Microsoft Defender 入口網站中的 Microsoft Sentinel
本文說明 Microsoft Defender 入口網站中的 Microsoft Sentinel 體驗。 Microsoft Sentinel 在具有 Microsoft Defender 全面偵測回應 的 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需詳細資訊,請參閱
- 部落格文章:Microsoft 整合安全性作業平台正式發行
- 部落格文章: 統一安全性作業平臺的常見問題
- 將 Microsoft Sentinel 連接至 Microsoft Defender XDR
- Azure 商業/其他雲端的 Microsoft Sentinel 功能支援
如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。
新功能和改良功能
下表說明 Defender 入口網站中可用的新功能或改良功能,並整合 Microsoft Sentinel。 Microsoft透過可能專屬於 Defender 入口網站的功能,繼續在此新體驗中創新。
| Capabilities | 描述 |
|---|---|
| 進階獵狩 | 從不同資料集的單一入口網站進行查詢,讓搜捕更有效率,並免除內容切換的需求。 使用安全性 Copilot 來協助產生您的 KQL。 檢視和查詢所有資料,包括來自 Microsoft 安全性服務和 Microsoft Sentinel 的資料。 使用所有現有的 Microsoft Sentinel 工作區內容,包括查詢和函式。 如需詳細資訊,請參閱下列文章: - Microsoft Defender 入口網站中的進階搜捕 - 進階搜捕中的安全性 Copilot |
| SOC 最佳化 | 取得高逼真度且可採取動作的建議,協助您識別區域以: - 降低成本 - 新增安全性控制項 - 新增遺漏的資料 SOC 最佳化可在 Defender 和 Azure 入口網站中取得,專為您的環境量身打造,並且以您目前的涵蓋範圍和威脅態勢為基礎。 如需詳細資訊,請參閱下列文章: - 將您的安全性作業最佳化 - 建議的 SOC 最佳化參考 |
| Microsoft Defender 中的 Microsoft Copilot | 在 Defender 入口網站中調查事件時, - 概述事件 - 分析腳本 - 分析檔案 - 建立事件報告 在進階搜捕中搜捕威脅時,請使用查詢助理建立立即執行的 KQL 查詢。 如需詳細資訊,請參閱 在進階搜捕中Microsoft安全性 Copilot。 |
下表說明 Defender 入口網站中提供的其他功能,並整合 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應,作為Microsoft統一安全性作業平臺的一部分。
| Capabilities | 描述 |
|---|---|
| 攻擊中斷 | 使用Defender入口網站和SAP應用程式的 Microsoft Sentinel 解決方案,為SAP部署自動攻擊中斷。 例如,在財務程序操作攻擊時,鎖定可疑的 SAP 使用者,以包含遭入侵的資產。 SAP 的攻擊中斷功能僅適用於 Defender 入口網站。 若要針對 SAP 使用攻擊中斷,請更新您的資料連接器代理程式版本,並確定相關的 Azure 角色已指派給您的代理程式身分識別。 如需詳細資訊,請參閱 SAP 的自動攻擊中斷。 |
| 整合實體 | Defender 入口網站中裝置、使用者、IP 位址和 Azure 資源的實體頁面會顯示來自 Microsoft Sentinel 和 Defender 資料來源的資訊。 這些實體頁面可讓您在 Defender 入口網站中展開事件和警示的調查內容。 如需詳細資訊,請參閱使用 Microsoft Sentinel 中的實體頁面調查實體。 |
| 整合事件 | 在單一位置以及從 Defender 入口網站中的單一佇列管理及調查安全性事件。 使用安全性 Copilot 來摘要、回應和報告。 事件包括: - 來源廣度的資料 - 安全性資訊與事件管理 (SIEM) 的 AI 分析工具 - 延伸偵測及回應 (XDR) 所提供的內容和風險降低工具 如需詳細資訊,請參閱下列文章: - Microsoft Defender 入口網站中的事件回應 - 調查安全性 Copilot 中的Microsoft Sentinel 事件 |
| Microsoft Defender 中的 Microsoft Copilot | 使用與 Defender XDR 整合Microsoft Sentinel 調查事件時, - 使用引導式回應分級和調查事件 - 摘要說明裝置資訊 - 摘要識別資訊 摘要說明影響您環境的相關威脅、根據暴露程度排定解決威脅的優先順序,或尋找可能透過在威脅情報中使用安全性 Copilot 鎖定產業的威脅執行者。 如需詳細資訊,請參閱 使用 Microsoft安全性 Copilot 進行威脅情報。 |
入口網站之間的功能差異
