Udostępnij za pośrednictwem


Łączenie Microsoft Sentinel z portalem Microsoft Defender

Microsoft Sentinel jest ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń (SecOps) firmy Microsoft w portalu Microsoft Defender. Po dołączeniu Microsoft Sentinel do portalu usługi Defender przy użyciu Microsoft Defender XDR można ujednolicić możliwości, takie jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia. Więcej informacji można znaleźć w następujących artykułach:

W wersji zapoznawczej Microsoft Sentinel jest dostępna w portalu usługi Defender bez Microsoft Defender XDR lub licencji E5.

Wymagania wstępne

Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu.

Portal Microsoft Defender obsługuje pojedynczą dzierżawę Microsoft Entra i połączenie z jednym obszarem roboczym jednocześnie. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną Microsoft Sentinel.

Microsoft Sentinel wymagania wstępne

Aby dołączyć i używać Microsoft Sentinel w portalu usługi Defender, musisz mieć następujące zasoby i dostęp:

  • Obszar roboczy usługi Log Analytics z włączoną Microsoft Sentinel

  • Łącznik danych dla Microsoft Defender XDR włączony w Microsoft Sentinel dla zdarzeń i alertów. Zainstaluj rozwiązanie Defender XDR i skonfiguruj łącznik danych w celu nawiązania połączenia Microsoft Sentinel z portalem usługi Defender. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią. W łączniku danych Defender XDR opcja konfiguracji umożliwiająca połączenie zdarzenia i alertów jest wyłączona po dołączeniu Microsoft Sentinel do portalu usługi Defender.

  • Konto platformy Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla Microsoft Sentinel w portalu usługi Defender. W poniższej tabeli przedstawiono niektóre z kluczowych ról.

    Zadanie wymagana wbudowana rola Microsoft Entra lub azure Zakres
    Dołączanie Microsoft Sentinel do portalu usługi Defender administrator globalny lub administrator zabezpieczeń w Tożsamość Microsoft Entra Dzierżawca
    Łączenie lub rozłączanie obszaru roboczego z włączoną Microsoft Sentinel Właściciel lub
    administrator dostępu użytkowników i współautor Microsoft Sentinel
    — Subskrypcja dla ról

    właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor
    Wyświetlanie Microsoft Sentinel w portalu usługi Defender czytelnik Microsoft Sentinel Subskrypcja, grupa zasobów lub zasób obszaru roboczego
    Wykonywanie zapytań Sentinel tabel danych lub wyświetlanie zdarzeń Microsoft Sentinel czytelnika lub rolę z następującymi akcjami:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Subskrypcja, grupa zasobów lub zasób obszaru roboczego
    Podjęcie działań dochodzeniowych w sprawie zdarzeń Microsoft Sentinel współautora lub rolę z następującymi akcjami:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Subskrypcja, grupa zasobów lub zasób obszaru roboczego
    Tworzenie wniosku o pomoc techniczną Właściciel, współautor lub
    współautor żądania pomocy technicznej lub
    rola niestandardowa w witrynie Microsoft.Support/*
    Subskrypcja

    Po nawiązaniu połączenia Microsoft Sentinel z portalem usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają pracę z funkcjami Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami dla użytkowników Microsoft Sentinel z Azure Portal. Wszelkie zmiany rbac platformy Azure są odzwierciedlane w portalu usługi Defender. Aby uzyskać więcej informacji na temat uprawnień Microsoft Sentinel, zobacz Role i uprawnienia w Microsoft Sentinel | Microsoft Learn i zarządzanie dostępem do Microsoft Sentinel danych według zasobu | Microsoft Learn.

Wymagania wstępne dotyczące ujednoliconej platformy SecOps firmy Microsoft

Aby ujednolicić możliwości za pomocą Defender XDR na ujednoliconej platformie SecOps firmy Microsoft, musisz mieć następujące zasoby i dostęp:

Dołączanie Microsoft Sentinel

Aby połączyć obszar roboczy Microsoft Sentinel z portalem usługi Defender, wykonaj następujące kroki. Jeśli dołączasz Microsoft Sentinel bez Defender XDR (wersja zapoznawcza), istnieje dodatkowy krok wyzwalania połączenia z Microsoft Sentinel i portalem usługi Defender.

  1. Przejdź do portalu Microsoft Defender i zaloguj się.

  2. Aby dołączyć Microsoft Sentinel bez Defender XDR w portalu usługi Defender:

    1. Aby wyzwolić połączenie z Microsoft Sentinel, wybierz pozycję Badanie zdarzeń & odpowiedzi>.
    2. Poczekaj kilka minut na zakończenie połączenia.
  3. W portalu usługi Defender wybierz pozycję Przegląd.

  4. Wybierz pozycję Połącz obszar roboczy.

  5. Wybierz obszar roboczy, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.

  6. Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi. Zmiany te obejmują:

    • Tabele dzienników, zapytania i funkcje w obszarze roboczym Microsoft Sentinel są również dostępne w zaawansowanym wyszukiwaniu w portalu usługi Defender.
    • Rola współautora Microsoft Sentinel jest przypisywana do aplikacji Microsoft Threat Protection i WindowsDefenderATP w ramach subskrypcji.
    • Aktywne reguły tworzenia zdarzeń zabezpieczeń firmy Microsoft są dezaktywowane, aby uniknąć zduplikowanych zdarzeń. Ta zmiana dotyczy tylko reguł tworzenia zdarzeń dla alertów firmy Microsoft, a nie innych reguł analizy.
    • Wszystkie alerty związane z produktami Defender XDR są przesyłane strumieniowo bezpośrednio z głównego łącznika danych Defender XDR w celu zapewnienia spójności. Upewnij się, że w obszarze roboczym włączono zdarzenia i alerty z tego łącznika.
  7. Wybierz pozycję Połącz.

Po nawiązaniu połączenia z obszarem roboczym baner na stronie Przegląd pokazuje, że środowisko jest gotowe. Strona Przegląd została zaktualizowana o nowe sekcje, które zawierają metryki z Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.

Eksplorowanie funkcji Microsoft Sentinel w portalu usługi Defender

Po połączeniu obszaru roboczego z portalem usługi Defender Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Jeśli włączono Defender XDR, strony takie jak Przegląd, Zdarzenia i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z Microsoft Sentinel i Defender XDR. Jeśli nie masz włączonego Defender XDR, te strony zawierają tylko dane z Microsoft Sentinel (wersja zapoznawcza). Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu Microsoft Defender.

Wiele istniejących funkcji Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między Microsoft Sentinel w Azure Portal i portalu usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender, a nie Azure Portal.

Znajdź ustawienia Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.

Microsoft Sentinel odłączanie

Jednocześnie z portalem usługi Defender może być połączony tylko jeden obszar roboczy. Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, w którym Microsoft Sentinel włączona, odłącz bieżący obszar roboczy i połącz inny obszar roboczy.

  1. Przejdź do portalu Microsoft Defender i zaloguj się.

  2. W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>Microsoft Sentinel.

  3. Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.

  4. Podaj powód rozłączania obszaru roboczego.

  5. Potwierdź wybór.

    Po rozłączeniu obszaru roboczego sekcja Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z Microsoft Sentinel nie są już uwzględniane na stronie Przegląd.

Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.