Ansluta Microsoft Sentinel till Microsoft Defender-portalen

Microsoft Sentinel är allmänt tillgängligt på Microsofts Plattform för enhetliga säkerhetsåtgärder (SecOps) i Microsoft Defender-portalen. När du registrerar Microsoft Sentinel till Defender-portalen med Microsoft Defender XDR förenar du funktioner som incidenthantering och avancerad jakt. Minska verktygsväxlingen och skapa en mer kontextfokuserad undersökning som påskyndar incidenthantering och stoppar överträdelser snabbare. Mer information finns i:

• Vad är Microsofts enhetliga plattform för säkerhetsåtgärder?
• Microsoft Sentinel i Microsoft Defender-portalen
• Microsoft Defender XDR integrering med Microsoft Sentinel

För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens.

Förhandskrav

Innan du börjar kan du läsa funktionsdokumentationen för att förstå produktändringarna och begränsningarna.

• Microsoft Sentinel i Microsoft Defender-portalen
• Avancerad jakt i portalen för Microsoft Defender
• Aviseringar, incidenter och korrelation i Microsoft Defender XDR
• Automatisering med den enhetliga säkerhetsåtgärdsplattformen

Microsoft Defender-portalen stöder en enda Microsoft Entra klientorganisation och anslutningen till en primär arbetsyta och flera sekundära arbetsytor (förhandsversion). Om du bara har en arbetsyta när du registrerar Microsoft Sentinel anges den arbetsytan som den primära arbetsytan. Mer information finns i Flera Microsoft Sentinel arbetsytor i Defender-portalen. I den här artikeln är en arbetsyta en Log Analytics-arbetsyta med Microsoft Sentinel aktiverad.

Microsoft Sentinel förutsättningar

Om du vill publicera och använda Microsoft Sentinel i Defender-portalen måste du ha följande resurser och åtkomst:

• En Log Analytics-arbetsyta som har Microsoft Sentinel aktiverad

• Ett Azure-konto med lämpliga roller för att publicera, använda och skapa supportförfrågningar för Microsoft Sentinel i Defender-portalen. Du ser inte arbetsytor i Defender-portalen för registrering där du inte har de behörigheter som krävs. I följande tabell visas några av de nyckelroller som behövs.

  Uppgift	Microsoft Entra eller inbyggd Azure-roll krävs	Omfattning
  Registrera Microsoft Sentinel till Defender-portalen	Global administratör eller säkerhetsadministratör i Microsoft Entra ID	Klientorganisation
  Ansluta eller koppla från en arbetsyta med Microsoft Sentinel aktiverat	Ägare eller administratör för användaråtkomst och Microsoft Sentinel deltagare	– Prenumeration för rollen Ägare eller Administratör för användaråtkomst – Prenumeration, resursgrupp eller arbetsyteresurs för Microsoft Sentinel deltagare
  Ändra den primära arbetsytan	Global administratör eller säkerhetsadministratör i Microsoft Entra ID	Klientorganisation
  Visa Microsoft Sentinel i Defender-portalen	Microsoft Sentinel läsare	Prenumeration, resursgrupp eller arbetsyteresurs
  Fråga Microsoft Sentinel datatabeller eller visa incidenter	Microsoft Sentinel Läsare eller en roll med följande åtgärder: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Prenumeration, resursgrupp eller arbetsyteresurs
  Vidta utredningsåtgärder för incidenter	Microsoft Sentinel deltagare eller en roll med följande åtgärder: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write – Microsoft.SecurityInsights/incidents/relations/read – Microsoft.SecurityInsights/incidents/relations/write – Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Prenumeration, resursgrupp eller arbetsyteresurs
  Skapa en supportbegäran	Deltagare, deltagare eller supportbegärandedeltagare eller en anpassad roll med Microsoft.Support/*	Prenumeration

  När du har anslutit Microsoft Sentinel till Defender-portalen kan du använda dina befintliga RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure för att arbeta med de Microsoft Sentinel funktioner som du har åtkomst till. Fortsätt att hantera roller och behörigheter för dina Microsoft Sentinel användare från Azure Portal. Alla Azure RBAC-ändringar återspeglas i Defender-portalen. Mer information om Microsoft Sentinel behörigheter finns i Roller och behörigheter i Microsoft Sentinel | Microsoft Learn och Hantera åtkomst till Microsoft Sentinel data efter resurs | Microsoft Learn.