Azure 和 Defender 入口網站都提供大部分 Microsoft Sentinel 功能。 在 Defender 入口網站中,某些 Microsoft Sentinel 體驗會開啟至 Azure 入口網站,讓您完成工作。
本節涵蓋Microsoft Sentinel 功能或整合,這些功能僅適用於 Azure 入口網站 或 Defender 入口網站或入口網站之間的其他重大差異。 它會排除從 Defender 入口網站開啟 Azure 入口網站的 Microsoft Sentinel 體驗。
| 功能 | 可用性 | 描述 |
|---|---|---|
| 使用書籤進行進階搜捕 | 僅限 Azure 入口網站 | Microsoft Defender 入口網站中的進階搜捕體驗不支援書籤。 在 Defender 入口網站中,[Microsoft Sentinel] > [威脅管理] > [搜捕] 提供這些支援。 如需詳細資訊,請參閱使用 Microsoft Sentinel 在搜捕期間追蹤資料。 |
| SAP 的攻擊中斷 | 只有 Defender XDR 的 Defender 入口網站 | Azure 入口網站中無法使用此功能。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的自動攻擊中斷。 |
| 自動化 | 某些自動化程序僅適用於 Azure 入口網站。 在 Defender 和 Azure 入口網站 中,其他自動化程式相同,但在上線至 Defender 入口網站和未上線工作區的工作區之間 Azure 入口網站 不同。 |
如需詳細資訊,請參閱使用整合安全性作業平台進行自動化。 |
| 資料連接器:整合安全性作業平台所使用的連接器可見度 | 僅限 Azure 入口網站 | 在 Defender 入口網站中,當您將 Microsoft Sentinel 上線之後,[資料連接器] 頁面中不會顯示屬於整合安全性作業平台的下列資料連接器: 在 Azure 入口網站中,這些資料連接器在 Microsoft Sentinel 中仍會以已安裝的資料連接器列出。 |
| 實體:從事件將實體新增至威脅情報 | 僅限 Azure 入口網站 | 此功能無法在Defender入口網站中使用。 如需詳細資訊,請參閱將實體新增至威脅指標。 |
| 融合:進階多階段攻擊偵測 | 僅限 Azure 入口網站 | 當您將 Sentinel 上線 Microsoft 至 Defender 入口網站時,融合分析規則會根據 Fusion 相互關聯引擎所建立的警示相互關聯來建立事件。 Defender 入口網站會使用 Microsoft Defender 全面偵測回應 的事件建立和相互關聯功能來取代 Fusion 引擎的事件建立和相互關聯功能。 如需詳細資訊,請參閱 Microsoft Sentinel 中的進階多階段攻擊偵測 |
| 事件:將警示新增至事件 / 從事件中移除警示 |
僅限 Defender 入口網站 | 將Microsoft Sentinel 上線至 Defender 入口網站之後,您就無法再將警示新增至 Azure 入口網站 中的事件,或從中移除警示。 您可以從 Defender 入口網站中的事件移除警示,但只能將警示連結至另一個事件 (現有或新的)。 |
| 事件:編輯註解 | 僅限 Azure 入口網站 | 將Microsoft Sentinel 上線至 Defender 入口網站之後,您可以在任一入口網站中將批注新增至事件,但無法編輯現有的批注。 Azure 入口網站 中對批注所做的編輯不會同步處理至 Defender 入口網站。 |
| 事件:以程式設計方式和手動方式建立事件 | 僅限 Azure 入口網站 | 邏輯應用程式劇本或從 Azure 入口網站 手動透過 API Microsoft Sentinel 中建立的事件不會同步至 Defender 入口網站。 Azure 入口網站和 API 仍支援這些事件。 請參閱在 Microsoft Sentinel 中手動建立您自己的事件。 |
| 事件:重新開啟已關閉的事件 | 僅限 Azure 入口網站 | 在 Defender 入口網站中,您無法在Microsoft Sentinel 分析規則中設定警示群組,以在新增新的警示時重新開啟已關閉的事件。 在此情況下,不會重新開啟已關閉的事件,而新的警示會觸發新的事件。 |
| 事件:工作 | 僅限 Azure 入口網站 | 在 Defender 入口網站中無法使用工作。 如需詳細資訊,請參閱使用工作來管理 Microsoft Sentinel 中的事件。 |
| Microsoft Sentinel 的多工作區管理 | Defender 入口網站:限制為每個租用戶一個 Microsoft Sentinel 工作區 Azure 入口網站:集中管理多個租用戶的多個 Microsoft Sentinel 工作區 |
Defender 入口網站目前僅支援每個租使用者一個Microsoft Sentinel 工作區。 因此,Microsoft Defender 多租用戶管理支援每個租用戶一個 Microsoft Sentinel 工作區。 如需詳細資訊,請參閱下列文章: - Defender 入口網站: Microsoft Defender 多租使用者管理 - Azure 入口網站:使用工作區管理員管理多個Microsoft Sentinel 工作區 |
