Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel je k dispozici na portálu Microsoft Defender s Microsoft Defender XDR nebo samostatně. Poskytuje jednotné prostředí napříč SIEM a XDR pro rychlejší, přesnější detekci a reakci na hrozby, jednodušší pracovní postupy a lepší provozní efektivitu.
Tento článek vysvětluje, jak převést prostředí Microsoft Sentinel z portálu Azure na portál Defender. Pokud používáte Microsoft Sentinel na portálu Azure, přejděte na Microsoft Defender pro sjednocené operace zabezpečení a nejnovější funkce. Další informace naleznete v Microsoft Sentinel na portálu Microsoft Defender nebo si prohlédněte náš seznam videí na YouTube.
Poznámka:
Přechod na portál Defender, i pro zákazníky bez E5, nemá pro zákazníka žádné další náklady. Zákazník bude dál účtován jako obvykle pouze za svou spotřebu v rámci služby Sentinel.
Požadavky
Než začnete, poznámka:
Tento článek je určený pro zákazníky s existujícím pracovním prostorem povoleným pro Microsoft Sentinel, kteří chtějí přejít Microsoft Sentinel prostředí na portál Defender. Pokud jste nový zákazník, který se připojil s oprávněními k předplatnému Owner nebo jako správce přístupů uživatelů, vaše pracovní prostory jsou automaticky přidány do portálu Defender.
Některé funkce Microsoft Sentinel mají nová umístění na portálu Defender. Další informace najdete v tématu Stručná referenční příručka.
Pokud je to relevantní, podrobné požadavky jsou v odkazovaných článcích pro každý krok.
Plánování a nastavení přechodného prostředí
Cílová skupina: Architekti zabezpečení
Videa:
- Onboarding pracovního prostoru Microsoft Sentinel v prostředí Microsoft Defender
- Správa jednotného řízení přístupu na základě rolí v Microsoft Defender
Kontrola pokynů k plánování, dokončení požadavků a onboardingu
Než svůj pracovní prostor zprovozníte na portálu Defender, projděte si všechny pokyny k plánování a dokončete všechny předpoklady. Další informace najdete v následujících článcích:
Plán pro sjednocené operace zabezpečení na portálu Defender. Po přihlášení do portálu Defender je role přispěvatele Microsoft Sentinel přiřazena k aplikacím Microsoft Threat Protection a WindowsDefenderATP ve vašem předplatném.
Spravujte oprávnění v Microsoft Sentinel a Defender XDR na portálu Defender. Tento blogový příspěvek vysvětluje, jak fungují oprávnění Microsoft Sentinel a Defender XDR na jednotném portálu Defender, co očekávat při přechodu, a také úvod do nového jednotného řízení přístupu na základě role (URBAC). Chcete-li si přečíst více o URBAC, podívejte se na Map Microsoft Defender XDR sjednocená oprávnění RBAC k existujícím oprávněním RBAC.
Nasadit pro sjednocené bezpečnostní operace v portálu Defender. Tento článek je určený pro nové zákazníky, kteří ještě nemají pracovní prostor pro Microsoft Sentinel nebo jiné služby připojené k portálu Defender, použijte ho jako referenci, pokud přecházíte na portál Defender.
Popojte Microsoft Sentinel k portálu Defender. Tento článek uvádí požadavky pro onboarding pracovního prostoru na portálu služby Microsoft Defender. Pokud plánujete používat Microsoft Sentinel bez Defender XDR, musíte provést další krok, který aktivuje připojení mezi Microsoft Sentinel a portálem Defender.
Kontrola rozdílů v úložišti dat a ochraně osobních údajů
Při použití portálu Azure platí zásady Microsoft Sentinel pro ukládání, zpracování, uchovávání a sdílení dat. Při použití portálu Defender se místo toho použijí zásady Microsoft Defender XDR, a to i při práci s daty Microsoft Sentinel.
Následující tabulka obsahuje další podrobnosti a odkazy, abyste mohli porovnat prostředí na portálech Azure a Defender.
| Oblast podpory | portál Azure | portál Defender |
|---|---|---|
| BCDR | Zákazníci zodpovídají za replikaci dat. | Microsoft Defender používá automatizaci pro BCDR v ovládacích podoknech. |
| Ukládání a zpracování dat |
-
Umístění úložiště dat - Podporované oblasti |
Umístění úložiště dat |
| Uchovávání dat | Uchovávání dat | Uchovávání dat |
| Sdílení dat | Sdílení dat | Sdílení dat |
Další informace najdete tady:
- Geografická dostupnost a umístění dat v Microsoft Sentinel
- Bezpečnost a uchovávání dat v Microsoft Defender XDR
Přihlášení na portál Defender s klíči spravovanými zákazníkem (CMK)
Pokud jste povolili CMK před zahájením onboardingu, při připojení vašeho pracovního prostoru s podporou Microsoft Sentinel do portálu Defender se všechna data protokolu v pracovním prostoru nadále šifrují pomocí CMK. To zahrnuje jak dříve, tak nově přijatá data.
