你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender 门户中的 Microsoft Sentinel
本文介绍 Microsoft Defender 门户中的 Microsoft Sentinel 体验。 Microsoft Sentinel 已在带有 Microsoft Defender XDR 的 Microsoft Defender 门户中的 Microsoft 统一安全操作平台中正式发布。 有关详细信息,请参阅:
- 博客文章:Microsoft 统一安全运营平台正式发布
- 博客文章:有关统一安全运营平台的常见问题
- 将 Microsoft Sentinel 连接到 Microsoft Defender XDR
- Microsoft Sentinel 功能对 Azure 商业/其他云的支持
对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。
新增和改进的功能
下表介绍了 Defender 门户中与 Microsoft Sentinel 的集成提供的新功能或改进的功能。 Microsoft 继续通过可能是 Defender 门户独有的功能在这一新体验上进行创新。
Capabilities | 说明 |
---|---|
高级追寻 | 从跨不同数据集的单个门户进行查询,使搜寻更高效,并消除对上下文切换的需求。 使用 Security Copilot 来帮助生成 KQL。 查看和查询所有数据,包括来自 Microsoft 安全服务和 Microsoft Sentinel 的数据。 使用所有现有的 Microsoft Sentinel 工作区内容,包括查询和函数。 有关详细信息,请参阅以下文章: - Microsoft Defender 门户中的高级搜寻 - 使用 Security Copilot 进行高级搜寻 |
SOC 优化 | 获取高保真度和可操作的建议,帮助你确定需要改进的领域: - 降低成本 - 增加安全控制 - 添加缺少数据 SOC 优化在 Defender 和 Azure 门户中提供,是根据你的环境量身定制的,并基于你当前的覆盖范围和威胁环境。 有关详细信息,请参阅以下文章: - 优化安全运营 - SOC 优化建议参考 |
Microsoft Defender 中的 Microsoft Copilot | 在 Defender 门户中调查事件时, - 汇总事件 - 分析脚本 - 分析文件 - 创建事件报告 在高级搜寻中搜寻威胁时,使用查询助手创建随时可用的 KQL 查询。 有关详细信息,请参阅使用 Microsoft Security Copilot 进行高级搜寻。 |
下表介绍了 Defender 门户中提供的附加功能,该功能集成了 Microsoft Sentinel 和 Microsoft Defender XDR,是 Microsoft 统一安全操作平台的一部分。
Capabilities | 说明 |
---|---|
攻击中断 | 使用 Defender 门户和适用于 SAP 的 Microsoft Sentinel 解决方案应用程序为 SAP 部署自动攻击中断。 例如,如果发生财务过程操作攻击,请锁定可疑的 SAP 用户,从而包含泄露的资产。 SAP 攻击中断功能仅在 Defender 门户中可用。 若要对 SAP 使用攻击中断,请更新数据连接器代理版本,并确保将相关的 Azure 角色分配给代理的标识。 有关详细信息,请参阅 SAP 自动攻击中断。 |
统一实体 | Defender 门户中设备、用户、IP 地址和 Azure 资源的实体页显示来自 Microsoft Sentinel 和 Defender 数据源的信息。 这些实体页提供了扩展上下文,用于调查 Defender 门户中的事件和警报。 有关实体页的详细信息,请参阅使用 Microsoft Sentinel 中的实体页调查实体。 |
统一事件 | 在 Defender 门户中的单个位置和单个队列中管理和调查安全事件。 使用 Security Copilot 进行汇总、响应和报告。 事件包括: - 来自源广度的数据 - 安全信息和事件管理的 AI 分析工具 (SIEM) - 扩展检测和响应提供的上下文和缓解工具 (XDR) 有关详细信息,请参阅以下文章: - Microsoft Defender 门户中的事件响应 - 在 Security Copilot 中调查 Microsoft Sentinel 事件 |
Microsoft Defender 中的 Microsoft Copilot | 使用与 Defender XDR 集成的 Microsoft Sentinel 调查事件时, - 使用引导式响应对事件进行分类和调查 - 汇总设备信息 - 汇总身份信息 汇总影响环境的相关威胁,根据暴露程度确定解决威胁的优先级,或通过使用威胁情报中的 Security Copilot 查找可能针对你所在行业的威胁行动者。 有关详细信息,请参阅使用 Microsoft Security Copilot 处理威胁情报。 |
