są przesyłane strumieniowo bezpośrednio z głównego łącznika danych Defender XDR w celu zapewnienia spójności. Upewnij się, że w obszarze roboczym włączono zdarzenia i alerty z tego łącznika.
Wybierz pozycję Połącz.
Po nawiązaniu połączenia z obszarem roboczym baner na stronie Przegląd pokazuje, że środowisko jest gotowe. Strona Przegląd została zaktualizowana o nowe sekcje, które zawierają metryki z Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.
Eksplorowanie funkcji Microsoft Sentinel w portalu usługi Defender
Po połączeniu obszaru roboczego z portalem usługi Defender Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Jeśli włączono Defender XDR, strony takie jak Przegląd, Zdarzenia i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z Microsoft Sentinel i Defender XDR. Jeśli nie masz włączonego Defender XDR, te strony zawierają tylko dane z Microsoft Sentinel (wersja zapoznawcza). Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Wiele istniejących funkcji Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między Microsoft Sentinel w Azure Portal i portalu usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender, a nie Azure Portal.
- Szukać
- Zarządzanie zagrożeniami
- Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
- Przeprowadzanie kompleksowego wyszukiwania zagrożeń za pomocą polowań
- Używanie zakładek wyszukiwania zagrożeń do badania danych
- Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w Microsoft Sentinel
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
- Zbiorcze dodawanie wskaźników w celu Microsoft Sentinel analizy zagrożeń z pliku CSV lub JSON
- Praca ze wskaźnikami zagrożeń w Microsoft Sentinel
- Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK
- Zarządzanie zawartością
- Konfiguracja
- Znajdowanie łącznika danych Microsoft Sentinel
- Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń
- Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w Microsoft Sentinel
- Tworzenie list obserwowanych
- Zarządzanie listami obserwowanych w Microsoft Sentinel
- Tworzenie reguł automatyzacji
- Tworzenie i dostosowywanie podręczników Microsoft Sentinel na podstawie szablonów zawartości
Znajdź ustawienia Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.
Microsoft Sentinel odłączanie
Jednocześnie z portalem usługi Defender może być połączony tylko jeden obszar roboczy. Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, w którym Microsoft Sentinel włączona, odłącz bieżący obszar roboczy i połącz inny obszar roboczy.
Przejdź do portalu Microsoft Defender i zaloguj się.
W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>Microsoft Sentinel.
Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.
Podaj powód rozłączania obszaru roboczego.
Potwierdź wybór.
Po rozłączeniu obszaru roboczego sekcja Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z Microsoft Sentinel nie są już uwzględniane na stronie Przegląd.
Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.