Připojení služby Microsoft Sentinel k Microsoft Defender XDR
Služba Microsoft Sentinel je obecně dostupná na portálu Microsoft Defender v rámci sjednocené platformy operací zabezpečení Microsoftu. Když nasadíte Microsoft Sentinel na portál Defender, sjednotíte funkce s Microsoft Defenderem XDR, jako je správa incidentů a rozšířené proaktivní vyhledávání. Omezte přepínání nástrojů a vytvořte šetření více zaměřené na kontext, které urychlí reakci na incidenty a zastaví porušení zabezpečení rychleji. Další informace najdete tady:
- Příspěvek na blogu: Obecná dostupnost sjednocené platformy microsoftu pro operace zabezpečení
- Příspěvek na blogu: Nejčastější dotazy k jednotné platformě operací zabezpečení
- Microsoft Sentinel na portálu Microsoft Defender
- Integrace XDR v programu Microsoft Defender se službou Microsoft Sentinel
Požadavky
Než začnete, přečtěte si dokumentaci k funkcím a seznamte se se změnami a omezeními produktu:
- Microsoft Sentinel na portálu Microsoft Defender
- Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
- Výstrahy, incidenty a korelace v Microsoft Defenderu XDR
- Automatizace s využitím sjednocené platformy operací zabezpečení
Portál Microsoft Defender podporuje jednoho tenanta Microsoft Entra a připojení k jednomu pracovnímu prostoru najednou. V kontextu tohoto článku je pracovním prostorem služby Log Analytics s povolenou službou Microsoft Sentinel.
Pokud chcete nasadit a používat Microsoft Sentinel na portálu Microsoft Defender, musíte mít následující prostředky a přístup:
Pracovní prostor služby Log Analytics s povolenou službou Microsoft Sentinel
Datový konektor pro Microsoft Defender XDR (dříve Microsoft 365 Defender) povolený ve službě Microsoft Sentinel pro incidenty a výstrahy. Další informace najdete v tématu Připojení dat z Microsoft DefenderU XDR ke službě Microsoft Sentinel.
Přístup k Microsoft DefenderU XDR na portálu Defender
Microsoft Defender XDR nasazený do tenanta Microsoft Entra
Účet Azure s odpovídajícími rolemi pro onboarding, používání a vytváření žádostí o podporu pro Microsoft Sentinel na portálu Defender. V následující tabulce jsou uvedené některé klíčové role, které jsou potřeba.
Úloha Vyžaduje se předdefinované role Azure. Rozsah Připojení nebo odpojení pracovního prostoru s povolenou službou Microsoft Sentinel Vlastník nebo
správce uživatelských přístupů a přispěvatel služby Microsoft Sentinel– Předplatné pro role vlastníka nebo správce uživatelských přístupů
– Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele služby Microsoft SentinelZobrazení služby Microsoft Sentinel na portálu Defender Čtenář služby Microsoft Sentinel Prostředek předplatného, skupiny prostředků nebo pracovního prostoru Dotazování tabulek dat služby Sentinel nebo zobrazení incidentů Čtenář služby Microsoft Sentinel nebo role s následujícími akcemi:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readProstředek předplatného, skupiny prostředků nebo pracovního prostoru Provádění vyšetřovacích akcí v incidentech Přispěvatel služby Microsoft Sentinel nebo role s následujícími akcemi:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
– Microsoft.SecurityInsights/incidents/relations/write
– Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeProstředek předplatného, skupiny prostředků nebo pracovního prostoru Vytvoření žádosti o podporu Vlastník ,
přispěvatel nebo přispěvatel nebo
přispěvatel žádosti o podporu přispěvatel nebo vlastní role u Microsoft.Support/*Předplatné Po připojení služby Microsoft Sentinel k portálu Defender vám stávající oprávnění řízení přístupu na základě role (RBAC) v Azure umožňují pracovat s funkcemi služby Microsoft Sentinel, ke kterým máte přístup. Pokračujte ve správě rolí a oprávnění pro uživatele služby Microsoft Sentinel z webu Azure Portal. Všechny změny Azure RBAC se projeví na portálu Defender. Další informace o oprávněních služby Microsoft Sentinel najdete v tématu Role a oprávnění ve službě Microsoft Sentinel | Microsoft Learn a správa přístupu k datům služby Microsoft Sentinel podle prostředků | Microsoft Learn.
Onboarding služby Microsoft Sentinel
Pokud chcete připojit pracovní prostor s povolenou službou Microsoft Sentinel k Defenderu XDR, proveďte následující kroky:
Přejděte na portál Microsoft Defender a přihlaste se.
V programu Microsoft Defender XDR vyberte Přehled.
Vyberte Připojit pracovní prostor.
