Freigeben über


Microsoft Sentinel im Microsoft Defender-Portal

Dieser Artikel beschreibt die Microsoft Sentinel-Erfahrung im Microsoft Defender-Portal. Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal mit Microsoft Defender XDR allgemein verfügbar. Weitere Informationen finden Sie unter:

Für die Preview ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar.

Neue und verbesserte Funktionen

Die folgende Tabelle beschreibt die neuen oder verbesserten Funktionen, die im Defender-Portal mit der Integration von Microsoft Sentinel verfügbar sind. Microsoft entwickelt diese neue Umgebung mit Features weiter, die möglicherweise exklusiv für das Defender-Portal sind.

Capabilities Beschreibung
Erweiterte Erkennung Fragen Sie verschiedene Datasets aus einem einzelne Portal ab, um das Hunting effizienter zu gestalten und die Notwendigkeit des Kontextwechsels zu beseitigen. Verwenden Sie Security Copilot zum Generieren Ihrer KQL. Zeigen Sie alle Daten an und fragen diese ab, einschließlich Daten von Microsoft-Sicherheitsdiensten und Microsoft Sentinel. Verwenden Sie Ihre vorhandenen Microsoft Sentinel-Arbeitsbereichsinhalte, einschließlich Abfragen und Funktionen.

Weitere Informationen finden Sie in den folgenden Artikeln:
- Erweiterte Bedrohungssuche im Microsoft Defender-Portal
- Security Copilot bei der erweiterten Bedrohungssuche
SOC-Optimierungen Erhalten Sie Empfehlungen mit hoher Genauigkeit und umsetzbaren Maßnahmen, um die Bereiche für Folgendes zu identifizieren:
– Senkung von Kosten
– Hinzufügen von Sicherheitssteuerelementen
– Hinzufügen fehlender Daten
SOC-Optimierungen sind in den Defender- und Azure-Portalen verfügbar, sind auf Ihre Umgebung zugeschnitten und basieren auf Ihrer aktuellen Abdeckungs- und Bedrohungslandschaft.

Weitere Informationen finden Sie in den folgenden Artikeln:
- Optimieren Ihrer Security Operations
- Referenz zu SOC-Optimierungsempfehlungen
Microsoft Copilot in Microsoft Defender Bei der Untersuchung von Vorfällen im Defender-Portal unternehmen Sie folgende Schritte:
- Zusammenfassung von Vorfällen
- Analysieren von Skripts
- Analysieren von Dateien
- Erstellen von Vorfallberichten

Erstellen Sie bei der Suche nach Bedrohungen im Rahmen einer erweiterten Suche mithilfe des Abfrage-Assistenten sofort einsatzbereite KQL-Abfragen. Weitere Informationen finden Sie unter Microsoft Security Copilot in der erweiterten Suche.

Die folgende Tabelle beschreibt zusätzlichen Funktionen, die im Defender-Portal durch die Integration von Microsoft Sentinel und Microsoft Defender XDR als Bestandteile der einheitlichen Security Operations-Plattform von Microsoft verfügbar sind.

Capabilities Beschreibung
Angriff unterbrechen Stellen Sie automatische Angriffsunterbrechungen für SAP sowohl mithilfe des Defender-Portals als auch der Microsoft Sentinel-Lösung für SAP-Anwendungen bereit. Dämmen Sie beispielsweise kompromittierte Ressourcen ein, indem Sie verdächtige SAP-Benutzer bei einem Angriff zur Manipulation von Finanzprozessen sperren.

Die Angriffsunterbrechungsfunktionen für SAP sind nur im Defender-Portal verfügbar. Um Angriffsunterbrechungen für SAP zu verwenden, aktualisieren Sie die Agentversion Ihres Datenconnectors, und stellen Sie sicher, dass die relevante Azure-Rolle der Identität Ihres Agents zugewiesen ist.

Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung für SAP.
Einheitliche Entitäten Entitätsseiten für Geräte, Benutzer, IP-Adressen und Azure-Ressourcen im Defender-Portal zeigen Informationen aus Microsoft Sentinel- und Defender-Datenquellen an. Diese Entitätsseiten bieten Ihnen einen erweiterten Kontext für Ihre Untersuchungen von Vorfällen und Warnungen im Defender-Portal.