Analytická pravidla a další obsah služby Sentinel, jako jsou pravidla automatizace, jsou i nadále šifrovaná pomocí cmk. Výstrahy a incidenty se ale po onboardingu už nebudou šifrovat pomocí klíče CMK.
Další informace o CMK (klíč spravovaný zákazníkem) najdete v tématu Nastavit klíč spravovaný zákazníkem v Microsoft Sentinel.
Důležité
Šifrování CMK není plně podporováno pro data uložená v datovém jezeře Microsoft Sentinel. Všechna data přijatá do datového jezera , jako jsou vlastní tabulky nebo transformovaná data, se šifrují pomocí Microsoft spravovaných klíčů.
Konfigurace správy vícepracovního prostoru a vícetenantní správy
Defender podporuje jeden nebo více pracovních prostorů napříč více tenanty prostřednictvím portálu multitenant, který slouží jako centrální místo pro správu incidentů a výstrah, vyhledávání hrozeb napříč tenanty a umožňuje partnerům spravovaných služeb zabezpečení (MSSP) vidět napříč zákazníky.
Ve scénářích s více pracovními prostory umožňuje portál s více tenanty připojit jeden primární pracovní prostor a více sekundárních pracovních prostorů na tenanta. Připojte každý pracovní prostor k portálu Defender samostatně pro každého tenanta, stejně jako při onboardingu pro jednoho tenanta.
Další informace najdete tady:
Azure Lighthouse dokumentace. Azure Lighthouse umožňuje používat Microsoft Sentinel data z jiných tenantů napříč onboardovanými pracovními prostory. Můžete například spouštět dotazy mezi pracovními prostory s operátorem
workspace()v pokročilých pravidlech pro vyhledávání a analýzu.Microsoft Entra B2B. Microsoft Entra B2B umožňuje přístup k datům napříč tenanty. GDAP pro Microsoft Sentinel je ve verzi Preview.
Konfigurace a kontrola nastavení a obsahu
Cílová skupina: Technici zabezpečení
Video: Spravování konektorů v Microsoft Defender
Potvrzení a konfigurace shromažďování dat
Při integraci Microsoft Sentinel s Microsoft Defender zůstává základní architektura shromažďování dat a toku telemetrie nedotčená. Stávající konektory nakonfigurované v Microsoft Sentinel, ať už pro Microsoft Defender produkty nebo jiné zdroje dat, budou bez přerušení fungovat.
Z Log Analytics hlediska integrace Microsoft Sentinel do Microsoft Defender neuvádí žádnou změnu základního kanálu příjmu dat ani schématu dat. Navzdory sjednocení front-endu zůstává back-end Microsoft Sentinel plně integrovaný s Log Analytics pro ukládání dat, vyhledávání a korelaci.
Výstrahy související s produkty Defender se streamují přímo z konektoru Microsoft Defender XDR, aby byla zajištěna konzistence. Ujistěte se, že máte v pracovním prostoru zapnuté incidenty a výstrahy z tohoto konektoru. Jakmile tento datový konektor nakonfigurujete ve svém pracovním prostoru, pojení pracovního prostoru z Microsoft Defender také odpojí konektor Microsoft Defender XDR.
Poznámka:
Výsledkem této změny v konektorech jsou rozdíly ve schématu některých výstrah. Podrobné porovnání najdete v tématu Rozdíly ve schématu upozornění: Samostatný vs. konektor XDR.
Další informace najdete v tématu Pojení dat z Microsoft Defender XDR do Microsoft Sentinel.
Proveďte integraci s Microsoft Defender for Cloud
- Pokud pro Defender for Cloud používáte datový konektor založený na tenantovi, nezapomeňte provést akci, která zabrání duplicitním událostem a upozorněním.
- Pokud místo toho používáte starší konektor založený na předplatném, ujistěte se, že nechcete synchronizovat incidenty a výstrahy pro Microsoft Defender.