门户之间的功能差异
Azure 和 Defender 门户中提供了大多数 Microsoft Sentinel 功能。 在 Defender 门户中,一些 Microsoft Sentinel 体验会打开到 Azure 门户,以便完成任务。
本部分介绍仅在 Azure 门户或 Defender 门户中可用的 Microsoft Sentinel 功能或集成,或门户之间的其他重大差异。 它不包括从 Defender 门户打开 Azure 门户的 Microsoft Sentinel 体验。
功能 | 可用性 | 说明 |
---|---|---|
使用书签进行高级搜寻 | 仅 Azure 门户 | Microsoft Defender 门户中的高级搜寻体验不支持书签。 在 Defender 门户中,“Microsoft Sentinel”>“威胁管理”>“搜寻”支持它们。 有关详细信息,请参阅在搜寻过程中使用 Microsoft Sentinel 跟踪数据。 |
SAP 的攻击中断 | Defender 门户仅适用于 Defender XDR | 此功能在 Azure 门户中不可用。 有关详细信息,请参阅 Microsoft Defender 门户中的自动攻击中断。 |
自动化 | 某些自动化过程仅在 Azure 门户中可用。 Defender 和 Azure 门户中的其他自动化过程相同,但 Azure 门户中加入到 Defender 门户的工作区与未加入的工作区之间有所不同。 |
有关详细信息,请参阅使用统一安全运营平台实现自动化。 |
数据连接器:统一安全运营平台使用的连接器的可见性 | 仅 Azure 门户 | 在 Defender 门户中,载入 Microsoft Sentinel 后,统一安全操作平台中包含的以下数据连接器不会显示在“数据连接器”页面中: 在 Azure 门户中,这些数据连接器仍随 Microsoft Sentinel 中已安装的数据连接器一起列出。 |
实体:将实体添加到事件的威胁情报 | 仅 Azure 门户 | 此功能在 Defender 门户中不可用。 有关详细信息,请参阅将实体添加到威胁指示器。 |
Fusion:高级多阶段攻击检测 | 仅 Azure 门户 | 将 Microsoft Sentinel 加入 Defender 门户时,会禁用 Fusion 分析规则,该规则基于 Fusion 相关性引擎创建的警报相关性来创建事件。 Defender 门户使用 Microsoft Defender XDR 的事件创建和关联功能来替换 Fusion 引擎的这些功能。 有关详细信息,请参阅 Microsoft Sentinel 中的高级多阶段攻击检测 |
事件:向事件添加警报 / 移除事件中的警报 |
仅 Defender 门户 | 将 Microsoft Sentinel 加入 Defender 门户后,不能再在 Azure 门户中向事件添加警报或删除事件中的警报。 可以在 Defender 门户中从事件中删除警报,但只能通过将警报链接到另一个事件(现有事件或新事件)来完成。 |
事件:编辑注释 | 仅 Azure 门户 | 将 Microsoft Sentinel 加入 Defender 门户后,可以在任一门户中向事件添加注释,但无法编辑现有注释。 对 Azure 门户中的注释所做的编辑不会同步到 Defender 门户。 |
事件:以编程和手动方式创建事件 | 仅 Azure 门户 | 通过 API 在 Microsoft Sentinel 中创建的事件(由逻辑应用 playbook 或从 Azure 门户手动创建)不会同步到 Defender 门户。 Azure 门户和 API 仍支持这些事件。 请参阅在 Microsoft Sentinel 中手动创建自己的事件。 |
事件:重新打开已关闭的事件 | 仅 Azure 门户 | 在 Defender 门户中,如果添加了新警报,则无法在 Microsoft Sentinel 分析规则中设置警报分组来重新打开已关闭的事件。 在这种情况下,不会重新打开已关闭的事件,新警报会触发新事件。 |
事件:任务 | 仅 Azure 门户 | 任务在 Defender 门户中不可用。 有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件。 |
Microsoft Sentinel 多工作管理 | Defender 门户:限制为每个租户一个 Microsoft Sentinel 工作区 Azure 门户:为租户集中管理多个 Microsoft Sentinel 工作区 |
