Připojení Microsoft Sentinel k portálu Microsoft Defender

Platí pro: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel je obecně k dispozici na portálu Microsoft Defender, s Microsoft Defender XDR nebo licencí E5 nebo bez. Pomocí Microsoft Sentinel na portálu Defender společně se službami Microsoft Defender XDR sjednotíte funkce, jako je správa incidentů a pokročilé proaktivní vyhledávání. Omezte přepínání nástrojů a vytvořte šetření více zaměřené na kontext, které urychlí reakci na incidenty a zastaví porušení zabezpečení rychleji.

Tento článek je relevantní pro zákazníky, jejichž pracovní prostory Microsoft Sentinel ještě nejsou připojené k portálu Defender. V mnoha případech se zákazníci, kteří po 1. červenci 2025 onboardují do Microsoft Sentinel, automaticky onboardují na portál Defenderu.

Další informace najdete tady:

Požadavky

Než začnete, projděte si dokumentaci k funkcím a seznamte se se změnami a omezeními produktu.

Portál Microsoft Defender podporuje jednoho tenanta Microsoft Entra a připojení k primárnímu pracovnímu prostoru a několika sekundárním pracovním prostorům. Pokud máte při onboardingu Microsoft Sentinel jenom jeden pracovní prostor, bude tento pracovní prostor označen jako primární. Další informace najdete v tématu Více pracovních prostorů Microsoft Sentinel na portálu Defender. V kontextu tohoto článku je pracovní prostor služby Log Analytics s povolenými Microsoft Sentinel.

požadavky na Microsoft Sentinel

K nasazení a použití Microsoft Sentinel na portálu Defender pro jeden pracovní prostor potřebujete následující prostředky a přístup:

Pracovní prostor služby Log Analytics s povolenými Microsoft Sentinel

Účet Azure s odpovídajícími rolemi pro onboarding, použití a vytváření žádostí o podporu pro Microsoft Sentinel na portálu Defender. Na portálu Defenderu neuvidíte pracovní prostory, které by se mohly připojit k místu, kde nemáte požadovaná oprávnění. V následující tabulce jsou uvedené některé klíčové role, které jsou potřeba.

Úloha	vyžaduje Microsoft Entra nebo Azure předdefinované role	Rozsah
Onboarding Microsoft Sentinel na portál Defender¹	Správce uživatelských přístupů AND Microsoft Sentinel Přispěvatel NEBO Vlastník AND Microsoft Sentinel Přispěvatel	– Předplatné pro role vlastníka nebo správce uživatelských přístupů – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele Microsoft Sentinel
Připojení nebo odpojení sekundárního pracovního prostoru	Vlastník nebo správce uživatelských přístupů a přispěvatel Microsoft Sentinel	Tenant – Předplatné pro role vlastníka nebo správce uživatelských přístupů – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele Microsoft Sentinel
Změna primárního pracovního prostoru	Správce zabezpečení nebo vyšší v Microsoft Entra ID A Vlastník nebo správce uživatelských přístupů a přispěvatel Microsoft Sentinel	Tenant – Předplatné pro role vlastníka nebo správce uživatelských přístupů – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele Microsoft Sentinel
Zobrazení Microsoft Sentinel na portálu Defender	Microsoft Sentinel Reader	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
Dotazování Microsoft Sentinel tabulek dat nebo zobrazení incidentů	Microsoft Sentinel Čtenář nebo role s následujícími akcemi: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
Provádění vyšetřovacích akcí v incidentech	Microsoft Sentinel Přispěvatel nebo role s následujícími akcemi: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write – Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
Vytvoření žádosti o podporu	Vlastník , přispěvatel nebo přispěvatel nebo přispěvatel žádosti o podporu přispěvatel nebo vlastní role u Microsoft.Support/*	Předplatné

¹ Pokud má váš tenant právě jeden pracovní prostor s povoleným Microsoft Sentinel, použijte oprávnění uvedená v tabulce. Pokud má váš tenant více než jeden pracovní prostor s povoleným Microsoft Sentinel, musíte být také alespoň správcem zabezpečení v Microsoft Entra ID.

Pokud pracujete s více tenanty, mějte na paměti, že podrobná delegovaná oprávnění správce (GDAP) s Azure Lighthouse se nepodporují pro Microsoft Sentinel data na portálu Defender. Místo toho použijte Microsoft Entra ověřování B2B. Další informace najdete v tématu Nastavení Microsoft Defender správy s více tenanty.