Další informace najdete v tématu Alerts a incidenty v Microsoft Defender.
Viditelnost datového konektoru na portálu Defender
Po připojení pracovního prostoru k Defender se pro sjednocené operace zabezpečení používají následující datové konektory a nezobrazují se na stránce Data connectors na portálu Defender:
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365 (Preview)
- Microsoft Defender XDR
- Microsoft Defender for Cloud na základě předplatného (starší verze)
- (Preview) Microsoft Defender pro Cloud pro tenanta
Tyto datové konektory jsou dál uvedené v Microsoft Sentinel na portálu Azure.
Konfigurace ekosystému
I když Microsoft Sentinel Workspace Manager není na portálu Defender k dispozici, použijte jednu z následujících alternativních funkcí pro distribuci obsahu jako kódu mezi pracovní prostory:
Nasaďte obsah jako kód z úložiště (Public Preview). Ke správě a nasazování konfigurací napříč Microsoft Sentinel a Defender pomocí sjednocených pracovních postupů CI/CD používejte soubory YAML nebo JSON v GitHub nebo Azure DevOps.
Portál s více tenanty Portál Microsoft Defender s více tenanty podporuje správu a distribuci obsahu napříč několika tenanty.
Jinak pokračujte v nasazování balíčků řešení, které obsahují různé typy obsahu zabezpečení z centra obsahu na portálu Defender. Další informace najdete v tématu Objevování a správa obsahu Microsoft Sentinel.
Konfigurace analytických pravidel
Microsoft Sentinel analytická pravidla jsou dostupná na portálu Defender pro detekci, konfiguraci a správu. Funkce analytických pravidel zůstávají stejné, včetně vytváření, aktualizace a správy prostřednictvím průvodce, úložišť a rozhraní MICROSOFT SENTINEL API. Korelace incidentů a detekce útoků ve více fázích také nadále fungují na portálu Defender. Funkce korelace výstrah spravované pravidlem fúzní analýzy na portálu Azure zpracovává modul Defender XDR na portálu Defender, který konsoliduje všechny signály na jednom místě.
Při přechodu na portál Defender je důležité si uvědomit následující změny:
| Vlastnost | Popis |
|---|---|
| Vlastní pravidla detekce | Pokud máte případy použití pro detekci, které zahrnují data Defender XDR a Microsoft Sentinel, a nepotřebujete uchovávat data z Defender XDR déle než 30 dnů, doporučujeme vytvořit vlastní pravidla detekce, která se dotazují na data z tabulek Microsoft Sentinel a Defender XDR. Toto je podporováno bez nutnosti importovat data Defender XDR do Microsoft Sentinel. Další informace najdete v tématu Použití vlastních funkcí Microsoft Sentinel v rozšířeném vyhledávání v Microsoft Defender. |
| Korelace výstrah | Na portálu Defender se korelace automaticky použijí na data z Microsoft Defenderu i na data třetích stran ingestovaná z Microsoft Sentinel, bez ohledu na scénáře výstrah. Kritéria použitá ke vzájemné korelaci výstrah v jednom incidentu jsou součástí proprietární logiky interní korelace portálu Defender. Další informace najdete v tématu Korelaci výstrah a sloučení incidentů v portálu Defender. |
| Seskupení výstrah a slučování incidentů | I když se v pravidlech analýzy stále zobrazí konfigurace seskupení výstrah, modul korelace Defender XDR plně řídí seskupení výstrah a slučování incidentů v případě potřeby na portálu Defender. Tím zajistíte komplexní přehled celého scénáře útoku tím, že spojíte relevantní výstrahy pro útoky ve více fázích. Například několik individuálních analytických pravidel nakonfigurovaných tak, aby vygenerovalo incident pro každou výstrahu, může vést ke sloučeným incidentům, pokud odpovídají Defender XDR logiky korelace. |
| Viditelnost výstrahy | Pokud máte Microsoft Sentinel analytická pravidla nakonfigurovaná tak, aby aktivovala jenom výstrahy s vypnutým vytvářením incidentů, tato upozornění se na portálu Defender nezobrazují. |
| Ladění upozornění | Jakmile je pracovní prostor Microsoft Sentinel zapojen s Defenderem, všechny incidenty, včetně těch z vašich analytických pravidel Microsoft Sentinel, jsou generovány engine Defender XDR. V důsledku toho se možnosti ladění výstrah v portálu Defender, které byly dříve dostupné pouze pro výstrahy Defender XDR, dají nyní použít na výstrahy z Microsoft Sentinel. Tato funkce umožňuje zjednodušit reakci na incidenty automatizací řešení běžných výstrah, snížením falešně pozitivních výsledků a minimalizací šumu, aby analytici mohli určit prioritu významných incidentů zabezpečení. |
| Fúze: Pokročilá detekce víceúrovňových útoků | Pravidlo fúzní analýzy, které na portálu Azure vytváří incidenty na základě korelací výstrah provedených modulem fúzní korelace, se zakáže, když připojíte Microsoft Sentinel na portál Defender. Nepřijdete o funkci korelace výstrah, protože portál Defender používá funkce Microsoft Defender XDR pro vytváření incidentů a jejich korelaci, čímž nahrazuje funkce fúzního modulu. Další informace najdete v tématu Advanced multistage attack detection in Microsoft Sentinel |
Konfigurujte pravidla automatizace a scénáře
V Microsoft Sentinel jsou playbooky založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která pomáhá plánovat, automatizovat a orchestrovat úkoly a pracovní postupy napříč systémy v celém podniku.
