Microsoft Sentinel na portálu Microsoft Defender
Tento článek popisuje prostředí Microsoft Sentinelu na portálu Microsoft Defender. Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace naleznete v tématu:
- Blogové příspěvky: Obecná dostupnost sjednocené platformy microsoftu pro provoz zabezpečení
- Blogové příspěvky: Nejčastější dotazy týkající se sjednocené provozní platformy zabezpečení
- Připojení Microsoft Sentinelu k XDR v programu Microsoft Defender
Nové a vylepšené funkce
Následující tabulka popisuje nové nebo vylepšené funkce dostupné na portálu Defender s integrací Microsoft Sentinelu a XDR v programu Defender.
| Možnosti | Popis |
|---|---|
| Pokročilý proaktivní vyhledávání | Dotazování z jednoho portálu v různých datových sadách za účelem efektivnějšího proaktivního vyhledávání a odebrání potřeby přepínání kontextu K vygenerování KQL použijte Copilot for Security. Umožňuje zobrazit a dotazovat všechna data včetně dat ze služeb zabezpečení Microsoftu a Microsoft Sentinelu. Použijte veškerý obsah vašeho existujícího pracovního prostoru Microsoft Sentinelu, včetně dotazů a funkcí. Další informace najdete v následujících článcích: - Rozšířené proaktivní vyhledávání na portálu Microsoft Defender - Copilot pro zabezpečení v rozšířeném proaktivním vyhledávání |
| Narušení útoku | Nasaďte automatické přerušení útoku pro SAP s jednotným provozním platformou zabezpečení i řešením Microsoft Sentinel pro aplikace SAP. Například obsahují ohrožené prostředky uzamčením podezřelých uživatelů SAP v případě útoku na manipulaci s finančními procesy. Možnosti přerušení útoků pro SAP jsou dostupné jenom na portálu Defender. Pokud chcete pro SAP použít přerušení útoku, aktualizujte verzi agenta datového konektoru a ujistěte se, že je příslušná role Azure přiřazená identitě vašeho agenta. Další informace najdete v tématu Automatické přerušení útoku pro SAP. |
| Optimalizace SOC | Získejte vysoce věrná a užitečná doporučení, která vám pomůžou identifikovat oblasti pro: - Snížení nákladů - Přidání bezpečnostních prvků – Přidání chybějících dat Optimalizace SOC jsou k dispozici na portálech Defender a Azure Portal, jsou přizpůsobené vašemu prostředí a jsou založené na aktuálním pokrytí a na šířku hrozeb. Další informace najdete v následujících článcích: - Optimalizace operací zabezpečení - Referenční informace k optimalizaci SOC doporučení |
| Sjednocené entity | Stránky entit pro zařízení, uživatele, IP adresy a prostředky Azure na portálu Defender zobrazují informace ze zdrojů dat Microsoft Sentinelu a Defenderu. Tyto stránky entit poskytují rozšířený kontext pro vyšetřování incidentů a upozornění na portálu Defender. Další informace najdete v tématu Zkoumání entit se stránkami entit v Microsoft Sentinelu. |
| Sjednocené incidenty | Spravujte a prošetřujte incidenty zabezpečení v jednom umístění a z jedné fronty na portálu Defender. Použití Copilotu pro zabezpečení k shrnutí, reagování a sestavě Mezi incidenty patří: - Data z šířky zdrojů - Analytické nástroje AI pro správu informací o zabezpečení a událostí (SIEM) – Kontextové nástroje a nástroje pro zmírnění rizik, které nabízí rozšířená detekce a reakce (XDR) Další informace najdete v následujících článcích: - Reakce na incidenty na portálu Microsoft Defender - Zkoumání incidentů Služby Microsoft Sentinel ve službě Copilot for Security |
Rozdíly mezi možnostmi mezi portály
Většina funkcí Služby Microsoft Sentinel je dostupná na portálech Azure i Defenderu. Na portálu Defender se některé prostředí Microsoft Sentinelu otevírají na webu Azure Portal, abyste mohli dokončit úkol.
