Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Med Defender-portalen kan du oprette forbindelse til ét primært arbejdsområde og flere sekundære arbejdsområder til Microsoft Sentinel. I forbindelse med denne artikel er et arbejdsområde et Log Analytics-arbejdsområde med Microsoft Sentinel aktiveret.
Denne artikel gælder primært for det scenarie, hvor du onboarder Microsoft Sentinel til Defender-portalen sammen med Microsoft Defender XDR til samlede sikkerhedshandlinger. Hvis du planlægger at bruge Microsoft Sentinel på Defender-portalen uden Microsoft Defender XDR, kan du stadig administrere flere arbejdsområder. Men da du ikke har Defender XDR, har dit primære arbejdsområde ikke Defender XDR data, og du har ikke adgang til Defender XDR funktioner.
Primære og sekundære arbejdsområder
Vælg dit primære arbejdsområde, når du onboarder Microsoft Sentinel til Defender-portalen. Alle andre arbejdsområder, som du onboarder til Defender-portalen, betragtes som sekundære arbejdsområder. Defender-portalen understøtter ét primært arbejdsområde og et ubegrænset antal sekundære arbejdsområder pr. lejer for Microsoft Sentinel.
Når du også har Microsoft Defender XDR, korreleres beskeder fra dit primære arbejdsområde med Defender XDR data, og hændelser omfatter beskeder fra både dit primære arbejdsområde og Defender XDR i en samlet kø. Når du vælger et primært arbejdsområde, er den Defender XDR dataconnector kun forbundet til det primære arbejdsområde for hændelser og beskeder.
I sådanne tilfælde:
| Område | Beskrivelse |
|---|---|
| Andre arbejdsområder, der tidligere har forbindelse til Defender XDR | Alle andre arbejdsområder, der tidligere har været forbundet til Defender XDR-connectoren, afbrydes og fungerer som sekundære arbejdsområder. De analyseregler og automatiseringer, du tidligere har konfigureret baseret på Defender XDR data, fungerer ikke længere, før du konfigurerer tabelindtagelse. |
| Lejerbaserede beskeder og separate dataconnectors | Beskeder fra andre Microsoft-tjenester, herunder andre Defender-tjenester, er lejerbaserede beskeder og relaterer til hele lejeren i stedet for et bestemt arbejdsområde. Hvis du vil forhindre duplikering på tværs af arbejdsområder, skal alle direkte separate dataconnectors til disse tjenester afbrydes fra Microsoft Sentinel i sekundære arbejdsområder. Dette resulterer i, at lejerbaserede beskeder kun vises i det primære arbejdsområde. Ved onboarding kan enkeltstående dataconnectors til Microsoft Defender til Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint, og forbindelsen til Microsoft Defender for Identity afbrydes automatisk. Hvis du har andre separate Microsoft-dataconnectors med beskeder i dine arbejdsområder, skal du sørge for at afbryde dem, før du onboarder til Defender-portalen. |
| Defender XDR beskeder og hændelser | Alle Defender XDR beskeder og hændelser synkroniseres kun til dit primære arbejdsområde. Sekundære arbejdsområder kan dog indtage Defender-tabeldata, hvis de er konfigureret i Microsoft XDR-connectoren på Sentinel-portalen i Azure eller under Microsoft Sentinel>Konfigurationstabeller> på Defender-portalen. |
| Hændelsesoprettelse og beskedkorrelation | Defender-portalen adskiller oprettelse af hændelser og beskedkorrelation mellem de Microsoft Sentinel arbejdsområder. Hændelser i sekundære arbejdsområder indeholder ikke data fra andre arbejdsområder eller fra Defender XDR. |
| Der kræves ét primært arbejdsområde | Et primært arbejdsområde skal altid have forbindelse til Defender-portalen. |
Det kan f.eks. være, at du arbejder på et globalt SOC-team i en virksomhed, der har flere selvstændige arbejdsområder. I sådanne tilfælde vil du måske ikke se hændelser og beskeder fra hvert af disse arbejdsområder i din globale SOC-kø på Defender-portalen. Da disse arbejdsområder er onboardet til Defender-portalen som sekundære arbejdsområder, vises de kun som Microsoft Sentinel i Defender-portalen uden Defender-hændelser og -beskeder og fortsætter med at fungere selvstændigt. Når du kigger på dit globale SOC-arbejdsområde, kan du ikke se data fra disse sekundære arbejdsområder.