Krav för Microsofts enhetliga SecOps-plattform

Om du vill förena funktioner med Defender XDR i Microsofts enhetliga SecOps-plattform måste du ha följande resurser och åtkomst:

• Licensiering för Defender XDR enligt beskrivningen i Microsoft Defender XDR krav
• Kontot för Defender XDR är medlem i samma Microsoft Entra klientorganisation som Microsoft Sentinel är associerad med
• Åtkomst till Microsoft Defender XDR i Defender-portalen enligt beskrivningen i Microsoft Defender XDR krav

Om det är tillämpligt slutför du följande krav:

• Om din organisation använder Hantering av interna risker i Microsoft Purview integrerar du dessa data genom att aktivera dataanslutningsappen Microsoft 365 Insider Risk Management på din primära arbetsyta för Microsoft Sentinel. Inaktivera anslutningsappen på sekundära arbetsytor för Microsoft Sentinel som du planerar att registrera i Defender-portalen.

  • Installera Hantering av interna risker i Microsoft Purview-lösningen från innehållshubben på den primära arbetsytan.
  • Konfigurera dataanslutningen.
  • Mer information finns i Identifiera och hantera Microsoft Sentinel inbyggt innehåll.

• Så här strömmar du Defender for Cloud-incidenter som är korrelerade mellan alla prenumerationer i klientorganisationen till den primära arbetsytan för Microsoft Sentinel:

  • Anslut den klientbaserade dataanslutningen Microsoft Defender för molnet (förhandsversion) på den primära arbetsytan.
  • Koppla från anslutningsappen för prenumerationsbaserade Microsoft Defender för molnaviseringar (äldre) från alla arbetsytor i klientorganisationen.

  Om du inte vill strömma korrelerade klientdata för Defender för molnet till den primära arbetsytan fortsätter du att använda anslutningsappen Prenumerationsbaserad Microsoft Defender för molnet (äldre) på dina arbetsytor.

  Mer information finns i Mata in Microsoft Defender för molnincidenter med Microsoft Defender XDR integrering.

Registrera Microsoft Sentinel

Utför följande steg för att ansluta en Microsoft Sentinel-arbetsyta till Defender-portalen. Om du registrerar Microsoft Sentinel utan Defender XDR (förhandsversion) finns det ett extra steg för att utlösa anslutningen till Microsoft Sentinel och Defender-portalen.

1. Gå till Microsoft Defender-portalen och logga in.
2. Så här registrerar du Microsoft Sentinel utan Defender XDR i Defender-portalen:
   1. Om du vill utlösa anslutningen till Microsoft Sentinel väljer du Undersökning &svarsincidenter>.
   2. Vänta några minuter tills anslutningen har slutförts.
3. I Defender-portalen väljer du Översikt.
4. Välj Anslut en arbetsyta.
5. Välj de arbetsytor som du vill ansluta till och välj Nästa.
6. Välj den primära arbetsytan.
7. Läs och förstå de produktändringar som är associerade med att ansluta arbetsytan.
8. Välj Anslut.

När arbetsytan har anslutits visar banderollen på sidan Översikt att din miljö är klar. Översiktssidan uppdateras med nya avsnitt som innehåller mått från Microsoft Sentinel som antalet dataanslutningsprogram och automatiseringsregler.

Utforska Microsoft Sentinel funktioner i Defender-portalen

När du har anslutit arbetsytan till Defender-portalen finns Microsoft Sentinel i det vänstra navigeringsfönstret. Om du har Defender XDR aktiverat har sidor som Översikt, Incidenter och Avancerad jakt enhetliga data från den primära arbetsytan för Microsoft Sentinel och Defender XDR. Om du inte har Defender XDR aktiverat innehåller dessa sidor bara data från Microsoft Sentinel (förhandsversion). Mer information om enhetliga funktioner och skillnader mellan portaler finns i Microsoft Sentinel i Microsoft Defender-portalen.

