Připojení služby Microsoft Sentinel k Microsoft Defender XDR (Preview)
Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Když nasadíte Microsoft Sentinel na portál Microsoft Defender, sjednocujete funkce s Microsoft Defender XDR, jako je správa incidentů a pokročilé proaktivní vyhledávání. Omezte přepínání nástrojů a vytvořte šetření více zaměřené na kontext, které urychlí reakci na incidenty a zastaví porušení zabezpečení rychleji. Další informace najdete tady:
- Microsoft Sentinel na portálu Microsoft Defender
- Unified security operations platform with Microsoft Sentinel and Defender XDR
Důležité
Informace v tomto článku se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Požadavky
Než začnete, přečtěte si dokumentaci k funkcím a seznamte se se změnami a omezeními produktu:
- Microsoft Sentinel na portálu Microsoft Defender
- Rozšířené proaktivní vyhledávání na portálu Microsoft Defender
- Automatizace s využitím sjednocené platformy operací zabezpečení
Portál Microsoft Defender podporuje jednoho tenanta Microsoft Entra a připojení k jednomu pracovnímu prostoru. V kontextu tohoto článku je pracovním prostorem služby Log Analytics s povolenou službou Microsoft Sentinel.
Pokud chcete nasadit a používat službu Microsoft Sentinel na portálu Microsoft Defender, musíte mít následující prostředky a přístup:
Pracovní prostor služby Log Analytics s povolenou službou Microsoft Sentinel
Datový konektor pro Microsoft Defender XDR (dříve Microsoft 365 Defender) povolený ve službě Microsoft Sentinel pro incidenty a výstrahy
Přístup k Microsoft Defender XDR na portálu Defender
Microsoft Defender XDR onboardovaný do tenanta Microsoft Entra
Účet Azure s odpovídajícími rolemi pro onboarding, používání a vytváření žádostí o podporu pro Microsoft Sentinel na portálu Defender. V následující tabulce jsou uvedené některé klíčové role, které jsou potřeba.
Úloha Vyžaduje se předdefinované role Azure. Rozsah Připojení nebo odpojení pracovního prostoru s povolenou službou Microsoft Sentinel Vlastník nebo správce uživatelských přístupů a přispěvatel služby Microsoft Sentinel – Předplatné pro role vlastníka nebo správce uživatelských přístupů – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele služby Microsoft Sentinel Zobrazení služby Microsoft Sentinel na portálu Defender Čtenář služby Microsoft Sentinel Prostředek předplatného, skupiny prostředků nebo pracovního prostoru Dotazování tabulek dat služby Sentinel nebo zobrazení incidentů Čtenář služby Microsoft Sentinel nebo role s následujícími akcemi:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Prostředek předplatného, skupiny prostředků nebo pracovního prostoru Provádění vyšetřovacích akcí v incidentech Přispěvatel služby Microsoft Sentinel nebo role s následujícími akcemi:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read– Microsoft.SecurityInsights/incidents/relations/write – Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write Prostředek předplatného, skupiny prostředků nebo pracovního prostoru Create žádosti o podporu Vlastník , přispěvatel nebo přispěvatel nebo přispěvatel žádosti o podporu přispěvatel nebo vlastní role u Microsoft.Support/* Předplatné Po připojení služby Microsoft Sentinel k portálu Defender vám stávající oprávnění řízení přístupu na základě role (RBAC) v Azure umožňují pracovat s funkcemi služby Microsoft Sentinel, ke kterým máte přístup. Pokračujte ve správě rolí a oprávnění pro uživatele služby Microsoft Sentinel z Azure Portal. Všechny změny Azure RBAC se projeví na portálu Defender. Další informace o oprávněních služby Microsoft Sentinel najdete v tématu Role a oprávnění ve službě Microsoft Sentinel | Microsoft Learn a správa přístupu k datům služby Microsoft Sentinel podle prostředků | Microsoft Learn.
Onboarding služby Microsoft Sentinel
Pokud chcete připojit pracovní prostor s povolenou službou Microsoft Sentinel pro Defender XDR, proveďte následující kroky:
Přejděte na portál Microsoft Defender a přihlaste se.
V Microsoft Defender XDR vyberte Přehled.
Vyberte Připojit pracovní prostor.
Zvolte pracovní prostor, ke kterému se chcete připojit, a vyberte Další.
