Ansluta Microsoft Sentinel till Microsoft Defender-portalen

• Gäller för:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel är allmänt tillgängligt på Microsofts Plattform för enhetliga säkerhetsåtgärder (SecOps) i Microsoft Defender-portalen. När du registrerar Microsoft Sentinel till Defender-portalen med Microsoft Defender XDR förenar du funktioner som incidenthantering och avancerad jakt. Minska verktygsväxlingen och skapa en mer kontextfokuserad undersökning som påskyndar incidenthantering och stoppar överträdelser snabbare. Mer information finns i:

• Blogginlägg: Allmän tillgänglighet för Microsofts enhetliga säkerhetsåtgärdsplattform
• Blogginlägg: Vanliga frågor och svar om den enhetliga säkerhetsåtgärdsplattformen
• Microsoft Sentinel i Microsoft Defender-portalen
• Microsoft Defender XDR integrering med Microsoft Sentinel

För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens.

Förhandskrav

Innan du börjar kan du läsa funktionsdokumentationen för att förstå produktändringarna och begränsningarna.

• Microsoft Sentinel i Microsoft Defender-portalen
• Avancerad jakt i portalen för Microsoft Defender
• Aviseringar, incidenter och korrelation i Microsoft Defender XDR
• Automatisering med den enhetliga säkerhetsåtgärdsplattformen

Microsoft Defender-portalen stöder en enda Microsoft Entra klientorganisation och anslutningen till en arbetsyta i taget. I den här artikeln är en arbetsyta en Log Analytics-arbetsyta med Microsoft Sentinel aktiverad.

Microsoft Sentinel förutsättningar

Om du vill publicera och använda Microsoft Sentinel i Defender-portalen måste du ha följande resurser och åtkomst:

• En Log Analytics-arbetsyta som har Microsoft Sentinel aktiverad

• Dataanslutningsappen för Microsoft Defender XDR aktiverad i Microsoft Sentinel för incidenter och aviseringar. Installera Defender XDR-lösningen och konfigurera dataanslutningen för att ansluta Microsoft Sentinel till Defender-portalen. Mer information finns i Identifiera och hantera Microsoft Sentinel inbyggt innehåll. I Defender XDR dataanslutningsappen inaktiveras konfigurationsalternativet för att ansluta incidenter och aviseringar när du har registrerat Microsoft Sentinel till Defender-portalen.

• Ett Azure-konto med lämpliga roller för att publicera, använda och skapa supportförfrågningar för Microsoft Sentinel i Defender-portalen. I följande tabell visas några av de nyckelroller som behövs.

  Uppgift	Microsoft Entra eller inbyggd Azure-roll krävs	Omfattning
  Registrera Microsoft Sentinel till Defender-portalen	Global administratör eller säkerhetsadministratör i Microsoft Entra ID	Klientorganisation
  Ansluta eller koppla från en arbetsyta med Microsoft Sentinel aktiverat	Ägare eller administratör för användaråtkomst och Microsoft Sentinel deltagare	– Prenumeration för rollen Ägare eller Administratör för användaråtkomst – Prenumeration, resursgrupp eller arbetsyteresurs för Microsoft Sentinel deltagare
  Visa Microsoft Sentinel i Defender-portalen	Microsoft Sentinel läsare	Prenumeration, resursgrupp eller arbetsyteresurs
  Fråga Sentinel datatabeller eller visa incidenter	Microsoft Sentinel Läsare eller en roll med följande åtgärder: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Prenumeration, resursgrupp eller arbetsyteresurs
  Vidta utredningsåtgärder för incidenter	Microsoft Sentinel deltagare eller en roll med följande åtgärder: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write – Microsoft.SecurityInsights/incidents/relations/read – Microsoft.SecurityInsights/incidents/relations/write – Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Prenumeration, resursgrupp eller arbetsyteresurs
  Skapa en supportbegäran	Deltagare, deltagare eller supportbegärandedeltagare eller en anpassad roll med Microsoft.Support/*	Prenumeration

  När du har anslutit Microsoft Sentinel till Defender-portalen kan du använda dina befintliga RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure för att arbeta med de Microsoft Sentinel funktioner som du har åtkomst till. Fortsätt att hantera roller och behörigheter för dina Microsoft Sentinel användare från Azure Portal. Alla Azure RBAC-ändringar återspeglas i Defender-portalen. Mer information om Microsoft Sentinel behörigheter finns i Roller och behörigheter i Microsoft Sentinel | Microsoft Learn och Hantera åtkomst till Microsoft Sentinel data efter resurs | Microsoft Learn.

Krav för Microsofts enhetliga SecOps-plattform

Om du vill förena funktioner med Defender XDR i Microsofts enhetliga SecOps-plattform måste du ha följande resurser och åtkomst:

• Licensiering för Defender XDR enligt beskrivningen i Microsoft Defender XDR krav
• Kontot för Defender XDR är medlem i samma Microsoft Entra klientorganisation som Microsoft Sentinel är associerad med
• Åtkomst till Microsoft Defender XDR i Defender-portalen enligt beskrivningen i Microsoft Defender XDR krav

Registrera Microsoft Sentinel

Utför följande steg för att ansluta en Microsoft Sentinel-arbetsyta till Defender-portalen. Om du registrerar Microsoft Sentinel utan Defender XDR (förhandsversion) finns det ett extra steg för att utlösa anslutningen till Microsoft Sentinel och Defender-portalen.

1. Gå till Microsoft Defender-portalen och logga in.

2. Så här registrerar du Microsoft Sentinel utan Defender XDR i Defender-portalen:

   1. Om du vill utlösa anslutningen till Microsoft Sentinel väljer du Undersökning &svarsincidenter>.
   2. Vänta några minuter tills anslutningen har slutförts.

