Teilen über


Verbinden von Microsoft Sentinel mit Microsoft Defender XDR

Microsoft Sentinel ist als Teil der Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Verwendung in der Produktion unterstützt. Wenn Sie Das Onboarding von Microsoft Sentinel in das Microsoft Defender-Portal durchführen, vereinheitlichen Sie Funktionen mit Microsoft Defender XDR, z. B. incident management und advanced hunting. Reduzieren Sie den Toolwechsel, und erstellen Sie eine kontextorientiertere Untersuchung, die die Reaktion auf Vorfälle beschleunigt und Sicherheitsverletzungen schneller stoppt. Weitere Informationen finden Sie unter:

Voraussetzungen

Bevor Sie beginnen, lesen Sie die Featuredokumentation, um die Produktänderungen und Einschränkungen zu verstehen:

Das Microsoft Defender-Portal unterstützt einen einzelnen Microsoft Entra-Mandanten und die Verbindung mit jeweils einem Arbeitsbereich. Im Kontext dieses Artikels ist ein Arbeitsbereich ein Log Analytics-Arbeitsbereich mit aktiviertem Microsoft Sentinel.

Zum Integrieren und Verwenden von Microsoft Sentinel im Microsoft Defender-Portal benötigen Sie die folgenden Ressourcen und Zugriff:

  • Ein Log Analytics-Arbeitsbereich, für den Microsoft Sentinel aktiviert ist

  • Der Datenconnector für Microsoft Defender XDR (ehemals Microsoft 365 Defender), der in Microsoft Sentinel für Incidents und Warnungen aktiviert ist. Weitere Informationen finden Sie unter Verbinden von Daten aus Microsoft Defender XDR mit Microsoft Sentinel.

  • Zugriff auf Microsoft Defender XDR im Defender-Portal

  • Integration von Microsoft Defender XDR in den Microsoft Entra-Mandanten

  • Ein Azure-Konto mit den entsprechenden Rollen zum Onboarding, Verwenden und Erstellen von Supportanfragen für Microsoft Sentinel im Defender-Portal. In der folgenden Tabelle sind einige der erforderlichen Schlüsselrollen aufgeführt.

    Aufgabe Integrierte Azure-Rolle erforderlich Bereich
    Verbinden oder Trennen eines Arbeitsbereichs mit aktiviertem Microsoft Sentinel Besitzer oder
    Benutzerzugriffsadministrator und Microsoft Sentinel-Mitwirkender
    – Abonnement für die Rolle

    "Besitzer" oder "Benutzerzugriffsadministrator": Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel-Mitwirkender
    Anzeigen von Microsoft Sentinel im Defender-Portal Microsoft Sentinel-Leser Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Abfragen von Sentinel-Datentabellen oder Anzeigen von Incidents Microsoft Sentinel-Leser oder eine Rolle mit den folgenden Aktionen:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Ergreifen von Ermittlungsmaßnahmen bei Vorfällen Microsoft Sentinel-Mitwirkender oder eine Rolle mit den folgenden Aktionen:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Erstellen einer Supportanfrage Besitzer oder
    Mitwirkender oder Mitwirkender für
    Supportanfragen oder eine benutzerdefinierte Rolle mit Microsoft.Support/*
    Abonnement

    Nachdem Sie Microsoft Sentinel mit dem Defender-Portal verbunden haben, können Sie mit Ihren vorhandenen Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure mit den Microsoft Sentinel-Features arbeiten, auf die Sie Zugriff haben. Fahren Sie mit dem Verwalten von Rollen und Berechtigungen für Ihre Microsoft Sentinel-Benutzer über das Azure-Portal fort. Alle Azure RBAC-Änderungen werden im Defender-Portal widergespiegelt. Weitere Informationen zu Microsoft Sentinel-Berechtigungen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel | Microsoft Learn und Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource | Microsoft Learn.