Následující omezení platí pro pravidla automatizace Microsoft Sentinel a playbooky při práci na portálu Defender. Při provádění přechodu možná budete muset ve svém prostředí udělat nějaké změny.
| Funkčnost | Popis |
|---|---|
| Pravidla automatizace s triggery upozornění | Na portálu Defender se pravidla automatizace se spouštěmi upozornění používají pouze na výstrahy Microsoft Sentinel. Další informace najdete v Spouštěč vytvoření výstrahy. |
| Pravidla automatizace s triggery incidentů | Na portálu Azure i na portálu Defender se odebere vlastnost podmínky Incident, protože všechny incidenty mají Microsoft XDR jako poskytovatele incidentu (hodnota v poli ProviderName). V tomto okamžiku se všechna existující pravidla automatizace spouští na incidentech v Microsoft Sentinel i Microsoft Defender XDR, včetně těch, u kterých je podmínka Poskytovatel incidentu nastavena pouze na Microsoft Sentinel nebo Microsoft 365 Defender. Pravidla automatizace, která určují konkrétní název analytického pravidla, se však spouští pouze u incidentů, které obsahují výstrahy vytvořené zadaným analytickým pravidlem. To znamená, že můžete definovat vlastnost podmínky Analytického pravidla pro analytické pravidlo, které existuje pouze v Microsoft Sentinel, abyste omezili jeho spuštění na incidenty jenom v Microsoft Sentinel. Po připojení k portálu Defender také tabulka SecurityIncident už neobsahuje pole Description. Proto: – Pokud používáte toto pole Description jako podmínku pro pravidlo automatizace s triggerem vytvoření incidentu, nebude toto pravidlo automatizace fungovat po onboardingu na portálu Defender. V takových případech nezapomeňte konfiguraci odpovídajícím způsobem aktualizovat. Další informace najdete v části Podmínky pro spuštění incidentu. – Pokud máte integraci nakonfigurovanou s externím systémem lístků, jako je ServiceNow, popis incidentu bude chybět. |
| Latence v událostech playbooku | Může trvat až 5 minut, než se Microsoft Defender incidenty zobrazí v Microsoft Sentinel. Pokud toto zpoždění existuje, aktivace playbooku je také zpožděná. |
| Změny existujících názvů incidentů | Portál Defender používá k korelaci incidentů a výstrah jedinečný modul. Při přidávání vašeho pracoviště na portál Defender mohou být při použití korelace změněny existující názvy incidentů. Pokud chcete zajistit, aby pravidla automatizace vždy fungovala správně, doporučujeme proto, abyste v pravidlech automatizace nepoužíli názvy incidentů jako kritéria podmínek, a doporučujeme místo toho použít název libovolného analytického pravidla, které vytvořilo výstrahy zahrnuté v incidentu, a značky, pokud se vyžaduje konkrétnější. |
| Aktualizováno podle pole | Pro více informací se podívejte na Spouštěč aktualizace incidentu. |
| Vytvoření pravidel automatizace přímo z incidentu | Vytváření pravidel automatizace přímo z incidentu se podporuje jenom na portálu Azure. Pokud pracujete na portálu Defender, vytvořte pravidla automatizace úplně od začátku ze stránky Automation. |
| Pravidla vytváření incidentů Microsoftu | Na portálu Defender nejsou podporována pravidla vytváření incidentů Microsoft. Další informace najdete v tématu Microsoft Defender XDR incidenty a pravidla vytváření incidentů Microsoft. |
