Sdílet prostřednictvím


Microsoft Sentinel na portálu Microsoft Defender

Tento článek popisuje prostředí Microsoft Sentinelu na portálu Microsoft Defender. Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace naleznete v tématu:

Nové a vylepšené funkce

Následující tabulka popisuje nové nebo vylepšené funkce dostupné na portálu Defender s integrací Microsoft Sentinelu a XDR v programu Defender.

Možnosti Popis
Pokročilý proaktivní vyhledávání Dotazování z jednoho portálu v různých datových sadách za účelem efektivnějšího proaktivního vyhledávání a odebrání potřeby přepínání kontextu K vygenerování KQL použijte Copilot for Security. Umožňuje zobrazit a dotazovat všechna data včetně dat ze služeb zabezpečení Microsoftu a Microsoft Sentinelu. Použijte veškerý obsah vašeho existujícího pracovního prostoru Microsoft Sentinelu, včetně dotazů a funkcí.

Další informace najdete v následujících článcích:
- Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
- Copilot pro zabezpečení v rozšířeném proaktivním vyhledávání
Narušení útoku Nasaďte automatické přerušení útoku pro SAP s jednotným provozním platformou zabezpečení i řešením Microsoft Sentinel pro aplikace SAP. Například obsahují ohrožené prostředky uzamčením podezřelých uživatelů SAP v případě útoku na manipulaci s finančními procesy.

Možnosti přerušení útoků pro SAP jsou dostupné jenom na portálu Defender. Pokud chcete pro SAP použít přerušení útoku, aktualizujte verzi agenta datového konektoru a ujistěte se, že je příslušná role Azure přiřazená identitě vašeho agenta.

Další informace najdete v tématu Automatické přerušení útoku pro SAP.
Optimalizace SOC Získejte vysoce věrná a užitečná doporučení, která vám pomůžou identifikovat oblasti pro:
- Snížení nákladů
- Přidání bezpečnostních prvků
– Přidání chybějících dat
Optimalizace SOC jsou k dispozici na portálech Defender a Azure Portal, jsou přizpůsobené vašemu prostředí a jsou založené na aktuálním pokrytí a na šířku hrozeb.

Další informace najdete v následujících článcích:
- Optimalizace operací zabezpečení
- Referenční informace k optimalizaci SOC doporučení
Sjednocené entity Stránky entit pro zařízení, uživatele, IP adresy a prostředky Azure na portálu Defender zobrazují informace ze zdrojů dat Microsoft Sentinelu a Defenderu. Tyto stránky entit poskytují rozšířený kontext pro vyšetřování incidentů a upozornění na portálu Defender.

Další informace najdete v tématu Zkoumání entit se stránkami entit v Microsoft Sentinelu.
Sjednocené incidenty Spravujte a prošetřujte incidenty zabezpečení v jednom umístění a z jedné fronty na portálu Defender. Použití Copilotu pro zabezpečení k shrnutí, reagování a sestavě Mezi incidenty patří:
- Data z šířky zdrojů
- Analytické nástroje AI pro správu informací o zabezpečení a událostí (SIEM)
– Kontextové nástroje a nástroje pro zmírnění rizik, které nabízí rozšířená detekce a reakce (XDR)

Další informace najdete v následujících článcích:
- Reakce na incidenty na portálu Microsoft Defender
- Zkoumání incidentů Služby Microsoft Sentinel ve službě Copilot for Security

Rozdíly mezi možnostmi mezi portály

Většina funkcí Služby Microsoft Sentinel je dostupná na portálech Azure i Defenderu. Na portálu Defender se některé prostředí Microsoft Sentinelu otevírají na webu Azure Portal, abyste mohli dokončit úkol.

Tato část se zabývá možnostmi nebo integracemi služby Microsoft Sentinel v rámci sjednocené provozní platformy zabezpečení, které jsou k dispozici pouze na portálu Azure Portal nebo na portálu Defender nebo v jiných významných rozdílech mezi portály. Vyloučí prostředí Microsoft Sentinelu, která otevřou Azure Portal z portálu Defender.