Po připojení Microsoft Sentinel k portálu Defender vám stávající Azure oprávnění řízení přístupu na základě role (RBAC) umožňují pracovat s Microsoft Sentinel funkcemi, ke kterým máte přístup. Pokračujte ve správě rolí a oprávnění pro uživatele Microsoft Sentinel z Azure Portal, protože všechny změny RBAC Azure se projeví na portálu Defender.

Další informace najdete v tématech Role a oprávnění v Microsoft Sentinel a Správa přístupu k Microsoft Sentinel datům podle prostředků.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace.

Požadavky na sjednocené operace zabezpečení

Pokud chcete na portálu Defender sjednotit operace Microsoft Defender XDR a Microsoft Sentinel zabezpečení, musíte mít následující prostředky a přístup:

Licencování pro Defender XDR, jak je popsáno v požadavcích Microsoft Defender XDR
Účet pro Defender XDR je členem stejného tenanta Microsoft Entra, ke kterému je přidružený Microsoft Sentinel.
Přístup k Microsoft Defender XDR na portálu Defender, jak je popsáno v části požadavky Microsoft Defender XDR

Pokud je to možné, dokončete tyto požadavky:

Služba	Předpoklady
Správa insiderských rizik Microsoft Purview	Pokud vaše organizace používá Správa insiderských rizik Microsoft Purview, integrujte tato data povolením datového konektoru Microsoft 365 Insider Risk Management ve vašem primárním pracovním prostoru pro Microsoft Sentinel. Zakažte tento konektor ve všech sekundárních pracovních prostorech pro Microsoft Sentinel, které plánujete onboardovat na portálu Defender. – Nainstalujte řešení Správa insiderských rizik Microsoft Purview z centra Obsah v primárním pracovním prostoru. – Nakonfigurujte datový konektor. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.
Microsoft Defender for Cloud	Streamování incidentů Defenderu for Cloud, které korelují napříč všemi předplatnými tenanta, do primárního pracovního prostoru pro Microsoft Sentinel: – Připojte datový konektor Microsoft Defender pro cloud založený na tenantovi (Preview) v primárním pracovním prostoru. – Odpojte konektor upozornění Microsoft Defender pro cloud založený na předplatném (starší verze) od všech pracovních prostorů v tenantovi. Pokud nechcete streamovat korelovaná data tenanta pro Defender for Cloud do primárního pracovního prostoru, pokračujte v používání konektoru Microsoft Defender založeného na předplatném pro cloud (starší verze) ve vašich pracovních prostorech. Další informace najdete v tématu Ingestování Microsoft Defender pro cloudové incidenty s integrací Microsoft Defender XDR.

Služba

Předpoklady

Správa insiderských rizik Microsoft Purview

Pokud vaše organizace používá Správa insiderských rizik Microsoft Purview, integrujte tato data povolením datového konektoru Microsoft 365 Insider Risk Management ve vašem primárním pracovním prostoru pro Microsoft Sentinel. Zakažte tento konektor ve všech sekundárních pracovních prostorech pro Microsoft Sentinel, které plánujete onboardovat na portálu Defender.

– Nainstalujte řešení Správa insiderských rizik Microsoft Purview z centra Obsah v primárním pracovním prostoru.
– Nakonfigurujte datový konektor.

Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

Microsoft Defender for Cloud

Streamování incidentů Defenderu for Cloud, které korelují napříč všemi předplatnými tenanta, do primárního pracovního prostoru pro Microsoft Sentinel:

– Připojte datový konektor Microsoft Defender pro cloud založený na tenantovi (Preview) v primárním pracovním prostoru.
– Odpojte konektor upozornění Microsoft Defender pro cloud založený na předplatném (starší verze) od všech pracovních prostorů v tenantovi.

Pokud nechcete streamovat korelovaná data tenanta pro Defender for Cloud do primárního pracovního prostoru, pokračujte v používání konektoru Microsoft Defender založeného na předplatném pro cloud (starší verze) ve vašich pracovních prostorech. Další informace najdete v tématu Ingestování Microsoft Defender pro cloudové incidenty s integrací Microsoft Defender XDR.

Onboarding Microsoft Sentinel

Tento postup popisuje, jak připojit pracovní prostor s povoleným Microsoft Sentinel na portál Defender.

Přejděte na portál Microsoft Defender a přihlaste se.
VyberteNastavení>systému>Microsoft Sentinel>Připojit pracovní prostor.
Vyberte pracovní prostory, které chcete připojit, a vyberte Další.
Vyberte primární pracovní prostor.
Přečtěte si změny produktů spojené s připojením pracovního prostoru a seznamte se s nimi.
Vyberte Připojit.