| Spuštění automatizačních pravidel z portálu Defender | Spuštění pravidla automatizace může trvat až 10 minut od aktivace výstrahy a vytvoření nebo aktualizace incidentu na portálu Defender. Tato prodleva je způsobená tím, že se incident vytvoří na portálu Defender a pak se předá do Microsoft Sentinel pro pravidlo automatizace. |
| Aktivní karta playbooků | Po připojení k portálu Defender se ve výchozím nastavení na kartě Aktivní playbooky zobrazí předdefinovaný filtr s předdefinovaným předplatným pracovního prostoru. Na portálu Azure přidejte data pro jiná předplatná pomocí filtru předplatného. Další informace najdete v tématu Vytvoření a přizpůsobení playbooků Microsoft Sentinel ze šablon. |
| Ruční spouštění playbooků na vyžádání | Na portálu Defender se v současné době nepodporují následující postupy: |
| Spouštění playbooků v incidentech vyžaduje synchronizaci Microsoft Sentinel | Pokud se pokusíte spustit playbook v portálu Defender na incidentu a zobrazí se zpráva "Nejde získat přístup k datům souvisejícím s touto akcí. Aktualizujte obrazovku za několik minut.", znamená to, že se incident ještě nesynchronizoval s Microsoft Sentinel. Obnovte stránku incidentu po synchronizaci incidentu, aby se příručka úspěšně spustila. |
|
Incidenty: Přidání výstrah do incidentů / Odebrání upozornění z incidentů |
Protože po připojení pracovního prostoru k portálu Defender nelze přidávat ani odebírat upozornění z incidentů, tyto akce nejsou také podporovány v rámci playbooků. Další informace najdete v tématu Porozumět tomu, jak jsou výstrahy korelovány a incidenty sloučeny v portálu Defender. |
| integrace Microsoft Defender XDR do více pracovních prostorů | Pokud jste integrovali data XDR s více než jedním pracovním prostorem v jednom tenantovi, data se teď ingestují jenom do primárního pracovního prostoru na portálu Defender. Přeneste pravidla automatizace do příslušného pracovního prostoru, aby byly spuštěné. |
| Automatizace a modul korelace | Korelační modul může kombinovat výstrahy z více signálů do jednoho incidentu, což může vést k automatizaci příjmu dat, která jste neočekávali. Doporučujeme zkontrolovat pravidla automatizace, abyste měli jistotu, že se zobrazují očekávané výsledky. |
Konfigurace rozhraní API
Sjednocené prostředí na portálu Defender zavádí klíčové změny incidentů a výstrah z rozhraní API. Podporuje volání rozhraní API na základě rozhraní Microsoft Graph REST API verze 1.0, které se dají použít pro automatizaci související s výstrahami, incidenty, pokročilým vyhledáváním atd.
Rozhraní API Microsoft Sentinel nadále podporuje akce pro prostředky Microsoft Sentinel, jako jsou analytická pravidla, pravidla automatizace a další funkce. Pro interakci s jednotnými incidenty a výstrahami doporučujeme použít rozhraní MICROSOFT GRAPH REST API.
Pokud k interakci s Microsoft Sentinel incidenty používáte rozhraní API Microsoft Sentinel SecurityInsights, budete možná muset aktualizovat podmínky automatizace a kritéria triggeru kvůli změnám v textu odpovědi.
