Forbind Microsoft Sentinel med Microsoft Defender XDR

• Gælder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel er generelt tilgængelig på Microsoft Unified Security Operations-platformen på Microsoft Defender-portalen. Når du onboarder Microsoft Sentinel til Defender-portalen, forener du funktioner med Microsoft Defender XDR, f.eks. administration af hændelser og avanceret jagt. Reducer skift af værktøj, og opret en mere kontekstfokuseret undersøgelse, der fremskynder svar på hændelser og stopper brud hurtigere. Du kan finde flere oplysninger under:

• Blogindlæg: Generel tilgængelighed af Microsoft Unified Security Operations-platformen
• Blogindlæg: Ofte stillede spørgsmål om platformen til samlede sikkerhedshandlinger
• Microsoft Sentinel på Microsoft Defender-portalen
• Microsoft Defender XDR-integration med Microsoft Sentinel

Forudsætninger

Før du begynder, skal du gennemse funktionsdokumentationen for at forstå produktændringerne og -begrænsningerne:

• Microsoft Sentinel på Microsoft Defender-portalen
• Avanceret jagt på Microsoft Defender-portalen
• Beskeder, hændelser og korrelation i Microsoft Defender XDR
• Automatisering med den samlede platform til sikkerhedshandlinger

Microsoft Defender-portalen understøtter en enkelt Microsoft Entra-lejer og forbindelsen til ét arbejdsområde ad gangen. I forbindelse med denne artikel er et arbejdsområde et Log Analytics-arbejdsområde med Microsoft Sentinel aktiveret.

Hvis du vil onboarde og bruge Microsoft Sentinel på Microsoft Defender-portalen, skal du have følgende ressourcer og adgang:

• Et Log Analytics-arbejdsområde, hvor Microsoft Sentinel er aktiveret

• Dataconnectoren til Microsoft Defender XDR (tidligere kaldet Microsoft 365 Defender) er aktiveret i Microsoft Sentinel for hændelser og beskeder. Du kan få flere oplysninger under Opret forbindelse mellem data fra Microsoft Defender XDR og Microsoft Sentinel.

• Adgang til Microsoft Defender XDR på Defender-portalen

• Microsoft Defender XDR onboardet til Microsoft Entra-lejeren

• En Azure-konto med de relevante roller til at onboarde, bruge og oprette supportanmodninger for Microsoft Sentinel på Defender-portalen. I følgende tabel fremhæves nogle af de vigtige roller, der skal bruges.

  Opgave	Indbygget Rolle i Azure kræves	Omfanget
  Opret forbindelse til eller afbryd forbindelsen til et arbejdsområde med Microsoft Sentinel aktiveret	Ejer - eller brugeradgangsadministrator og Microsoft Sentinel-bidragyder	– Abonnement på rollerne Ejer eller Brugeradgangsadministrator – Abonnement, ressourcegruppe eller arbejdsområderessource for Microsoft Sentinel-bidragyder
  Få vist Microsoft Sentinel på Defender-portalen	Microsoft Sentinel Reader	Abonnement, ressourcegruppe eller arbejdsområderessource
  Forespørg i Sentinel-datatabeller, eller få vist hændelser	Microsoft Sentinel Reader eller en rolle med følgende handlinger: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonnement, ressourcegruppe eller arbejdsområderessource
  Udfør undersøgelseshandlinger i forbindelse med hændelser	Microsoft Sentinel Contributor eller en rolle med følgende handlinger: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnement, ressourcegruppe eller arbejdsområderessource
  Opret en supportanmodning	Bidragyder eller bidragyder eller supportanmodningsbidragsyder eller en brugerdefineret rolle med Microsoft.Support/*	Abonnement

  Når du har oprettet forbindelse mellem Microsoft Sentinel og Defender-portalen, giver dine eksisterende tilladelser til rollebaseret adgangskontrol i Azure dig mulighed for at arbejde med de Microsoft Sentinel-funktioner, du har adgang til. Fortsæt med at administrere roller og tilladelser for dine Microsoft Sentinel-brugere fra Azure Portal. Alle Azure RBAC-ændringer afspejles på Defender-portalen. Du kan få flere oplysninger om Microsoft Sentinel-tilladelser under Roller og tilladelser i Microsoft Sentinel | Microsoft Learn og Administrer adgang til Microsoft Sentinel-data efter ressource | Microsoft Learn.

Onboard Microsoft Sentinel

Hvis du vil oprette forbindelse til et arbejdsområde, hvor Microsoft Sentinel er aktiveret til Defender XDR, skal du udføre følgende trin:

1. Gå til Microsoft Defender-portalen , og log på.

2. Vælg Oversigt i Microsoft Defender XDR.

3. Vælg Opret forbindelse til et arbejdsområde.

4. Vælg det arbejdsområde, du vil oprette forbindelse til, og vælg Næste.

5. Læs og forstå de produktændringer, der er knyttet til oprettelse af forbindelse til dit arbejdsområde. Disse ændringer omfatter:

   • Logtabeller, forespørgsler og funktioner i Microsoft Sentinel-arbejdsområdet er også tilgængelige i avanceret jagt i Defender XDR.
   • Rollen Microsoft Sentinel Contributor tildeles til Microsoft Threat Protection- og WindowsDefenderATP-apps i abonnementet.
   • Aktive regler for oprettelse af sikkerhedshændelser i Microsoft deaktiveres for at undgå dublerede hændelser. Denne ændring gælder kun for regler for oprettelse af hændelser for Microsoft-beskeder og ikke for andre analyseregler.
   • Alle beskeder, der er relateret til Defender XDR-produkter, streames direkte fra den primære Defender XDR-dataconnector for at sikre konsistens. Sørg for, at hændelser og beskeder fra denne connector er slået til i arbejdsområdet.