3. I Defender-portalen väljer du Översikt.

4. Välj Anslut en arbetsyta.

5. Välj den arbetsyta som du vill ansluta till och välj Nästa.

6. Läs och förstå de produktändringar som är associerade med att ansluta arbetsytan. Dessa ändringar omfattar:

   • Incidenter skapas inte längre av Microsoft Sentinel. De skapas nu av korrelationsmotorn i Microsoft Defender-portalen. Den här ändringen återspeglas i incidentens fält "incidentproviderns namn", som nu lyder "Microsoft Defender XDR".
   • Därför inaktiveras alla aktiva regler för skapande av säkerhetsincidenter från Microsoft för att undvika att dubblettincidenter skapas. Inställningarna för incidentskapande i andra typer av analysregler förblir som de var, men de inställningarna implementeras i Defender-portalen, inte i Microsoft Sentinel.
   • Loggtabeller, frågor och funktioner i Microsoft Sentinel-arbetsytan är också tillgängliga i avancerad jakt i Defender-portalen.
   • Rollen Microsoft Sentinel deltagare tilldelas till Apparna Microsoft Threat Protection och WindowsDefenderATP i prenumerationen.
   • Alla aviseringar som rör Defender XDR produkter strömmas direkt från huvudanslutningen Defender XDR data för att säkerställa konsekvens. Kontrollera att incidenter och aviseringar från den här anslutningsappen är aktiverade på arbetsytan.

7. Välj Anslut.

När arbetsytan har anslutits visar banderollen på sidan Översikt att din miljö är klar. Översiktssidan uppdateras med nya avsnitt som innehåller mått från Microsoft Sentinel som antalet dataanslutningsprogram och automatiseringsregler.

Utforska Microsoft Sentinel funktioner i Defender-portalen

När du har anslutit arbetsytan till Defender-portalen finns Microsoft Sentinel i det vänstra navigeringsfönstret. Om du har Defender XDR aktiverat har sidor som Översikt, Incidenter och Avancerad jakt enhetliga data från Microsoft Sentinel och Defender XDR. Om du inte har Defender XDR aktiverat innehåller dessa sidor bara data från Microsoft Sentinel (förhandsversion). Mer information om enhetliga funktioner och skillnader mellan portaler finns i Microsoft Sentinel i Microsoft Defender-portalen.

Många av de befintliga Microsoft Sentinel funktionerna är integrerade i Defender-portalen. Observera att upplevelsen mellan Microsoft Sentinel i Azure Portal och Defender-portalen är liknande för de här funktionerna. Använd följande artiklar för att börja arbeta med Microsoft Sentinel i Defender-portalen. När du använder de här artiklarna bör du komma ihåg att din startpunkt i den här kontexten är Defender-portalen i stället för Azure Portal.

• Söka
  • Sök över långa tidsintervall i stora datauppsättningar
  • Återställa arkiverade loggar från sökningen
• Hothantering
  • Visualisera och övervaka dina data med hjälp av arbetsböcker
  • Genomföra hotjakt från slutpunkt till slutpunkt med Hunts
  • Använda jaktbokmärken för dataundersökningar
  • Använda livestream för jakt i Microsoft Sentinel för att identifiera hot
  • Jaga säkerhetshot med Jupyter Notebooks
  • Lägga till indikatorer i grupp för att Microsoft Sentinel hotinformation från en CSV- eller JSON-fil
  • Arbeta med hotindikatorer i Microsoft Sentinel
  • Förstå säkerhetstäckningen i MITRE ATT&CK-ramverket
• Innehållshantering
  • Identifiera och hantera Microsoft Sentinel inbyggt innehåll
  • Microsoft Sentinel innehållshubbens katalog
  • Distribuera anpassat innehåll från din lagringsplats
• Konfiguration
  • Hitta din Microsoft Sentinel dataanslutning
  • Skapa anpassade analysregler för att identifiera hot
  • Arbeta med regler för identifieringsanalys i nära realtid (NRT) i Microsoft Sentinel
  • Skapa visningslistor
  • Hantera visningslistor i Microsoft Sentinel
  • Skapa automatiseringsregler
  • Skapa och anpassa Microsoft Sentinel spelböcker från innehållsmallar

Hitta Microsoft Sentinel inställningar i Defender-portalen underSysteminställningar>>Microsoft Sentinel.

Avregistrera Microsoft Sentinel

Du kan bara ha en arbetsyta ansluten till Defender-portalen i taget. Om du vill ansluta till en annan arbetsyta som har Microsoft Sentinel aktiverad kopplar du från den aktuella arbetsytan och ansluter den andra arbetsytan.

1. Gå till Microsoft Defender-portalen och logga in.

2. I Defender-portalen går du till System och väljer Inställningar>Microsoft Sentinel.

3. På sidan Arbetsytor väljer du den anslutna arbetsytan och Koppla från arbetsytan.

4. Ange en anledning till varför du kopplar från arbetsytan.

5. Bekräfta ditt val.

   När arbetsytan är frånkopplad tas avsnittet Microsoft Sentinel bort från navigeringen till vänster i Defender-portalen. Data från Microsoft Sentinel ingår inte längre på sidan Översikt.

Om du vill ansluta till en annan arbetsyta går du till sidan Arbetsytor och väljer arbetsytan och Anslut en arbetsyta.

Relaterat innehåll

• Microsoft Sentinel i Microsoft Defender-portalen
• Avancerad jakt i portalen för Microsoft Defender
• Automatisk attackstörning i Microsoft Defender XDR
• Undersöka incidenter i Microsoft Defender-portalen
• Optimera dina säkerhetsåtgärder