Následující tabulka uvádí pole, která jsou důležitá v fragmentech odpovědí, a porovnává je napříč portály Azure a Defender:
| Funkčnost | portál Azure | portál Defender |
|---|---|---|
| Propojení s incidentem |
incidentUrl: Přímá adresa URL incidentu na portálu Microsoft Sentinel |
providerIncidentUrl : Toto další pole poskytuje přímý odkaz na incident, který lze použít k synchronizaci těchto informací se systémem lístků třetí strany, jako je ServiceNow. incidentUrl je stále k dispozici, ale odkazuje na portál Microsoft Sentinel. |
| Zdroje, které aktivovaly detekci a publikovaly výstrahu | alertProductNames |
alertProductNames: Vyžaduje přidání ?$expand=alerts do GET. Například https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Název poskytovatele upozornění |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Služba nebo produkt, který výstrahu vytvořil | Na portálu Azure neexistuje. | serviceSource Například "microsoftDefenderForCloudApps" |
| Technologie detekce nebo senzor, který identifikoval důležitou součást nebo aktivitu | Na portálu Azure neexistuje. |
detectionSource Například cloudAppSecurity |
| Název produktu, který publikoval toto upozornění | Na portálu Azure neexistuje. |
productName Například "Microsoft Defender for Cloud Apps" |
Spouštění operací na portálu Defender
Cílová skupina: Analytici zabezpečení
Videa:
- Objevte a spravujte obsah Microsoft Sentinel a analýzu hrozeb v Microsoft Defender
- Vytvořte automatizaci a sešity v Microsoft Defender
- Korelace upozornění v Microsoft Defenderu
- Šetření incidentů v programu Microsoft Defender
- Správa případů v Microsoft Defender
- Pokročilé prohledávání v Microsoft Defenderu
- optimalizace SOC v Microsoft Defender
Aktualizace procesů třídění incidentů pro portál Defender
Pokud jste Microsoft Sentinel použili na portálu Azure, na portálu Defender si všimnete významných vylepšení uživatelského prostředí. I když možná budete muset aktualizovat procesy SOC a přetrénovat analytiky, návrh konsoliduje všechny relevantní informace na jednom místě, aby poskytoval efektivnější a efektivnější pracovní postupy.
Sjednocená fronta incidentů na portálu Defender konsoliduje všechny incidenty napříč produkty do jediného zobrazení, což ovlivňuje, jak analytici třídí incidenty, které nyní zahrnují více výstrah z různých oblastí zabezpečení. Například:
- Tradičně analytici třídí incidenty na základě konkrétních domén zabezpečení nebo odborností a často zpracovávají jednotlivé úkoly pro entity, jako je uživatel nebo hostitel. Tento přístup může vytvářet slepá místa, na které se má sjednocené prostředí zaměřit.
- Když se útočník přesune bočně, související výstrahy můžou skončit v samostatných incidentech kvůli různým doménám kyberbezpečnosti. Jednotné prostředí eliminuje tento problém tím, že poskytuje komplexní zobrazení, takže všechna související upozornění korelují a spravují se jednotně.
Analytici také můžou zobrazit zdroje detekce a názvy produktů na portálu Defender a použít a sdílet filtry pro efektivnější třídění incidentů a výstrah.
Jednotný proces třídění může pomoct snížit úlohy analytiků a dokonce i potenciálně kombinovat role analytiků vrstvy 1 a vrstvy 2. Jednotný proces třídění ale může vyžadovat také širší a hlubší znalosti analytika. Doporučujeme trénování na novém portálovém rozhraní, abyste zajistili hladký přechod.
Další informace najdete v tématu Znamy a výstrahy na portálu Microsoft Defender.
Vysvětlení korelace výstrah a sloučení incidentů na portálu Defender
Defenderův korelační engine slučuje incidenty, když rozpozná běžné prvky mezi alerty v samostatných incidentech. Když nová výstraha splňuje kritéria korelace, Microsoft Defender agreguje a koreluje s dalšími souvisejícími výstrahami ze všech zdrojů detekce do nového incidentu. Po zprovoznění Microsoft Sentinel na portálu Defender odhalí sjednocená fronta incidentů komplexnější útok, což analytikům zefektivňuje a poskytuje kompletní scénář útoku.
Ve scénářích s více pracovními prostory korelují pouze výstrahy z primárního pracovního prostoru s Microsoft Defender XDR daty. Existují také konkrétní scénáře, ve kterých se incidenty nesloučí.
Po připojení Microsoft Sentinel na portál Defender se na incidenty a výstrahy vztahují následující změny:
| Vlastnost | Popis |
|---|---|
| Zpoždění hned po onboardingu pracovního prostoru | Úplná integrace incidentů z Microsoft Defenderu s Microsoft Sentinel může trvat až 5 minut. To nemá vliv na funkce poskytované přímo Microsoft Defender, jako je například automatické přerušení útoku. |
| Pravidla vytváření incidentů zabezpečení | Všechny aktivní Microsoft pravidla vytváření incidentů zabezpečení se deaktivují, aby se zabránilo vytváření duplicitních incidentů. Nastavení vytváření incidentů v jiných typech analytických pravidel zůstávají tak, jak jsou, a jsou konfigurovatelná na portálu Defender. |
| Název poskytovatele incidentu | Na portálu Defender je název poskytovatele incidentu vždy Microsoft XDR. |
| Přidání nebo odebrání výstrah z incidentů | Přidávání nebo odebírání výstrah Microsoft Sentinel do incidentů nebo z nich je podporováno pouze v portálu Defender. Pokud chcete výstrahu z incidentu odebrat na portálu Defender, musíte ji přidat k jinému incidentu. |
| Úpravy komentářů | Přidejte komentáře k incidentům na portálu Defender nebo Azure, ale úpravy existujících komentářů se na portálu Defender nepodporují. Úpravy komentářů na portálu Azure se nesynchronují s portálem Defender. |
| Programové a ruční vytváření incidentů | Incidenty vytvořené v Microsoft Sentinel prostřednictvím rozhraní API, playbooku Logic App nebo ručně z Azure portálu se nesynchronizují s portálem Defender. Tyto incidenty jsou stále podporovány v portálu Azure a v rozhraní API. Viz Ruční vytvoření vlastních incidentů v Microsoft Sentinel. |
| Opětovné otevření uzavřených incidentů | Na portálu Defender nemůžete nastavit seskupení výstrah v analytických pravidlech Microsoft Sentinel, aby se při přidání nových výstrah znovu otevřely zavřené incidenty. Uzavřené incidenty se v tomto případě znovu neotevřou a nové výstrahy vyvolají nové incidenty. |
Další informace najdete v tématu Incidenty a výstrahy na portálu Microsoft Defender a Korelace upozornění a slučování incidentů na portálu Microsoft Defender.
Všimněte si změn týkajících se vyšetřování pomocí pokročilého vyhledávání.
Po integraci Microsoft Sentinel do portálu Defender můžete přistupovat k vašim stávajícím tabulkám protokolů, dotazům Kusto Query Language (KQL) a funkcím na stránce Advanced hunting. Všechna upozornění Microsoft Sentinel vázaná na incidenty jsou importována do tabulky AlertInfo, která je přístupná ze stránky Advanced hunting.
Některé funkce, jako například záložky, nejsou v rozšířeném proaktivním vyhledávání podporovány. Místo toho se záložky podporují na portálu Defender v části Microsoft Sentinel > Správa hrozeb > Hunting.
Další informace najdete v tématu Pokročilý lov s daty Microsoft Sentinel v Microsoft Defenderu, zejména seznam známé problémy a Sledujte data během lovu s Microsoft Sentinel.
Prozkoumejte entity v portálu Defender
Na portálu Microsoft Defender jsou entity obecně buď prostředky, například účty, hostitelé nebo poštovní schránky, nebo důkazy, jako jsou IP adresy, soubory nebo adresy URL.
Po připojení Microsoft Sentinel na portál Defender se stránky entit pro uživatele, zařízení a IP adresy konsolidují do jednoho zobrazení s komplexním pohledem na aktivitu a kontext entity, s daty z Microsoft Sentinel i Microsoft Defender XDR.
Portál Defender také poskytuje globální panel hledání, který centralizuje výsledky ze všech entit, abyste mohli prohledávat SIEM a XDR.
Další informace najdete na stránkách Entity v Microsoft Sentinel.
Prozkoumání pomocí UEBA na portálu Defender
Většina funkcí analýzy chování uživatelů a entit (UEBA) zůstává na portálu Defender stejná jako na portálu Azure s následujícími výjimkami:
Přidávání entit do analýzy hrozeb z incidentů se podporuje jenom na portálu Azure. Další informace najdete v tématu Přidání entity do indikátorů hrozeb.
Při připojování Microsoft Sentinel na portál Microsoft Defender je tabulka
IdentityInfodostupná jak v prostředí pokročilého vyhledávání Microsoft Defender, tak v pracovním prostoru Log Analytics služby Sentinel. TabulkaIdentityInfopoužitá v rozšířeném vyhledávání obsahuje sjednocená pole z Defender XDR i Microsoft Sentinel. Některá pole, která existují v tabulce pracovního prostoru služby Sentinel Log Analytics, se přejmenují nebo nejsou podporována v tabulce rozšířeného vyhledávání. Nezapomeňte zkontrolovat a aktualizovat všechny dotazy spuštěné v Microsoft Defender, jako jsou rozšířené dotazy proaktivního vyhledávání nebo vlastní detekce. Microsoft Sentinel analytická pravidla, sešity a další dotazy Sentinel nadále používají tabulkuIdentityInfov pracovním prostoru Log Analytics a nejsou tím ovlivněny. Další informace a porovnání schémat tabulek v prostředí Pokročilého vyhledávání a Log Analytics najdete v tématu TabulkaIdentityInfo.