Weitere Informationen finden Sie unter Untersuchen von Entitäten mit Entitätsseiten in Microsoft Sentinel.
Einheitliche Vorfälle Verwalten und untersuchen Sie Sicherheitsvorfälle an einem einzigen Ort und aus einer einzigen Warteschlange im Defender-Portal. Verwenden Sie Security Copilot für Zusammenfassung, Reaktion und Berichterstellung. Vorfälle umfassen:
– Daten aus einer Vielzahl von Quellen
– KI-Analysetools von SIEM (Security Information & Event Management)
– Tools für Kontext und Risikominderung, die von der erweiterten Erkennung und Reaktion (eXtended Detection and Response, XDR) angeboten werden

Weitere Informationen finden Sie in den folgenden Artikeln:
- Incident Response im Microsoft Defender-Portal
- Untersuchen von Microsoft Sentinel-Vorfällen in Security Copilot
Microsoft Copilot in Microsoft Defender Bei der Untersuchung von Vorfällen mit in Defender XDR integriertes Microsoft Sentinel führen Sie folgende Schritte durch:
- Triage und Untersuchen von Vorfällen mit angeleiteten Reaktionen
- Zusammenfassen der Geräteinformationen
- Zusammenfassen der Identitätsinformationen

Fassen Sie die relevanten Bedrohungen zusammen, die sich auf Ihre Umgebung auswirken, um ihre Beseitigung basierend auf Ihrem Gefährdungspotenzial zu priorisieren oder Bedrohungsakteure zu finden, die möglicherweise auf Ihre Branche abzielen, indem Sie Security Copilot in der Threat Intelligence verwenden. Weitere Informationen finden Sie unter Verwenden von Microsoft Security Copilot für Threat Intelligence.

Funktionsunterschiede zwischen den Portalen

Die meisten Microsoft Sentinel-Funktionen sind sowohl im Azure- als auch im Defender-Portal verfügbar. Im Defender-Portal öffnen sich einige Microsoft Sentinel-Erfahrungen im Azure-Portal, damit Sie eine Aufgabe abschließen können.

Dieser Abschnitt behandelt die Microsoft Sentinel-Funktionen oder -Integrationen, die nur im Azure-Portal oder im Defender-Portal verfügbar sind, sowie andere wesentliche Unterschiede zwischen den Portalen. Es schließt die Microsoft Sentinel-Erfahrungen aus, die das Azure-Portal über das Defender-Portal öffnen.

Funktion Verfügbarkeit Beschreibung
Erweiterte Suche mit Lesezeichen Nur Azure-Portal Lesezeichen werden im Microsoft Defender-Portal in der erweiterten Hunting-Erfahrung nicht unterstützt. Im Defender-Portal werden sie unter Microsoft Sentinel > Bedrohungsverwaltung > Hunting unterstützt.

Weitere Informationen finden Sie unter Daten während des Huntings mit Microsoft Sentinel verfolgen.
Angriffsunterbrechung für SAP Defender-Portal nur mit Defender XDR Diese Funktionalität ist im Azure-Portal nicht verfügbar.

Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung im Microsoft Defender-Portal.
Automatisierung Einige Automatisierungsverfahren sind nur im Azure-Portal verfügbar.

Andere Automatisierungsverfahren sind in den Defender- und Azure-Portalen identisch, unterscheiden sich jedoch im Azure-Portal zwischen Arbeitsbereichen, die in das Defender-Portal integriert sind, und solchen, die es nicht sind.


Weitere Informationen finden Sie unter Automatisierung mit der einheitlichen Security Operations-Plattform.
Datenconnectors: Sichtbarkeit von Connectors, die von der einheitlichen Security Operations-Plattform verwendet werden Nur Azure-Portal Nach dem Onboarding von Microsoft Sentinel werden im Defender-Portal die folgenden Datenconnectors, die Teil der einheitlichen Security Operations-Plattform sind, nicht auf der Seite Datenconnectors angezeigt:
  • Microsoft Defender für Cloud-Apps
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365 (Vorschau)
  • Microsoft Defender XDR
  • Abonnementbasiertes Microsoft Defender for Cloud (Legacy)
  • Mandantenbasiertes Microsoft Defender for Cloud (Vorschau)

    Im Azure-Portal werden diese Datenconnectors weiterhin mit den installierten Datenconnectors in Microsoft Sentinel aufgeführt.
  • Entitäten: Hinzufügen von Entitäten zur Threat Intelligence von Vorfällen Nur Azure-Portal Diese Funktionalität ist im Defender-Portal nicht verfügbar.