Många av de befintliga Microsoft Sentinel funktionerna är integrerade i Defender-portalen. Observera att upplevelsen mellan Microsoft Sentinel i Azure Portal och Defender-portalen är liknande för de här funktionerna. Använd följande artiklar för att börja arbeta med Microsoft Sentinel i Defender-portalen. När du använder de här artiklarna bör du komma ihåg att din startpunkt i den här kontexten är Defender-portalen i stället för Azure Portal.

• Söka
  • Sök över långa tidsintervall i stora datauppsättningar
  • Återställa arkiverade loggar från sökningen
• Hothantering
  • Visualisera och övervaka dina data med hjälp av arbetsböcker
  • Genomföra hotjakt från slutpunkt till slutpunkt med Hunts
  • Använda jaktbokmärken för dataundersökningar
  • Använda livestream för jakt i Microsoft Sentinel för att identifiera hot
  • Jaga säkerhetshot med Jupyter Notebooks
  • Lägga till indikatorer i grupp för att Microsoft Sentinel hotinformation från en CSV- eller JSON-fil
  • Arbeta med hotindikatorer i Microsoft Sentinel
  • Förstå säkerhetstäckningen i MITRE ATT&CK-ramverket
• Innehållshantering
  • Identifiera och hantera Microsoft Sentinel inbyggt innehåll
  • Microsoft Sentinel innehållshubbens katalog
  • Distribuera anpassat innehåll från din lagringsplats
• Konfiguration
  • Hitta din Microsoft Sentinel dataanslutning
  • Skapa anpassade analysregler för att identifiera hot
  • Arbeta med regler för identifieringsanalys i nära realtid (NRT) i Microsoft Sentinel
  • Skapa visningslistor
  • Hantera visningslistor i Microsoft Sentinel
  • Skapa automatiseringsregler
  • Skapa och anpassa Microsoft Sentinel spelböcker från innehållsmallar

Hitta Microsoft Sentinel inställningar i Defender-portalen underSysteminställningar>>Microsoft Sentinel.

Ändra den primära arbetsytan

Du kan bara ha en primär arbetsyta ansluten till Defender-portalen i taget. Men du kan ändra den primära arbetsytan.

1. I Defender-portalen går du tillSysteminställningar>>Microsoft Sentinel>Arbetsytor.
2. Välj namnet på den arbetsyta som du vill göra till primär.
3. Välj Ange som primär.
4. Läs och förstå de produktändringar som är associerade med att ändra den primära arbetsytan.
5. Välj Bekräfta och fortsätt.

När du växlar den primära arbetsytan för Microsoft Sentinel ansluts Defender XDR-anslutningsappen till den nya primära och kopplas från den tidigare automatiskt. Mer information finns i Flera Microsoft Sentinel arbetsytor i Defender-portalen.

Avregistrera Microsoft Sentinel

Om du bestämmer dig för att avregistrera en arbetsyta från Defender-portalen kopplar du bort arbetsytan från inställningarna för Microsoft Sentinel.

1. Gå till Microsoft Defender-portalen och logga in.

2. I Defender-portalen går du till System och väljer Inställningar>Microsoft Sentinel.

3. På sidan Arbetsytor väljer du den anslutna arbetsytan och Koppla från arbetsytan.

4. Ange en anledning till varför du kopplar från arbetsytan.

5. Bekräfta ditt val.

   När arbetsytan är frånkopplad tas avsnittet Microsoft Sentinel bort från navigeringen till vänster i Defender-portalen. Data från Microsoft Sentinel ingår inte längre på sidan Översikt.

Om du vill ansluta till en annan arbetsyta går du till sidan Arbetsytor och väljer arbetsytan och Anslut en arbetsyta.

Relaterat innehåll

• Microsoft Sentinel i Microsoft Defender-portalen
• Avancerad jakt i portalen för Microsoft Defender
• Automatisk attackstörning i Microsoft Defender XDR
• Undersöka incidenter i Microsoft Defender-portalen
• Optimera dina säkerhetsåtgärder