6. Vælg Opret forbindelse.

Når der er oprettet forbindelse til dit arbejdsområde, viser banneret på siden Oversigt , at dine samlede sikkerhedsoplysninger og hændelsesstyring (SIEM) og udvidet registrering og svar (XDR) er klar. Siden Oversigt opdateres med nye afsnit, der indeholder målepunkter fra Microsoft Sentinel, f.eks. antallet af dataconnectors og automatiseringsregler.

Udforsk Microsoft Sentinel-funktioner på Defender-portalen

Når du har knyttet dit arbejdsområde til Defender-portalen, er Microsoft Sentinel i navigationsruden til venstre. Sider som Oversigt, Hændelser og Avanceret jagt har samlede data fra Microsoft Sentinel og Defender XDR. Du kan få flere oplysninger om de samlede funktioner og forskelle mellem portaler i Microsoft Sentinel på Microsoft Defender-portalen.

Mange af de eksisterende Funktioner i Microsoft Sentinel er integreret i Defender-portalen. I forbindelse med disse funktioner kan du se, at oplevelsen mellem Microsoft Sentinel på Azure-portalen og Defender-portalen er den samme. Brug følgende artikler til at hjælpe dig med at begynde at arbejde med Microsoft Sentinel på Defender-portalen. Når du bruger disse artikler, skal du huske på, at dit udgangspunkt i denne kontekst er Defender-portalen i stedet for Azure Portal.

• Søge
  • Søg på tværs af lange tidsperioder i store datasæt
  • Gendan arkiverede logge fra søgning
• Trusselshåndtering
  • Visualiser og overvåg dine data ved hjælp af projektmapper
  • Udfør trusselsjagt fra ende til anden med hunts
  • Brug bogmærker til jagt til dataundersøgelser
  • Brug jagt på Livestream i Microsoft Sentinel til at registrere trusler
  • Jagt efter sikkerhedstrusler med Jupyter-notesbøger
  • Føj indikatorer samlet til Microsoft Sentinel-trusselsintelligens fra en CSV- eller JSON-fil
  • Arbejd med trusselsindikatorer i Microsoft Sentinel
  • Forstå sikkerhedsdækningen af MITRE ATT&CK-strukturen
• Indholdsstyring
  • Find og administrer det indbyggede Microsoft Sentinel-indhold
  • Katalog over Microsoft Sentinel-indholdshub
  • Udrul brugerdefineret indhold fra dit lager
• Konfiguration
  • Find din Microsoft Sentinel-dataconnector
  • Opret brugerdefinerede analyseregler for at registrere trusler
  • Arbejd med regler for registrering af NRT(near-real-time) i Microsoft Sentinel
  • Opret visningslister
  • Administrer visningslister i Microsoft Sentinel
  • Opret automatiseringsregler
  • Opret og tilpas Microsoft Sentinel-playbooks fra indholdsskabeloner

Find Microsoft Sentinel-indstillinger på Defender-portalen under Systemindstillinger>>Microsoft Sentinel.

Offboard Microsoft Sentinel

Du kan kun have ét arbejdsområde forbundet til Defender-portalen ad gangen. Hvis du vil oprette forbindelse til et andet arbejdsområde, hvor Microsoft Sentinel er aktiveret, skal du afbryde forbindelsen til det aktuelle arbejdsområde og oprette forbindelse til det andet arbejdsområde.

1. Gå til Microsoft Defender-portalen , og log på.

2. På Defender-portalen under System skal du vælge Indstillinger>Microsoft Sentinel.

3. På siden Arbejdsområder skal du vælge det forbundne arbejdsområde og Afbryd forbindelsen til arbejdsområdet.

4. Angiv en årsag til, at du afbryder forbindelsen til arbejdsområdet.

5. Bekræft dit valg.

   Når forbindelsen til arbejdsområdet afbrydes, fjernes sektionen Microsoft Sentinel fra venstre navigationsrude i Defender-portalen. Data fra Microsoft Sentinel er ikke længere inkluderet på siden Oversigt.

Hvis du vil oprette forbindelse til et andet arbejdsområde, skal du vælge arbejdsområdet og Opret forbindelse til et arbejdsområde på siden Arbejdsområder.

Relateret indhold

• Microsoft Sentinel på Microsoft Defender-portalen
• Avanceret jagt på Microsoft Defender-portalen
• Automatisk afbrydelse af angreb i Microsoft Defender XDR
• Undersøg hændelser i Microsoft Defender XDR
• Optimer dine sikkerhedshandlinger