Defender 门户目前仅支持每个租户一个 Microsoft Sentinel 工作区。 因此,Microsoft Defender 多租户管理支持每个租户一个 Microsoft Sentinel 工作区。 有关详细信息,请参阅以下文章: - Defender 门户:Microsoft Defender 多租户管理 - Azure 门户:使用工作区管理器管理多个 Microsoft Sentinel 工作区 |
受限或不可用的功能
将 Microsoft Sentinel 加入未启用 Defender XDR 或其他服务的 Defender 门户时,Defender 门户中显示的以下功能当前受到限制或不可用。
功能 | 需要服务 |
---|---|
风险管理 | Microsoft 安全风险管理 |
自定义检测规则 | Microsoft Defender XDR |
操作中心 | Microsoft Defender XDR |
以下限制也适用于未启用 Defender XDR 或其他服务的 Defender 门户中的 Microsoft Sentinel:
- 新的 Microsoft Sentinel 客户没有资格加入在以色列区域创建的 Log Analytics 工作区。 若要加入 Defender 门户,请在其他区域为 Microsoft Sentinel 创建另一个工作区。 此附加工作区不需要包含任何数据。
- 使用 Microsoft Sentinel 用户和实体行为分析 (UEBA) 的客户可获得 IdentityInfo 表的受限版本。
快速参考
某些 Microsoft Sentinel 功能(如统一事件队列)与 Microsoft 的统一安全操作平台中的 Microsoft Defender XDR 集成。 Defender 门户的 Microsoft Sentinel 部分中提供了许多其他 Microsoft Sentinel 功能。
下图显示了 Defender 门户中的 Microsoft Sentinel 菜单:
以下部分介绍在 Defender 门户中查找 Microsoft Sentinel 功能的位置。 这些部分在 Azure 门户中组织为 Microsoft Sentinel。
常规
下表列出了 Azure 门户中的“常规”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
概述 | 概述 |
日志 | 调查和响应 > 搜寻> 高级搜寻 |
资讯与指南 | 不可用 |
Search | Microsoft Sentinel > 搜索 |
威胁管理
下表列出了 Azure 门户中的“威胁管理”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
事故 | 调查和响应 > 事件和警报 > 事件 |
工作簿 | Microsoft Sentinel > 威胁管理 > 工作簿 |
搜寻 | Microsoft Sentinel > 威胁管理 > 搜寻 |
笔记本 | Microsoft Sentinel > 威胁管理 > 笔记本 |
实体行为 | 用户实体页:资产 > 标识 >{user}> Sentinel 事件 设备实体页: 资产 > 设备 >{device}> Sentinel 事件 此外,在事件和警报出现时,从中查找用户、设备、IP 和 Azure 资源实体类型的实体页。 |
威胁情报 | Microsoft Sentinel > 威胁管理 > 威胁情报 |
MITRE ATT&CK | Microsoft Sentinel > 威胁管理 > MITRE ATT&CK |
内容管理
下表列出了 Azure 门户中的“内容管理”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
内容中心 | Microsoft Sentinel > 内容管理 > 内容中心 |
存储库 | Microsoft Sentinel > 内容管理 > 存储库 |
Community | Microsoft Sentinel > 内容管理 > 社区 |
配置
下表列出了 Azure 门户中的“配置”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
工作区管理器 | 不可用 |
数据连接器 | Microsoft Sentinel > 配置 > 数据连接器 |
分析 | Microsoft Sentinel > 配置 > 分析 |
播放列表 | Microsoft Sentinel > 配置 > 监视列表 |
自动化 | Microsoft Sentinel > 配置 > 自动化 |
设置 | 系统 > 设置 > Microsoft Sentinel |