Zvolte pracovní prostor, ke kterému se chcete připojit, a vyberte Další.
Přečtěte si změny produktů spojené s připojením pracovního prostoru a seznamte se s nimi. Mezi tyto změny patří:
- Tabulky protokolů, dotazy a funkce v pracovním prostoru služby Microsoft Sentinel jsou také k dispozici v rozšířeném proaktivním vyhledávání v rámci defenderu XDR.
- Role Přispěvatel služby Microsoft Sentinel je přiřazená aplikacím Microsoft Threat Protection a WindowsDefenderATP v rámci předplatného.
- Aktivní pravidla vytváření incidentů zabezpečení Microsoftu se deaktivují, aby nedocházelo k duplicitním incidentům. Tato změna se vztahuje pouze na pravidla vytváření incidentů pro výstrahy Microsoftu, a ne na jiná analytická pravidla.
- Všechna upozornění související s produkty Defender XDR se streamují přímo z hlavního datového konektoru Defender XDR, aby byla zajištěna konzistence. Ujistěte se, že máte v pracovním prostoru zapnuté incidenty a výstrahy z tohoto konektoru.
Vyberte Připojit.
Po připojení pracovního prostoru se v banneru na stránce Přehled zobrazuje, že je připravená sjednocená správa informací o zabezpečení a událostí (SIEM) a rozšířená detekce a reakce (XDR). Na stránce Přehled se aktualizují nové oddíly, které zahrnují metriky ze služby Microsoft Sentinel, jako je počet datových konektorů a pravidla automatizace.
Prozkoumání funkcí služby Microsoft Sentinel na portálu Defender
Po připojení pracovního prostoru k portálu Defender se Microsoft Sentinel nachází v navigačním podokně na levé straně. Stránky jako Přehled, Incidenty a Rozšířené proaktivní vyhledávání obsahují sjednocená data ze služby Microsoft Sentinel a DefenderU XDR. Další informace o jednotných možnostech a rozdílech mezi portály najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Mnoho stávajících funkcí služby Microsoft Sentinel je integrovaných na portálu Defender. U těchto funkcí si všimněte, že prostředí mezi službou Microsoft Sentinel na portálu Azure Portal a portálem Defender je podobné. Následující články vám pomůžou začít pracovat se službou Microsoft Sentinel na portálu Defender. Při používání těchto článků mějte na paměti, že výchozím bodem v tomto kontextu je portál Defender místo portálu Azure Portal.
- Hledání
- Řízení rizik
- Vizualizace a monitorování dat pomocí sešitů
- Provádění komplexního proaktivního vyhledávání hrozeb pomocí funkce Hunts
- Použití záložek proaktivního vyhledávání pro zkoumání dat
- Použití živého streamu proaktivního vyhledávání ve službě Microsoft Sentinel k detekci hrozeb
- Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter
- Hromadné přidání indikátorů do analýzy hrozeb služby Microsoft Sentinel ze souboru CSV nebo JSON
- Práce s indikátory hrozeb ve službě Microsoft Sentinel
- Vysvětlení zabezpečení pomocí architektury MITRE ATT&CK
- Správa obsahu
- Konfigurace
- Vyhledání datového konektoru služby Microsoft Sentinel
- Vytvoření vlastních analytických pravidel pro detekci hrozeb
- Práce s analytickými pravidly detekce téměř v reálném čase (NRT) ve službě Microsoft Sentinel
- Vytváření seznamů ke zhlédnutí
- Správa seznamů ke zhlédnutí ve službě Microsoft Sentinel
- Vytváření pravidel automatizace
- Vytváření a přizpůsobení playbooků služby Microsoft Sentinel ze šablon obsahu
Nastavení služby Microsoft Sentinel najdete na portálu Defender v částiNastavení>systému>Microsoft Sentinel.
Offboarding služby Microsoft Sentinel
K portálu Defender můžete mít najednou připojený jenom jeden pracovní prostor. Pokud se chcete připojit k jinému pracovnímu prostoru s povolenou službou Microsoft Sentinel, odpojte aktuální pracovní prostor a připojte druhý pracovní prostor.
Přejděte na portál Microsoft Defender a přihlaste se.
Na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinel.
Na stránce Pracovní prostory vyberte připojený pracovní prostor a Odpojit pracovní prostor.
Uveďte důvod, proč pracovní prostor odpojíte.
Potvrďte výběr.
Když se pracovní prostor odpojí, oddíl Microsoft Sentinel se odebere z levého navigačního panelu portálu Defender. Data z Microsoft Sentinelu se už na stránce Přehled nezobrazují.
Pokud se chcete připojit k jinému pracovnímu prostoru, na stránce Pracovní prostory vyberte pracovní prostor a Připojte pracovní prostor.