    Weitere Informationen finden Sie unter Hinzufügen einer Entität zu Bedrohungsindikatoren.
    Fusion: Erweiterte Erkennung von mehrstufigen Angriffen Nur Azure-Portal Die Fusion-Analyseregel, die Vorfälle basierend auf Warnkorrelationen erstellt, die vom Fusion-Korrelationsmodul erstellt werden, wird deaktiviert, wenn Sie ein Onboarding von Microsoft Sentinel in das Defender-Portal durchführen.

    Das Defender-Portal verwendet die Funktionen zur Erstellung von Vorfällen und Korrelationen von Microsoft Defender XDR, um die Funktionen des Fusion-Moduls zu ersetzen.

    Weitere Informationen finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel
    Vorfälle: Hinzufügen von Warnungen zu Vorfällen/
    Entfernen von Warnungen aus Vorfällen
    Nur Defender-Portal Nach dem Onboarding von Microsoft Sentinel in das Defender-Portal können Sie im Azure-Portal keine Warnungen mehr zu Vorfällen hinzufügen oder daraus entfernen.

    Sie können eine Warnung aus einem Vorfall im Defender-Portal entfernen, aber nur, indem Sie die Warnung mit einem anderen Vorfall (vorhanden oder neu) verknüpfen.
    Vorfälle: Bearbeiten von Kommentaren Nur Azure-Portal Nach dem Onboarding von Microsoft Sentinel in das Defender-Portal können Sie Vorfällen in beiden Portalen Kommentare hinzufügen, vorhandene Kommentare können jedoch nicht bearbeitet werden.

    An Kommentaren im Azure-Portal vorgenommene Änderungen werden nicht mit dem Defender-Portal synchronisiert.
    Vorfälle: Programmgesteuerte und manuelle Erstellung von Vorfällen Nur Azure-Portal Vorfälle, die in Microsoft Sentinel über die API, durch ein Logic App-Playbook oder manuell über das Azure-Portal erstellt wurden, werden nicht mit dem Defender-Portal synchronisiert. Diese Vorfälle werden weiterhin im Azure-Portal und in der API unterstützt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer eigenen Vorfälle in Microsoft Sentinel.
    Vorfälle: Erneutes Öffnen geschlossener Vorfälle Nur Azure-Portal Im Defender-Portal können Sie keine Warngruppierung in Microsoft Sentinel-Analyseregeln festlegen, um geschlossene Vorfälle erneut zu öffnen, wenn neue Warnungen hinzugefügt werden.
    Geschlossene Vorfälle werden in diesem Fall nicht erneut geöffnet, und neue Warnungen lösen neue Vorfälle aus.
    Vorfälle: Aufgaben Nur Azure-Portal Aufgaben sind im Defender-Portal nicht verfügbar.

    Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben.
    Verwaltung mehrerer Arbeitsbereiche für Microsoft Sentinel Defender-Portal: Auf einen Microsoft Sentinel-Arbeitsbereich pro Mandant beschränkt

    Azure-Portal: Zentrales Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche für Mandanten
    Derzeit wird im Defender-Portal nur ein Microsoft Sentinel-Arbeitsbereich pro Mandant unterstützt. Daher unterstützt die Microsoft Defender-Mehrinstanzenverwaltung einen Microsoft Sentinel-Arbeitsbereich pro Mandant.

    Weitere Informationen finden Sie in den folgenden Artikeln:
    - Defender-Portal: Microsoft Defender-Mehrinstanzenverwaltung
    - Azure Portal: Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche mit dem Arbeitsbereichs-Manager

    Eingeschränkte oder nicht verfügbare Funktionen

    Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, ohne Defender XDR oder andere Dienste aktiviert zu haben, sind die folgenden Features, die im Defender-Portal angezeigt werden, derzeit nur eingeschränkt oder nicht verfügbar.