Hvis du har flere Microsoft Sentinel arbejdsområder i en Microsoft Entra ID lejer, kan du overveje at bruge det primære arbejdsområde til dit globale center for sikkerhedshandlinger.
Tilladelser til at administrere arbejdsområder og få vist arbejdsområdedata
Brug en af følgende roller eller rollekombinationer til at administrere primære og sekundære arbejdsområder:
| Opgave | Microsoft Entra eller Azure indbygget rolle er påkrævet | Omfanget |
|---|---|---|
| Onboarde Microsoft Sentinel til Defender-portalen | Mindst en sikkerhedsadministrator i Microsoft Entra ID Ejer- eller brugeradgangsadministrator OG Microsoft Sentinel bidragyder |
Lejer – Abonnement på rollerne Ejer eller Brugeradgangsadministrator – Abonnement, ressourcegruppe eller arbejdsområderessource for Microsoft Sentinel bidragyder |
| Opret forbindelse til eller afbryd forbindelsen til et sekundært arbejdsområde | Mindst en sikkerhedsadministrator i Microsoft Entra ID Ejer- eller brugeradgangsadministrator OG Microsoft Sentinel bidragyder |
Lejer – Abonnement på rollerne Ejer eller Brugeradgangsadministrator – Abonnement, ressourcegruppe eller arbejdsområderessource for Microsoft Sentinel bidragyder |
| Skift det primære arbejdsområde | Mindst en sikkerhedsadministrator i Microsoft Entra ID Ejer- eller brugeradgangsadministrator OG Microsoft Sentinel bidragyder |
Lejer – Abonnement på rollerne Ejer eller Brugeradgangsadministrator – Abonnement, ressourcegruppe eller arbejdsområderessource for Microsoft Sentinel bidragyder |
| Aktivér eller deaktiver et Sentinel arbejdsområde i Unified RBAC | Mindst en sikkerhedsadministrator i Microsoft Entra ID Ejer- eller brugeradgangsadministrator OG Microsoft Sentinel bidragyder |
Lejer – Abonnement på rollerne Ejer eller Brugeradgangsadministrator – Abonnement, ressourcegruppe eller arbejdsområderessource for Microsoft Sentinel bidragyder |
Vigtigt!
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation.
Når du har oprettet forbindelse Microsoft Sentinel til Defender-portalen, giver dine eksisterende Azure rollebaserede adgangskontroltilladelser dig mulighed for at få vist og arbejde med de Microsoft Sentinel funktioner og arbejdsområder, du har adgang til.
| Workspace | Access |
|---|---|
| Primære | Hvis du har adgang til det primære arbejdsområde, kan du læse og administrere data fra arbejdsområdet og Defender XDR. |
| Sekundære | Hvis du har adgang til et sekundært arbejdsområde, kan du kun læse og administrere data fra arbejdsområdet. Defender-hændelser og -beskeder synkroniseres ikke med sekundære arbejdsområder, men sekundære arbejdsområder kan stadig indtage Defender-tabeldata. Du kan få flere oplysninger under Primære og sekundære arbejdsområder. |
Undtagelse: Hvis du allerede har onboardet ét arbejdsområde til Defender-portalen, er alle de beskeder, der oprettes ved hjælp af brugerdefinerede registreringer på AlertInfo og AlertEvidence tabeller før midten af januar 2025, synlige for alle brugere.
Du kan få flere oplysninger under Roller og tilladelser i Microsoft Sentinel.
Ændringer af primært arbejdsområde
Når du har onboardet Microsoft Sentinel til Defender-portalen, kan du ændre det primære arbejdsområde. Når du skifter det primære arbejdsområde for Microsoft Sentinel, oprettes der automatisk forbindelse mellem den Defender XDR connector og den nye primære forbindelse og forbindelsen til den tidligere.
Skift det primære arbejdsområde på Defender-portalen ved at gå tilSystemindstillinger>>Microsoft Sentinel>Arbejdsområder.