有限或無法使用的功能
當您將Microsoft Sentinel 上線至未啟用 Defender XDR 或其他服務的 Defender 入口網站時,Defender 入口網站中顯示的下列功能目前有限或無法使用。
| 功能 | 需要服務 |
|---|---|
| 暴露風險管理 | Microsoft安全性暴露管理 |
| 自訂偵測規則 | Microsoft Defender XDR |
| 控制中心 | Microsoft Defender XDR |
下列限制也適用於在未啟用Defender XDR或其他服務的情況下,在Defender入口網站中Microsoft Sentinel:
- 新的Microsoft Sentinel 客戶不符合在以色列區域中建立的Log Analytics工作區的資格。 若要上線至 Defender 入口網站,請為不同區域中Microsoft Sentinel 建立另一個工作區。
- 使用 Microsoft Sentinel 使用者和實體行為分析 (UEBA) 的客戶,會以有限的 IdentityInfo 數據表版本提供。
快速參考
某些Microsoft Sentinel 功能,例如統一事件佇列,會與Microsoft統一安全性作業平臺中的 Microsoft Defender 全面偵測回應 整合。 Defender 入口網站的 [Microsoft Sentinel] 區段中提供許多其他 Microsoft Sentinel 功能。
下圖顯示 Defender 入口網站中的 [Microsoft Sentinel] 功能表:
![使用 [Microsoft Sentinel] 區段左側導覽的 Defender 入口網站螢幕擷取畫面。](media/microsoft-sentinel-defender-portal/navigation-defender-portal.png#lightbox)
下列各節說明在 Defender 入口網站中尋找 [Microsoft Sentinel] 功能的位置。 區段會組織為 Azure 入口網站中的 [Microsoft Sentinel]。
一般
下表列出 Azure 入口網站 [一般] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 概觀 | 概觀 |
| 記錄 | [調查和回應] > [搜捕] > [進階搜捕] |
| 新聞與指南 | 無法使用 |
| 搜尋 | [Microsoft Sentinel] > [搜尋] |
威脅管理
下表列出 Azure 入口網站 [威脅管理] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 事故 | [調查和回應] > [事件和警示] > [事件] |
| 活頁簿 | [Microsoft Sentinel] > [威脅管理] > [活頁簿] |
| 搜捕 | [Microsoft Sentinel] > [威脅管理] > [搜捕] |
| Notebooks | [Microsoft Sentinel] > [威脅管理] > [筆記本] |
| 實體行為 | 使用者實體頁面: [資產] > [身分識別] >{使用者}> [Sentinel 事件] 裝置實體頁面: [資產] > [裝置] >{裝置}> [Sentinel 事件] 此外,請從事件和警示中尋找使用者、裝置、IP 和 Azure 資源實體類型的實體頁面和顯示的警示。 |
| 威脅情報 | [Microsoft Sentinel] > [威脅管理] > [威脅情報] |
| MITRE ATT&CK | [Microsoft Sentinel] > [威脅管理] > [MITRE ATT&CK] |
內容管理
下表列出 Azure 入口網站 [內容管理] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 內容中樞 | [Microsoft Sentinel] > [內容管理] > [內容中樞] |
| 存放庫 | [Microsoft Sentinel] > [內容管理] > [存放庫] |
| 社群 | [Microsoft Sentinel] > [內容管理] > [社群] |
組態
下表列出 Azure 入口網站 [設定] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 工作區管理員 | 無法使用 |
| 資料連接器 | [Microsoft Sentinel] > [設定] > [資料連接器] |
| 分析 | [Microsoft Sentinel] > [設定] > [分析] |
| 關注清單 | [Microsoft Sentinel] > [設定] > [關注清單] |
| 自動化 | [Microsoft Sentinel] > [設定] > [自動化] |
| 設定 | [系統] > [設定] > [Microsoft Sentinel] |