將 Microsoft Sentinel 連線到 Microsoft Defender 入口網站

• 適用於:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 已在 Microsoft Defender 入口網站的 SecOps) 平臺 (Microsoft統一安全性作業中正式推出。 當您使用 Microsoft Defender 全面偵測回應 將 Microsoft Sentinel 上線至 Defender 入口網站時，您會整合事件管理和進階搜捕等功能。 減少工具切換，並建置更著重於內容的調查，以加速事件回應並更快速地停止缺口。 如需詳細資訊，請參閱：

• 部落格文章： Microsoft統一安全性作業平臺的正式運作
• 部落格文章： 有關統一安全性作業平臺的常見問題
• Microsoft Defender 入口網站中的 Microsoft Sentinel
• Microsoft Defender 全面偵測回應 與 Microsoft Sentinel整合

如需預覽，Microsoft Sentinel 可在Defender入口網站中取得，而不需要 Microsoft Defender 全面偵測回應 或E5授權。

必要條件

開始之前，請先檢閱功能檔，以瞭解產品變更和限制。

• Microsoft Defender 入口網站中的 Microsoft Sentinel
• Microsoft Defender 入口網站中的進階搜捕
• Microsoft Defender 全面偵測回應 中的警示、事件和相互關聯
• 使用統一安全性作業平臺進行自動化

Microsoft Defender 入口網站支援單一 Microsoft Entra 租使用者，以及一次連線到一個工作區。 在本文的內容中，工作區是已啟用 Microsoft Sentinel 的Log Analytics工作區。

Microsoft Sentinel 必要條件

若要在 Defender 入口網站中上線並使用 Microsoft Sentinel，您必須具有下列資源和存取權：

• 已啟用 Microsoft Sentinel的Log Analytics工作區

• 事件和警示 Microsoft Sentinel 中啟用 Microsoft Defender 全面偵測回應 的數據連接器。 安裝 Defender 全面偵測回應 解決方案，並設定數據連接器以將 Microsoft Sentinel 連線到 Defender 入口網站。 如需詳細資訊，請參閱探索和管理 Microsoft Sentinel 現成的內容。

• 具有適當角色的 Azure 帳戶，可在 Defender 入口網站中上線、使用及建立 Microsoft Sentinel 的支援要求。 下表醒目提示一些需要的重要角色。

  工作	需要 Microsoft Entra 或 Azure 內建角色	範圍
  將 Microsoft Sentinel 上線至 Defender 入口網站	Microsoft Entra ID 中的 全域管理員 或安全性系統管理員	租用戶
  線上或中斷已啟用 Microsoft Sentinel 的工作區連線或中斷連線	擁有者或 使用者存取系統管理員和 Microsoft Sentinel 參與者	- 擁有者或使用者存取系統管理員角色 的訂用帳戶 - 訂用帳戶、資源群組或 Microsoft Sentinel 參與者的工作區資源
  在 Defender 入口網站中檢視 Microsoft Sentinel	Microsoft Sentinel 讀取器	訂用帳戶、資源群組或工作區資源
  查詢 Sentinel 數據表或檢視事件	Microsoft Sentinel 讀取者或具有下列動作的角色： - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	訂用帳戶、資源群組或工作區資源
  對事件採取調查動作	Microsoft Sentinel 參與者或具有下列動作的角色： - Microsoft.OperationalInsights/workspaces/read-Microsoft.OperationalInsights /workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read-Microsoft.SecurityInsights /incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	訂用帳戶、資源群組或工作區資源
  建立支援要求	擁有者 、 參與者 或 支援要求參與者 或具有 Microsoft.Support/* 的自定義角色	訂閱

  將 Microsoft Sentinel 連線到 Defender 入口網站之後，現有的 Azure 角色型存取控制 (RBAC) 許可權可讓您使用可存取的 Microsoft Sentinel 功能。 繼續從 Azure 入口網站管理 Microsoft Sentinel 使用者的角色和許可權。 任何 Azure RBAC 變更都會反映在 Defender 入口網站中。 如需 Microsoft Sentinel 許可權的詳細資訊，請參閱 Microsoft Sentinel 中的角色和許可權 |Microsoft瞭解及管理依資源存取 Microsoft Sentinel 數據 |Microsoft Learn。

Microsoft的整合 SecOps 平臺必要條件

若要在Microsoft的整合 SecOps 平臺中整合功能與 Defender 全面偵測回應，您必須具備下列資源和存取權：

• Defender 全面偵測回應 的授權，如 Microsoft Defender 全面偵測回應 必要條件中所述
• 帳戶 Defender 全面偵測回應 是與 Microsoft Sentinel 相關聯之相同 Microsoft Entra 租用戶的成員
• 在 Defender 入口網站中存取 Microsoft Defender 全面偵測回應，如 Microsoft Defender 全面偵測回應 必要條件中所述

上線 Microsoft Sentinel

若要將 Microsoft Sentinel 工作區連線到 Defender 入口網站，請完成下列步驟。 如果您在未 Defender 全面偵測回應 (預覽 Microsoft Sentinel 上線) 會有額外的步驟可觸發與 Microsoft Sentinel 和 Defender 入口網站的連線。