Tato část se zabývá možnostmi nebo integracemi služby Microsoft Sentinel v rámci sjednocené provozní platformy zabezpečení, které jsou k dispozici pouze na portálu Azure Portal nebo na portálu Defender nebo v jiných významných rozdílech mezi portály. Vyloučí prostředí Microsoft Sentinelu, která otevřou Azure Portal z portálu Defender.
| Schopnost | Dostupnost | Popis |
|---|---|---|
| Pokročilé proaktivní vyhledávání pomocí záložek | Pouze azure Portal | Záložky nejsou podporovány v rozšířeném prostředí proaktivního vyhledávání na portálu Microsoft Defender. Na portálu Defender jsou podporované v proaktivním vyhledávání > správy hrozeb microsoft Sentinelu>. Další informace najdete v tématu Sledování dat během proaktivního vyhledávání pomocí Služby Microsoft Sentinel. |
| Přerušení útoku pro SAP | Pouze portál Defender | Tato funkce není dostupná na webu Azure Portal. Další informace najdete v tématu Automatické přerušení útoku na portálu Microsoft Defender. |
| Automation | Některé postupy automatizace jsou k dispozici pouze na webu Azure Portal. Jiné postupy automatizace jsou stejné na portálech Defender a Azure Portal, ale liší se na webu Azure Portal mezi pracovními prostory, které jsou nasazené na sjednocené operační platformě zabezpečení a pracovních prostorech, které nejsou. |
Další informace najdete v tématu Automatizace s jednotnou platformou operací zabezpečení. |
| Datové konektory: viditelnost konektorů používaných jednotnou platformou pro provoz zabezpečení | Pouze azure Portal | Po připojení Microsoft Sentinelu na portálu Defender se na stránce Datové konektory nezobrazují následující datové konektory, které jsou součástí sjednocené platformy operací zabezpečení: Na webu Azure Portal jsou tyto datové konektory stále uvedené s nainstalovanými datovými konektory v Microsoft Sentinelu. |
| Entity: Přidání entit do analýzy hrozeb z incidentů | Pouze azure Portal | Tato funkce není dostupná na sjednocené platformě operací zabezpečení. Další informace najdete v tématu Přidání entity do indikátorů hrozeb. |
| Fúze: Pokročilá detekce útoků s více fázemi | Pouze azure Portal | Pravidlo fúzní analýzy, které vytváří incidenty na základě korelací výstrah provedených modulem korelace Fusion, je zakázané, když microsoft Sentinel připojíte k jednotné platformě operací zabezpečení. Jednotná platforma pro operace zabezpečení používá funkce XDR v programu Microsoft Defender pro vytváření incidentů a korelace k nahrazení funkcí modulu Fusion. Další informace najdete v tématu Rozšířené zjišťování útoků s více fázemi v Microsoft Sentinelu. |
| Incidenty: Přidání výstrah do incidentů / Odebrání výstrah z incidentů |
Pouze portál Defender | Po nasazení služby Microsoft Sentinel na sjednocenou platformu operací zabezpečení už nemůžete přidávat výstrahy k incidentům na webu Azure Portal ani je z této platformy odebírat ani je odebírat. Výstrahu můžete odebrat z incidentu na portálu Defender, ale pouze propojením výstrahy s jiným incidentem (existujícím nebo novým). |
| Incidenty: Úpravy komentářů | Pouze azure Portal | Po onboardingu Microsoft Sentinelu na sjednocenou platformu operací zabezpečení můžete přidávat komentáře k incidentům na obou portálech, ale existující komentáře se nedají upravovat. Úpravy komentářů na webu Azure Portal se nesynchronizují s jednotnou platformou operací zabezpečení. |
| Incidenty: Programové a ruční vytváření incidentů | Pouze azure Portal | Incidenty vytvořené v Microsoft Sentinelu prostřednictvím rozhraní API, playbooku aplikace logiky nebo ručně z webu Azure Portal se nesynchronují s jednotnou platformou operací zabezpečení. Tyto incidenty se stále podporují na webu Azure Portal a v rozhraní API. Viz Ruční vytvoření vlastních incidentů v Microsoft Sentinelu. |