Schopnost Dostupnost Popis
Pokročilé proaktivní vyhledávání pomocí záložek Pouze azure Portal Záložky nejsou podporovány v rozšířeném prostředí proaktivního vyhledávání na portálu Microsoft Defender. Na portálu Defender jsou podporované v proaktivním vyhledávání > správy hrozeb microsoft Sentinelu>.

Další informace najdete v tématu Sledování dat během proaktivního vyhledávání pomocí Služby Microsoft Sentinel.
Přerušení útoku pro SAP Pouze portál Defender Tato funkce není dostupná na webu Azure Portal.

Další informace najdete v tématu Automatické přerušení útoku na portálu Microsoft Defender.
Automation Některé postupy automatizace jsou k dispozici pouze na webu Azure Portal.

Jiné postupy automatizace jsou stejné na portálech Defender a Azure Portal, ale liší se na webu Azure Portal mezi pracovními prostory, které jsou nasazené na sjednocené operační platformě zabezpečení a pracovních prostorech, které nejsou.


Další informace najdete v tématu Automatizace s jednotnou platformou operací zabezpečení.
Datové konektory: viditelnost konektorů používaných jednotnou platformou pro provoz zabezpečení Pouze azure Portal Po připojení Microsoft Sentinelu na portálu Defender se na stránce Datové konektory nezobrazují následující datové konektory, které jsou součástí sjednocené platformy operací zabezpečení:
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender pro Office 365 (Preview)
  • Microsoft Defender XDR
  • Microsoft Defender pro cloud založený na předplatném (starší verze)
  • Microsoft Defender pro cloud založený na tenantech (Preview)

    Na webu Azure Portal jsou tyto datové konektory stále uvedené s nainstalovanými datovými konektory v Microsoft Sentinelu.
  • Entity: Přidání entit do analýzy hrozeb z incidentů Pouze azure Portal Tato funkce není dostupná na sjednocené platformě operací zabezpečení.

    Další informace najdete v tématu Přidání entity do indikátorů hrozeb.
    Fúze: Pokročilá detekce útoků s více fázemi Pouze azure Portal Pravidlo fúzní analýzy, které vytváří incidenty na základě korelací výstrah provedených modulem korelace Fusion, je zakázané, když microsoft Sentinel připojíte k jednotné platformě operací zabezpečení.

    Jednotná platforma pro operace zabezpečení používá funkce XDR v programu Microsoft Defender pro vytváření incidentů a korelace k nahrazení funkcí modulu Fusion.

    Další informace najdete v tématu Rozšířené zjišťování útoků s více fázemi v Microsoft Sentinelu.
    Incidenty: Přidání výstrah do incidentů /
    Odebrání výstrah z incidentů
    Pouze portál Defender Po nasazení služby Microsoft Sentinel na sjednocenou platformu operací zabezpečení už nemůžete přidávat výstrahy k incidentům na webu Azure Portal ani je z této platformy odebírat ani je odebírat.

    Výstrahu můžete odebrat z incidentu na portálu Defender, ale pouze propojením výstrahy s jiným incidentem (existujícím nebo novým).
    Incidenty: Úpravy komentářů Pouze azure Portal Po onboardingu Microsoft Sentinelu na sjednocenou platformu operací zabezpečení můžete přidávat komentáře k incidentům na obou portálech, ale existující komentáře se nedají upravovat.

    Úpravy komentářů na webu Azure Portal se nesynchronizují s jednotnou platformou operací zabezpečení.
    Incidenty: Programové a ruční vytváření incidentů Pouze azure Portal Incidenty vytvořené v Microsoft Sentinelu prostřednictvím rozhraní API, playbooku aplikace logiky nebo ručně z webu Azure Portal se nesynchronují s jednotnou platformou operací zabezpečení. Tyto incidenty se stále podporují na webu Azure Portal a v rozhraní API. Viz Ruční vytvoření vlastních incidentů v Microsoft Sentinelu.
    Incidenty: Opětovné otevření uzavřených incidentů Pouze azure Portal Na sjednocené platformě operací zabezpečení nemůžete nastavit seskupení výstrah v analytických pravidlech Služby Microsoft Sentinel, aby se znovu otevřely zavřené incidenty, pokud se přidají nová upozornění.
    Uzavřené incidenty se v tomto případě znovu neotevře a nové výstrahy aktivují nové incidenty.
    Incidenty: Úkoly Pouze azure Portal Úlohy nejsou k dispozici na jednotné platformě operací zabezpečení.

    Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu.
    Správa více pracovních prostorů pro Microsoft Sentinel Portál Defender: Omezeno na jeden pracovní prostor Služby Microsoft Sentinel na tenanta

    Azure Portal: Centrální správa více pracovních prostorů Microsoft Sentinelu pro tenanty
    V současné době se v jednotné platformě operací zabezpečení podporuje pouze jeden pracovní prostor Microsoft Sentinelu na tenanta. Správa víceklientů v programu Microsoft Defender proto podporuje jeden pracovní prostor Microsoft Sentinelu na tenanta.

    Další informace najdete v následujících článcích:
    – Portál Defender: Správa víceklientů v programu Microsoft Defender
    – Azure Portal: Správa více pracovních prostorů Služby Microsoft Sentinel pomocí správce pracovních prostorů

    Stručná referenční příručka

    Některé funkce Microsoft Sentinelu, jako je sjednocená fronta incidentů, jsou integrované s XDR v programu Microsoft Defender v jednotné platformě operací zabezpečení. V části Microsoft Sentinel na portálu Defender je k dispozici řada dalších funkcí Microsoft Sentinelu .

    Následující obrázek ukazuje nabídku Microsoft Sentinelu na portálu Defender:

    Snímek obrazovky levé navigace portálu Defender s částí Microsoft Sentinel

    Následující části popisují, kde najít funkce Služby Microsoft Sentinel na portálu Defender. Oddíly jsou uspořádané tak, jak je Microsoft Sentinel na webu Azure Portal.

    OBECNÉ

    Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Obecné na webu Azure Portal.

    portál Azure Portál Defenderu
    Přehled Přehled
    Protokoly Prošetření a reakce > proaktivního vyhledávání pro pokročilé proaktivní > vyhledávání
    Novinky a příručky Není k dispozici
    Hledání Vyhledávání v Microsoft Sentinelu >

    Řízení rizik

    Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa hrozeb na webu Azure Portal.

    portál Azure Portál Defenderu
    Incidenty Incidenty vyšetřování a reakce > na incidenty a výstrahy > incidentů
    Workbooks Sešity správy> hrozeb v Microsoft Sentinelu >
    Vyhledávání Proaktivní vyhledávání pro správu > hrozeb v Microsoft Sentinelu >
    Poznámkové bloky Poznámkové bloky pro správu > hrozeb v Microsoft Sentinelu >
    Chování entit Stránka entity uživatele: Identity >prostředků > {user}> Sentinel – události
    Stránka entity zařízení: Zařízení >zařízení > {device}> Sentinel – události

    Najděte také stránky entit pro uživatele, zařízení, IP adresu a typy entit prostředků Azure z incidentů a výstrah, jak se zobrazují.
    Analýza hrozeb Analýza hrozeb pro správu > hrozeb v Microsoft Sentinelu >
    MITRE ATT&CK Správa > hrozeb pro Microsoft Sentinel > MITRE ATT&CK

    Správa obsahu

    Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa obsahu na webu Azure Portal.

    portál Azure Portál Defenderu
    Centrum obsahu Centrum obsahu správy > obsahu služby Microsoft Sentinel >
    Úložiště Úložiště správy > obsahu služby Microsoft Sentinel >
    Komunita Komunita správy > obsahu služby Microsoft Sentinel >

    Konfigurace

    Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Konfigurace na webu Azure Portal.

    portál Azure Portál Defenderu
    Správce pracovních prostorů Není k dispozici
    Konektory dat Konektory konfiguračních > dat služby Microsoft Sentinel >
    Analýzy Analýza konfigurace > Služby Microsoft Sentinel >
    Seznamy ke zhlédnutí Seznamy ke zhlédnutí konfigurace > služby Microsoft Sentinel >
    Automation Automatizace konfigurace > Microsoft Sentinelu >
    Nastavení > Nastavení systému > v Microsoft Sentinelu