Onboarding von Microsoft Sentinel

Führen Sie die folgenden Schritte aus, um einen Arbeitsbereich mit aktiviertem Microsoft Sentinel für Defender XDR zu verbinden:

  1. Wechseln Sie zum Microsoft Defender-Portal , und melden Sie sich an.

  2. Wählen Sie in Microsoft Defender XDR die Option Übersicht aus.

  3. Wählen Sie Arbeitsbereich verbinden aus.

  4. Wählen Sie den Arbeitsbereich aus, den Sie verbinden möchten, und wählen Sie Weiter aus.

  5. Lesen und verstehen Sie die Produktänderungen, die mit dem Verbinden Ihres Arbeitsbereichs verbunden sind. Zu diesen Änderungen gehören:

    • Protokolltabellen, Abfragen und Funktionen im Microsoft Sentinel-Arbeitsbereich sind auch in der erweiterten Suche in Defender XDR verfügbar.
    • Die Rolle Microsoft Sentinel-Mitwirkender wird den Apps Microsoft Threat Protection und WindowsDefenderATP innerhalb des Abonnements zugewiesen.
    • Regeln zur Erstellung aktiver Microsoft-Sicherheitsvorfälle werden deaktiviert, um doppelte Vorfälle zu vermeiden. Diese Änderung gilt nur für Regeln zur Erstellung von Vorfällen für Microsoft-Warnungen und nicht für andere Analyseregeln.
    • Alle Warnungen im Zusammenhang mit Defender XDR-Produkten werden direkt vom Defender XDR-Hauptdatenconnector gestreamt, um die Konsistenz sicherzustellen. Stellen Sie sicher, dass Incidents und Warnungen von diesem Connector im Arbeitsbereich aktiviert sind.
  6. Wählen Sie Verbinden aus.

Nachdem Ihr Arbeitsbereich verbunden ist, zeigt das Banner auf der Seite Übersicht , dass Ihre einheitliche Sicherheitsinformations- und Ereignisverwaltung (UNIFIED Security Information and Event Management, SIEM) und die erweiterte Erkennung und Reaktion (XDR) bereit sind. Die Seite Übersicht wird mit neuen Abschnitten aktualisiert, die Metriken aus Microsoft Sentinel wie die Anzahl der Datenconnectors und Automatisierungsregeln enthalten.

Erkunden der Microsoft Sentinel-Features im Defender-Portal

Nachdem Sie Ihren Arbeitsbereich mit dem Defender-Portal verbunden haben, befindet sich Microsoft Sentinel im linken Navigationsbereich. Seiten wie Übersicht, Incidents und Erweiterte Suche enthalten einheitliche Daten aus Microsoft Sentinel und Defender XDR. Weitere Informationen zu den einheitlichen Funktionen und Unterschieden zwischen Portalen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Viele der vorhandenen Microsoft Sentinel-Features sind in das Defender-Portal integriert. Beachten Sie für diese Features, dass die Erfahrung zwischen Microsoft Sentinel im Azure-Portal und Defender-Portal ähnlich ist. Verwenden Sie die folgenden Artikel, um Ihnen den Einstieg in die Arbeit mit Microsoft Sentinel im Defender-Portal zu erleichtern. Beachten Sie bei der Verwendung dieser Artikel, dass Ihr Ausgangspunkt in diesem Kontext das Defender-Portal und nicht das Azure-Portal ist.

Suchen Sie microsoft Sentinel-Einstellungen im Defender-Portal unter Systemeinstellungen>>Microsoft Sentinel.

Offboarden von Microsoft Sentinel

Es kann jeweils nur ein Arbeitsbereich mit dem Defender-Portal verbunden sein. Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, für den Microsoft Sentinel aktiviert ist, trennen Sie den aktuellen Arbeitsbereich, und verbinden Sie den anderen Arbeitsbereich.

  1. Wechseln Sie zum Microsoft Defender-Portal , und melden Sie sich an.

  2. Wählen Sie im Defender-Portal unter Systemdie Option Einstellungen>Microsoft Sentinel aus.

  3. Wählen Sie auf der Seite Arbeitsbereiche den verbundenen Arbeitsbereich und dann Arbeitsbereich trennen aus.

  4. Geben Sie einen Grund an, warum Sie die Verbindung mit dem Arbeitsbereich trennen.

  5. Bestätigen Sie Ihre Auswahl.

    Wenn ihr Arbeitsbereich getrennt wird, wird der Microsoft Sentinel-Abschnitt aus der linken Navigationsleiste des Defender-Portals entfernt. Daten aus Microsoft Sentinel sind nicht mehr auf der Seite Übersicht enthalten.

Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, wählen Sie auf der Seite Arbeitsbereiche den Arbeitsbereich und dann Arbeitsbereich verbinden aus.