| Incidenty: Opětovné otevření uzavřených incidentů | Pouze azure Portal | Na sjednocené platformě operací zabezpečení nemůžete nastavit seskupení výstrah v analytických pravidlech Služby Microsoft Sentinel, aby se znovu otevřely zavřené incidenty, pokud se přidají nová upozornění. Uzavřené incidenty se v tomto případě znovu neotevře a nové výstrahy aktivují nové incidenty. |
| Incidenty: Úkoly | Pouze azure Portal | Úlohy nejsou k dispozici na jednotné platformě operací zabezpečení. Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu. |
| Správa více pracovních prostorů pro Microsoft Sentinel | Portál Defender: Omezeno na jeden pracovní prostor Služby Microsoft Sentinel na tenanta Azure Portal: Centrální správa více pracovních prostorů Microsoft Sentinelu pro tenanty |
V současné době se v jednotné platformě operací zabezpečení podporuje pouze jeden pracovní prostor Microsoft Sentinelu na tenanta. Správa víceklientů v programu Microsoft Defender proto podporuje jeden pracovní prostor Microsoft Sentinelu na tenanta. Další informace najdete v následujících článcích: – Portál Defender: Správa víceklientů v programu Microsoft Defender – Azure Portal: Správa více pracovních prostorů Služby Microsoft Sentinel pomocí správce pracovních prostorů |
Stručná referenční příručka
Některé funkce Microsoft Sentinelu, jako je sjednocená fronta incidentů, jsou integrované s XDR v programu Microsoft Defender v jednotné platformě operací zabezpečení. V části Microsoft Sentinel na portálu Defender je k dispozici řada dalších funkcí Microsoft Sentinelu .
Následující obrázek ukazuje nabídku Microsoft Sentinelu na portálu Defender:
Následující části popisují, kde najít funkce Služby Microsoft Sentinel na portálu Defender. Oddíly jsou uspořádané tak, jak je Microsoft Sentinel na webu Azure Portal.
OBECNÉ
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Obecné na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Přehled | Přehled |
| Protokoly | Prošetření a reakce > proaktivního vyhledávání pro pokročilé proaktivní > vyhledávání |
| Novinky a příručky | Není k dispozici |
| Hledání | Vyhledávání v Microsoft Sentinelu > |
Řízení rizik
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa hrozeb na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Incidenty | Incidenty vyšetřování a reakce > na incidenty a výstrahy > incidentů |
| Workbooks | Sešity správy> hrozeb v Microsoft Sentinelu > |
| Vyhledávání | Proaktivní vyhledávání pro správu > hrozeb v Microsoft Sentinelu > |
| Poznámkové bloky | Poznámkové bloky pro správu > hrozeb v Microsoft Sentinelu > |
| Chování entit | Stránka entity uživatele: Identity >prostředků > {user}> Sentinel – události Stránka entity zařízení: Zařízení >zařízení > {device}> Sentinel – události Najděte také stránky entit pro uživatele, zařízení, IP adresu a typy entit prostředků Azure z incidentů a výstrah, jak se zobrazují. |
| Analýza hrozeb | Analýza hrozeb pro správu > hrozeb v Microsoft Sentinelu > |
| MITRE ATT&CK | Správa > hrozeb pro Microsoft Sentinel > MITRE ATT&CK |
Správa obsahu
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa obsahu na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Centrum obsahu | Centrum obsahu správy > obsahu služby Microsoft Sentinel > |
| Úložiště | Úložiště správy > obsahu služby Microsoft Sentinel > |
| Komunita | Komunita správy > obsahu služby Microsoft Sentinel > |
Konfigurace
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Konfigurace na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Správce pracovních prostorů | Není k dispozici |
| Konektory dat | Konektory konfiguračních > dat služby Microsoft Sentinel > |
| Analýzy | Analýza konfigurace > Služby Microsoft Sentinel > |
| Seznamy ke zhlédnutí | Seznamy ke zhlédnutí konfigurace > služby Microsoft Sentinel > |
| Automation | Automatizace konfigurace > Microsoft Sentinelu > |
| Nastavení | > Nastavení systému > v Microsoft Sentinelu |