Po připojení pracovního prostoru se v banneru na domovské stránce zobrazuje, že vaše prostředí je připravené. Domovská stránka se aktualizuje o nové oddíly, které obsahují metriky z Microsoft Sentinel, jako je počet datových konektorů a pravidla automatizace.

Prozkoumání Microsoft Sentinel funkcí na portálu Defenderu

Po připojení pracovního prostoru k portálu Defender se v levém navigačním podokně nachází Microsoft Sentinel. Pokud jste povolili Defender XDR, stránky jako Domů, Incidenty a Rozšířené vyhledávání obsahují sjednocená data z primárního pracovního prostoru pro Microsoft Sentinel a Defender XDR. Pokud nemáte povolené Defender XDR, tyto stránky obsahují jenom data z Microsoft Sentinel. Další informace o jednotných možnostech a rozdílech mezi portály najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Mnoho stávajících funkcí Microsoft Sentinel je integrovaných na portálu Defender. U těchto funkcí si všimněte, že prostředí mezi Microsoft Sentinel na Azure Portal a portálu Defender je podobné. Následující články vám pomůžou začít pracovat s Microsoft Sentinel na portálu Defender. Při používání těchto článků mějte na paměti, že výchozím bodem v tomto kontextu je portál Defender místo Azure Portal.

Kategorie funkcí	Odkazy
Hledat	- Hledání v dlouhých časových obdobích ve velkých datových sadách - Obnovení archivovaných protokolů z vyhledávání
Řízení rizik	- Vizualizace a monitorování dat pomocí sešitů - Provádění komplexního proaktivního vyhledávání hrozeb pomocí funkce Hunts - Použití záložek proaktivního vyhledávání pro zkoumání dat - Použití živého streamu proaktivního vyhledávání v Microsoft Sentinel k detekci hrozby - Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter - Hromadné přidání indikátorů pro Microsoft Sentinel analýzy hrozeb ze souboru CSV nebo JSON - Práce s indikátory hrozeb v Microsoft Sentinel - Vysvětlení zabezpečení pomocí architektury MITRE ATT&CK
Správa obsahu	- Zjišťování a správa Microsoft Sentinel předefinovaný obsah - Microsoft Sentinel katalog centra obsahu - Nasazení vlastního obsahu z úložiště
Konfigurace	- Vyhledání datového konektoru Microsoft Sentinel - Vytvoření vlastních analytických pravidel pro detekci hrozeb - Práce s analytickými pravidly detekce téměř v reálném čase (NRT) v Microsoft Sentinel - Vytváření seznamů ke zhlédnutí - Správa seznamů ke zhlédnutí v Microsoft Sentinel - Vytváření pravidel automatizace - Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu

Nastavení Microsoft Sentinel najdete na portálu Defender v částiNastavení>systému>Microsoft Sentinel.

Změna primárního pracovního prostoru

K portálu Defender můžete mít současně připojený jenom jeden primární pracovní prostor. Primární pracovní prostor ale můžete změnit.

Na portálu Defender přejděte naNastavení>systému>Microsoft Sentinel>Pracovní prostory.
Vyberte název pracovního prostoru, který chcete nastavit jako primární.
Vyberte Nastavit jako primární.
Přečtěte si změny produktů spojené se změnou primárního pracovního prostoru a seznamte se s nimi.
Vyberte Potvrdit a pokračujte.

Když přepnete primární pracovní prostor na Microsoft Sentinel, konektor Defender XDR se připojí k novému primárnímu a automaticky se odpojí od předchozího. Další informace najdete v tématu Více pracovních prostorů Microsoft Sentinel na portálu Defender.

Offboarding Microsoft Sentinel

Pokud se rozhodnete pracovní prostor z portálu Defender odpojit od nastavení Microsoft Sentinel.

Pokud má váš pracovní prostor nakonfigurovaný konektor Microsoft Defender XDR, odpojením pracovního prostoru z portálu Defenderu se také odpojí konektor Microsoft Defender XDR.

Přejděte na portál Microsoft Defender a přihlaste se.
Na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinel.
Na stránce Pracovní prostory vyberte připojený pracovní prostor a Odpojit pracovní prostor.
Uveďte důvod, proč pracovní prostor odpojíte.
Potvrďte výběr.

Po odpojení pracovního prostoru se oddíl Microsoft Sentinel odebere z levého navigačního panelu portálu Defender. Data z Microsoft Sentinel už nejsou na domovské stránce zahrnutá.

Pokud se chcete připojit k jinému pracovnímu prostoru, na stránce Pracovní prostory vyberte pracovní prostor a Připojte pracovní prostor.

Váš názor

Byla tato stránka užitečná?

Last updated on 2026-05-06