Důležité
Při přechodu na portál Defender se tabulka IdentityInfo stane nativní tabulkou Defender, která nepodporuje řízení přístupu na úrovni tabulky (RBAC). Pokud vaše organizace používá řízení přístupu na úrovni tabulky k omezení přístupu k tabulce IdentityInfo na portálu Azure, nebude toto řízení přístupu po přechodu na portál Defender k dispozici.
Aktualizace procesů vyšetřování pro použití Microsoft Defender analýzy hrozeb
Pro Microsoft Sentinel zákazníky, kteří se přesouvají z portálu Azure na portál Defender, se známé funkce analýzy hrozeb uchovávají na portálu Defender v rámci správy Intel a vylepšené s dalšími funkcemi analýzy hrozeb dostupnými na portálu Defender. Podporované funkce závisí na licencích, které máte, například:
| Vlastnost | Popis |
|---|---|
| Analýza hrozeb | Podporováno pro zákazníky Microsoft Defender XDR. Řešení v rámci produktu poskytované Microsoft výzkumníky v oblasti zabezpečení navržené tak, aby pomohlo týmům zabezpečení tím, že nabízí přehled o vznikajících hrozbách, aktivních hrozbách a jejich dopadech. Data se zobrazují v intuitivním řídicím panelu s kartami, řádky dat, filtry a dalšími daty. |
| Profily Intel | Podporováno pro zákazníky Analýza hrozeb v programu Microsoft Defender. Kategorizace hrozeb a chování podle profilu aktéra hrozeb, což usnadňuje sledování a korelaci. Mezi tyto profily patří všechny indikátory kompromitace (IoC) související s taktikou, technikami a nástroji používanými při útocích. |
| Intel Explorer | Podporováno pro zákazníky Analýza hrozeb v programu Microsoft Defender. Konsoliduje dostupné IoCs a poskytuje články související s hrozbami, jakmile jsou publikovány, což umožňuje bezpečnostním týmům zůstat informovaní o nově vznikajících hrozbách. |
| Projekty Intel | Podporováno pro zákazníky Analýza hrozeb v programu Microsoft Defender. Umožňuje týmům konsolidovat analýzu hrozeb do projektu a zkontrolovat tak všechny artefakty související s konkrétním scénářem zájmu. |
Na portálu Defender použijte ThreatIntelOjbects a ThreatIntelIndicators společně s indikátory kompromitace pro proaktivní vyhledávání hrozeb, reakce na incidenty pomocí Copilot, vytváření sestav a k vytváření relačních grafů zobrazující propojení mezi indikátory a entitami.
Pro zákazníky, kteří používají informační kanál Analýza hrozeb v programu Microsoft Defender (MDTI), je k dispozici bezplatná verze prostřednictvím datového konektoru Microsoft Sentinel pro MDTI. Uživatelé s licencemi MDTI mohou také ingestovat data MDTI a používat Security Copilot pro analýzu hrozeb, aktivní kontrolu hrozeb a výzkum subjektů hrozeb.
Další informace najdete tady:
- Řízení hrozeb
- Analýza hrozeb v Microsoft Defender XDR
- Použití projektů
- Analýza hrozeb v Microsoft Sentinel
Použijte sešity k vizualizaci a vytváření sestav dat Microsoft Defenderu
Pracovní knihy Azure zůstávají hlavním nástrojem pro vizualizaci dat a interaktivitu na portálu Defender, přičemž pracují stejně jako na portálu Azure.
Pokud chcete používat sešity s daty z rozšířeného proaktivního vyhledávání, ujistěte se, že ingestujete protokoly do Microsoft Sentinel.
Další informace naleznete v tématu Vizualizujte a monitorujte svá data pomocí sešitů v Microsoft Sentinel.
Podobné incidenty (Preview) nejsou podporovány na portálu aplikace Defender.
Funkce Microsoft Sentinel podobné incidenty je ve verzi Preview, není podporována na portálu Defender. To znamená, že při prohlížení stránky s podrobnostmi o incidentu na portálu Defender není karta Similar incidenty dostupná.
Související obsah
- To nejlepší z Microsoft Sentinel - nyní v Microsoft Defender (blog)
- Podívejte se na webinář: Přechod na sjednocenou platformu SOC: podrobné informace a interaktivní Q&A pro odborníky na SOC.
- Podívejte se na nejčastější dotazy v blogu nebo Microsoft Community Hub.
- Přehled rozdílů ve schématu upozornění mezi samostatnými konektory a konektory XDR