Omfanget af arbejdsområdedata i forskellige visninger
Hvis du har de nødvendige tilladelser til at få vist data fra primære og sekundære arbejdsområder for Microsoft Sentinel, gælder arbejdsområdeområdet i følgende tabel for hver funktion.
| Kapacitet | Arbejdsområdeområde |
|---|---|
| Søg | Resultaterne fra global søgning øverst på browsersiden i Defender-portalen giver en samlet visning af alle relevante arbejdsområdedata, som du har tilladelse til at få vist. |
| Undersøgelse & svar > Hændelser & beskeder >Hændelser | Få vist hændelser fra forskellige arbejdsområder i en samlet kø, eller filtrer visningen efter arbejdsområde. |
| Undersøgelse & svar > Beskeder om hændelser & beskeder> | Få vist beskeder fra forskellige arbejdsområder i en samlet kø, eller filtrer visningen efter arbejdsområde. Segmenterne på Defender-portalen advarer om korrelation efter arbejdsområde. |
| Enheder: Fra en hændelse eller besked > skal du vælge en enhed, en bruger eller et andet objektaktiv | Få vist alle relevante objektdata fra flere arbejdsområder på en enkelt objektside. Enhedssider aggregerer beskeder, hændelser og tidslinjehændelser fra alle arbejdsområder for at give bedre indsigt i enhedens funktionsmåde. Filtrer efter arbejdsområde under fanerne Hændelser og beskeder, Tidslinje og Indsigt . Fanen Oversigt viser objektmetadata, der er samlet fra alle arbejdsområder. |
| Undersøgelse & svar > Jagt >Avanceret jagt | Vælg et arbejdsområde i øverste højre side af browseren. Du kan også forespørge på tværs af flere arbejdsområder ved hjælp af arbejdsområdeoperatoren i forespørgslen. Se Forespørg på flere arbejdsområder. Forespørgselsresultaterne viser ikke et navn eller id for arbejdsområdet. Få adgang til alle logdata i arbejdsområdet, herunder forespørgsler og funktioner, som skrivebeskyttet. Du kan finde flere oplysninger under Avanceret jagt med Microsoft Sentinel data på Microsoft Defender portal. Nogle funktioner er begrænset til det primære arbejdsområde: - Oprettelse af brugerdefinerede registreringer - Forespørgsler via API Forespørgsler på tværs af arbejdsområder for Log Analytics-data er fortsat underlagt Log Analytics-begrænsninger. |
| Microsoft Sentinel oplevelser | Få vist data fra ét arbejdsområde for hver side i sektionen Microsoft Sentinel på Defender-portalen. Skift mellem arbejdsområder ved at vælge Vælg et arbejdsområde øverst til højre i browseren for de fleste sider. – Siden Projektmapper viser kun data, der er knyttet til det primære arbejdsområde. Regler for analyse på tværs af arbejdsområder forbliver underlagt begrænsninger og anbefalinger for analyseregler på tværs af arbejdsområder. |
| SOC-optimering | Data og anbefalinger samles fra flere arbejdsområder. |
Tovejssynkronisering for arbejdsområder
Hvordan hændelsesændringer synkroniseres mellem Azure Portal og Defender-portalen, afhænger af, om det er et primært eller sekundært arbejdsområde.
| Workspace | Synkroniseringsfunktionsmåde |
|---|---|
| Primære | For Microsoft Sentinel i Azure Portal vises Defender XDR hændelser i Threat management> Incidents med navnet Microsoft XDR forhændelsesudbyderen. Eventuelle ændringer, du foretager af status, slutårsag eller tildeling af en Defender XDR hændelse i enten Azure- eller Defender-portalen, opdateres i den andens hændelseskø. Du kan få flere oplysninger under Arbejde med Microsoft Defender XDR hændelser i Microsoft Sentinel og tovejssynkronisering. |
| Sekundære | Alle beskeder og hændelser, du opretter for et sekundært arbejdsområde, synkroniseres mellem det pågældende arbejdsområde på portalerne Azure og Defender. Data i et arbejdsområde synkroniseres kun med arbejdsområdet på den anden portal. |
IRM-understøttelse (Insider Risk Management)
IRM-beskeder (Microsoft Purview Styring af insider-risiko) er kun relateret til det primære arbejdsområde. Hvis du har IRM-beskeder med Microsoft Defender XDR, skal du oprette forbindelse mellem IRM og Microsoft Defender XDR-connectoren i dit primære arbejdsområde, før du onboarder arbejdsområdet til Defender-portalen. Dette er påkrævet for at sikre, at IRM-beskeder og -hændelser er tilgængelige i det primære arbejdsområde. Hvis du ikke vil se IRM-beskeder i det primære arbejdsområde, kan du i stedet fravælge integrationen med Microsoft Defender XDR.
Hvis den direkte Microsoft 365 Insider Risk Management-connector til Microsoft Sentinel dataconnector er forbundet til et af de sekundære arbejdsområder, skal du desuden afbryde forbindelsen, før du onboarder arbejdsområdet til Defender-portalen.