1. 移至 Microsoft Defender 入口網站並登入。

2. 若要在 Defender 入口網站中將 Microsoft Sentinel 上線，而不需要 Defender 全面偵測回應：

   1. 若要觸發與 Microsoft Sentinel 的連線，請選取 [調查 & 回應>事件]。
   2. 請等候幾分鐘，讓聯機完成。

3. 在 Defender 入口網站中，選取 [ 概觀]。

4. 選 取 [連線工作區]。

5. 選擇您想要連線的工作區，然後選取 [ 下一步]。

6. 閱讀並瞭解與連線工作區相關聯的產品變更。 這些變更包括：

   • Microsoft Sentinel 工作區中的記錄數據表、查詢和函式也可在Defender入口網站內的進階搜捕中使用。
   • Microsoft Sentinel 參與者角色會指派給訂用帳戶內的 Microsoft Threat Protection 和 WindowsDefenderATP 應用程式。
   • 作用 中Microsoft安全性事件建立規則 會停用，以避免發生重複的事件。 這項變更僅適用於Microsoft警示的事件建立規則，不適用於其他分析規則。
   • 與 Defender 全面偵測回應 產品相關的所有警示都會直接從主要 Defender 全面偵測回應 數據連接器串流處理，以確保一致性。 請確定您已在工作區中開啟來自此連接器的事件和警示。

7. 選取 [連線]。

聯機工作區之後，[ 概觀 ] 頁面上的橫幅會顯示您的環境已就緒。 [概觀] 頁面會更新新的區段，其中包含來自 Microsoft Sentinel 的計量，例如數據連接器數目和自動化規則。

在 Defender 入口網站中探索 Microsoft Sentinel 功能

將工作區連線到 Defender 入口網站之後，Microsoft Sentinel 位於左側瀏覽窗格中。 如果您已啟用 Defender 全面偵測回應，概觀、事件和進階搜捕等頁面會具有來自 Microsoft Sentinel 和 Defender 全面偵測回應 的統一數據。 如果您尚未啟用 Defender 全面偵測回應，這些頁面只會包含來自 Microsoft Sentinel (預覽) 的數據。 如需入口網站之間統一功能和差異的詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

許多現有的 Microsoft Sentinel 功能都會整合到 Defender 入口網站中。 針對這些功能，請注意，Azure 入口網站 和Defender入口網站中 Microsoft Sentinel之間的體驗很類似。 使用下列文章可協助您開始在Defender入口網站中使用 Microsoft Sentinel。 使用這些文章時，請記住，您在此內容中的起點是 Defender 入口網站，而不是 Azure 入口網站。

• 搜尋
  • 在大型數據集中跨長時間範圍搜尋
  • 從搜尋還原封存的記錄
• 威脅管理
  • 使用活頁簿將數據可視化並加以監視
  • 使用搜捕進行端對端威脅搜捕
  • 使用搜捕書籤進行數據調查
  • 在 Microsoft Sentinel 中使用搜捕 Livestream 來偵測威脅
  • 使用 Jupyter 筆記本搜捕安全性威脅
  • 大量新增指標以從 CSV 或 JSON 檔案 Microsoft Sentinel 威脅情報
  • 在 Microsoft Sentinel 中使用威脅指標
  • 瞭解 MITRE ATT&CK 架構的安全性涵蓋範圍
• 內容管理
  • 探索及管理 Microsoft Sentinel 現成的內容
  • Microsoft Sentinel 內容中樞目錄
  • 從存放庫部署自定義內容
• 組態
  • 尋找您的 Microsoft Sentinel 資料連接器
  • 建立自定義分析規則以偵測威脅
  • 在 Microsoft Sentinel 中使用近乎即時的 (NRT) 偵測分析規則
  • 建立關注清單
  • 在 Microsoft Sentinel 中管理關注清單
  • 建立自動化規則
  • 從內容範本建立和自訂 Microsoft Sentinel 劇本

在 Defender 入口網站的 [系統>>設定] 底下尋找 Microsoft Sentinel 設定 Microsoft Sentinel。

下架 Microsoft Sentinel

您一次只能有一個工作區連線到Defender入口網站。 如果您想要連線到已啟用 Microsoft Sentinel 的不同工作區，請中斷目前工作區的連線，並連接其他工作區。

1. 移至 Microsoft Defender 入口網站並登入。

2. 在 Defender 入口網站的 [系統] 底下，選取 [設定>Microsoft Sentinel]。

3. 在 [ 工作區] 頁面上，選取 [連線的工作區] 和 [ 中斷聯機] 工作區。

4. 提供中斷工作區連線的原因。

5. 確認您的選擇。

   當您的工作區中斷連線時，Microsoft Sentinel 區段會從Defender入口網站的左側導覽中移除。 來自 Microsoft Sentinel 的數據不再包含在 [概觀] 頁面上。

如果您想要連線到不同的工作區，請從 [ 工作 區] 頁面選取工作區並 連接工作區。

相關內容

• Microsoft Defender 入口網站中的 Microsoft Sentinel
• Microsoft Defender 入口網站中的進階搜捕
• Microsoft Defender 全面偵測回應 中的自動攻擊中斷
• 在入口網站中調查 Microsoft Defender 事件
• 優化您的安全性作業