    Funktion Dienst erforderlich
    Gefährdungsmanagement Microsoft Security Exposure Management
    Benutzerdefinierte Erkennungsregeln Microsoft Defender XDR
    Info-Center Microsoft Defender XDR

    Die folgenden Einschränkungen gelten auch für Microsoft Sentinel im Defender-Portal, wenn Defender XDR oder andere Dienste nicht aktiviert sind:

    • Neue Microsoft Sentinel-Kunden sind nicht berechtigt, einen Log Analytics-Arbeitsbereich zu integrieren, der in der Region Israel erstellt wurde. Um das Onboarding im Defender-Portal zu durchzuführen, erstellen Sie einen neuen Arbeitsbereich für Microsoft Sentinel in einer anderen Region. Dieser zusätzliche Arbeitsbereich muss keine Daten enthalten.
    • Für Kunden, die Microsoft Sentinel-Benutzer- und Entitätsverhaltensanalysen (User and Entity Behavioral Analytics, UEBA) verwenden, wird eine eingeschränkte Version der IdentityInfo-Tabelle bereitgestellt.

    Kurzreferenz

    Einige Microsoft Sentinel-Funktionen, z. B. die einheitliche Vorfallwarteschlange, sind in Microsoft Defender XDR in der einheitlichen Security Operations-Plattform von Microsoft integriert. Viele andere Microsoft Sentinel-Funktionen sind im Abschnitt Microsoft Sentinel des Defender-Portals verfügbar.

    Die folgende Abbildung zeigt das Microsoft Sentinel-Menü im Defender-Portal:

    Screenshot der linken Navigation des Defender-Portals mit dem Abschnitt „Microsoft Sentinel“.

    Die folgenden Abschnitte beschreiben, wo Sie Microsoft Sentinel-Features im Defender-Portal finden. Die Abschnitte sind so organisiert, wie es Microsoft Sentinel im Azure-Portal ist.

    Allgemein

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Allgemein im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Übersicht Übersicht
    Protokolle Untersuchung und Reaktion > Hunting > Erweitertes Hunting
    Neuigkeiten und Leitfäden Nicht verfügbar
    Suche Microsoft Sentinel > Suche

    Verwaltung von Bedrohungen

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Bedrohungsverwaltung im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Vorfälle Untersuchung und Reaktion > Vorfälle und Warnungen > Vorfälle
    Arbeitsmappen Microsoft Sentinel > Bedrohungsverwaltung > Workbooks
    Hunting Microsoft Sentinel > Bedrohungsverwaltung > Hunting
    Notebooks Microsoft Sentinel > Bedrohungsverwaltung > Notebooks
    Entitätsverhalten Benutzerentitätsseite: Ressourcen > Identitäten >{user}> Sentinel-Ereignisse
    Geräteentitätsseite: Ressourcen > Geräte >{device}> Sentinel-Ereignisse

    Suchen Sie außerdem die Entitätsseiten für die Entitätstypen Benutzer, Gerät, IP-Adresse und Azure-Ressource aus Vorfällen und Warnungen, sobald sie angezeigt werden.
    Threat Intelligence Microsoft Sentinel > Bedrohungsverwaltung > Threat Intelligence
    MITRE ATT&CK Microsoft Sentinel > Bedrohungsverwaltung > MITRE ATT&CK

    Content Management

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Inhaltsverwaltung im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Inhaltshub Microsoft Sentinel > Inhaltsverwaltung > Inhaltshub
    Repositorys Microsoft Sentinel > Inhaltsverwaltung > Repositorys
    Community Microsoft Sentinel > Inhaltsverwaltung > Community

    Konfiguration

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Konfiguration im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Arbeitsbereichs-Manager Nicht verfügbar
    Datenconnectors Microsoft Sentinel > Konfiguration > Datenconnector
    Analyse Microsoft Sentinel > Konfiguration > Analytics
    Watchlists Microsoft Sentinel > Konfiguration > Watchlists
    Automatisierung Microsoft Sentinel > Konfiguration > Automatisierung
    Einstellungen System > Einstellungen > Microsoft Sentinel