Přečtěte si změny produktů spojené s připojením pracovního prostoru a seznamte se s nimi. Mezi tyto změny patří:
- Tabulky protokolů, dotazy a funkce v pracovním prostoru služby Microsoft Sentinel jsou také k dispozici v rozšířeném proaktivním vyhledávání v rámci Defender XDR.
- Role Přispěvatel služby Microsoft Sentinel je přiřazená aplikacím Microsoft Threat Protection a WindowsDefenderATP v rámci předplatného.
- Aktivní pravidla vytváření incidentů zabezpečení Microsoftu se deaktivují, aby nedocházelo k duplicitním incidentům. Tato změna se vztahuje pouze na pravidla vytváření incidentů pro výstrahy Microsoftu, a ne na jiná analytická pravidla.
- Všechna upozornění související s produkty Defender XDR se streamují přímo z hlavního datového konektoru Defender XDR, aby byla zajištěna konzistence. Ujistěte se, že máte v pracovním prostoru zapnuté incidenty a výstrahy z tohoto konektoru.
Vyberte Připojit.
Po připojení pracovního prostoru se v banneru na stránce Přehled zobrazuje, že je připravená sjednocená správa informací o zabezpečení a událostí (SIEM) a rozšířená detekce a reakce (XDR). Na stránce Přehled se aktualizují nové oddíly, které zahrnují metriky ze služby Microsoft Sentinel, jako je počet datových konektorů a pravidla automatizace.
Prozkoumání funkcí služby Microsoft Sentinel na portálu Defender
Po připojení pracovního prostoru k portálu Defender se Microsoft Sentinel nachází v navigačním podokně na levé straně. Stránky jako Přehled, Incidenty a Rozšířené proaktivní vyhledávání mají sjednocená data ze služby Microsoft Sentinel a Defender XDR. Další informace o jednotných možnostech a rozdílech mezi portály najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Mnoho stávajících funkcí služby Microsoft Sentinel je integrovaných na portálu Defender. U těchto funkcí si všimněte, že prostředí mezi službou Microsoft Sentinel na Azure Portal a portálem Defender je podobné. Následující články vám pomůžou začít pracovat se službou Microsoft Sentinel na portálu Defender. Při používání těchto článků mějte na paměti, že výchozím bodem v tomto kontextu je portál Defender místo Azure Portal.
- Search
- Správa hrozeb
- Vizualizace a monitorování dat pomocí sešitů
- Provádění komplexního proaktivního vyhledávání hrozeb pomocí funkce Hunts
- Použití záložek proaktivního vyhledávání pro zkoumání dat
- Použití živého streamu proaktivního vyhledávání ve službě Microsoft Sentinel k detekci hrozeb
- Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter
- Hromadné přidání indikátorů do analýzy hrozeb služby Microsoft Sentinel ze souboru CSV nebo JSON
- Práce s indikátory hrozeb ve službě Microsoft Sentinel
- Vysvětlení zabezpečení pomocí architektury MITRE ATT&CK
- Správa obsahu
- Konfigurace
- Vyhledání datového konektoru služby Microsoft Sentinel
- Create vlastních analytických pravidel pro detekci hrozeb
- Práce s analytickými pravidly detekce téměř v reálném čase (NRT) ve službě Microsoft Sentinel
- Create seznamy ke zhlédnutí
- Správa seznamů ke zhlédnutí ve službě Microsoft Sentinel
- pravidla automatizace Create
- Create a přizpůsobení playbooků služby Microsoft Sentinel ze šablon obsahu
Nastavení služby Microsoft Sentinel najdete na portálu Defender v částiNastavení>systému>Microsoft Sentinel.
Offboarding služby Microsoft Sentinel
K portálu Defender můžete mít najednou připojený jenom jeden pracovní prostor. Pokud se chcete připojit k jinému pracovnímu prostoru s povolenou službou Microsoft Sentinel, odpojte aktuální pracovní prostor a připojte druhý pracovní prostor.
Přejděte na portál Microsoft Defender a přihlaste se.
Na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinel.
Na stránce Pracovní prostory vyberte připojený pracovní prostor a Odpojit pracovní prostor.
Potvrďte výběr.
Když se pracovní prostor odpojí, oddíl Microsoft Sentinel se odebere z levého navigačního panelu portálu Defender. Data z Microsoft Sentinelu se už na stránce Přehled nezobrazují.
Pokud se chcete připojit k jinému pracovnímu prostoru, na stránce Pracovní prostory vyberte pracovní prostor a Připojte pracovní prostor.
Související obsah
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro