Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään

• Koskee seuraavia::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel on yleisesti saatavilla Microsoftin yhtenäisessä suojaustoimintojen ympäristössä Microsoft Defender -portaalissa. Kun otat Microsoft Sentinelin mukaan Defender-portaaliin, yhdistät Microsoft Defender XDR:n ominaisuuksia, kuten tapausten hallintaa ja kehittynyttä metsästystä. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin. Lisätietoja on seuraavissa artikkeleissa:

• Blogikirjoitus: Microsoftin yhtenäisen suojaustoimintojen ympäristön yleinen saatavuus
• Blogikirjoitus: Usein kysyttyjä kysymyksiä yhtenäisestä suojaustoimintojen ympäristöstä
• Microsoft Sentinel Microsoft Defender -portaalissa
• Microsoft Defender XDR -integrointi Microsoft Sentinelin kanssa

Ennakkovaatimukset

Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista:

• Microsoft Sentinel Microsoft Defender -portaalissa
• Tarkennettu etsintä Microsoft Defender -portaalissa
• Hälytykset, tapaukset ja korrelaatio Microsoft Defender XDR:ssä
• Automaatio yhdistetyn suojaustoimintojen ympäristön avulla

Microsoft Defender -portaali tukee yhtä Microsoft Entra -vuokraajaa ja yhteyttä yhteen työtilaan kerrallaan. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa on käytössä Microsoft Sentinel.

Jotta voit ottaa Microsoft Sentinelin käyttöön ja käyttää sitä Microsoft Defender -portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

• Log Analytics -työtila, jossa on käytössä Microsoft Sentinel

• Microsoft Defender XDR:n (aiemmin Microsoft 365 Defender) tietoyhdistin on otettu käyttöön Microsoft Sentinelissä tapauksia ja hälytyksiä varten. Lisätietoja on artikkelissa Tietojen yhdistäminen Microsoft Defender XDR:stä Microsoft Sentineliin.

• Microsoft Defender XDR:n käyttö Defender-portaalissa

• Microsoft Defender XDR otettu käyttöön Microsoft Entra -vuokraajassa

• Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinelin tukipyyntöjen käyttöönottoon, käyttöön ja luomiseen Defender-portaalissa. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.

  Tehtävä	Azuren sisäinen rooli vaaditaan	Laajuus
  Työtilan yhdistäminen tai yhteyden katkaiseminen Microsoft Sentinelin ollessa käytössä	Omistaja tai käyttöoikeuksien järjestelmänvalvoja ja Microsoft Sentinel -osallistuja	- Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien tilaus - Microsoft Sentinel -osallistujan tilaus, resurssiryhmä tai työtilaresurssi
  Näytä Microsoft Sentinel Defender-portaalissa	Microsoft Sentinel Reader	Tilaus-, resurssiryhmä- tai työtilaresurssi
  Kyselyn Sentinel-tietotaulukot tai tapahtumien tarkastelu	Microsoft Sentinel Reader tai rooli seuraavilla toimilla: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Tilaus-, resurssiryhmä- tai työtilaresurssi
  Tapauksiin liittyvien tutkintatoimien toteuttaminen	Microsoft Sentinel -osallistuja tai rooli seuraavilla toimilla: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Tilaus-, resurssiryhmä- tai työtilaresurssi
  Tukipyynnön luominen	Omistaja , osallistuja tai tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssa	Tilaus

  Kun olet yhdistänyt Microsoft Sentinelin Defender-portaaliin, olemassa olevien roolipohjaisten käyttöoikeuksiesi (RBAC) avulla voit käyttää Microsoft Sentinel -ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel -käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaalista. Kaikki Azure RBAC -muutokset näkyvät Defender-portaalissa. Lisätietoja Microsoft Sentinel -käyttöoikeuksista on artikkelissa Roolit ja käyttöoikeudet Microsoft Sentinelissä | Microsoft Learn ja Microsoft Sentinel -tietojen käytön hallinta resurssin mukaan | Microsoft Learn.

Microsoft Sentinel laivalla

Voit yhdistää työtilan, jossa Microsoft Sentinel on käytössä Defender XDR:ssä, suorittamalla seuraavat vaiheet:

1. Siirry Microsoft Defender -portaaliin ja kirjaudu sisään.

2. Valitse Microsoft Defender XDR:ssä Yleiskatsaus.

3. Valitse Yhdistä työtila.

4. Valitse työtila, johon haluat muodostaa yhteyden, ja valitse Seuraava.

5. Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin. Näitä muutoksia ovat muun muassa seuraavat:

   • Microsoft Sentinel -työtilan lokitaulukot, kyselyt ja funktiot ovat käytettävissä myös kehittyneessä metsästyksessä Defender XDR:ssä.
   • Microsoft Sentinel -osallistujan rooli määritetään Microsoft Threat Protection- ja WindowsDefenderATP-sovelluksille tilauksen sisällä.
   • Microsoftin aktiivisten tietoturvatapausten luontisäännöt on poistettu käytöstä päällekkäisten tapausten välttämiseksi. Tämä muutos koskee vain Microsoftin ilmoitusten tapausten luontisääntöjä, ei muita analytiikkasääntöjä.
   • Kaikki Defender XDR -tuotteisiin liittyvät hälytykset suoratoistavat suoraan Defender XDR -päätietoyhdistimestä johdonmukaisuuden varmistamiseksi. Varmista, että sinulla on tapauksia ja ilmoituksia tästä liittimestä otettuna käyttöön työtilassa.

6. Valitse Yhdistä.

Kun työtila on yhdistetty, Yleiskatsaus-sivun palkki näyttää, että yhdistetty suojaustietosi ja tapahtumien hallinta (SIEM) sekä laajennettu tunnistaminen ja reagointi (XDR) ovat valmiita. Yleiskatsaus-sivulle on päivitetty uusia osia, jotka sisältävät Microsoft Sentinelin mittareita, kuten tietoliittimien määrän ja automaatiosäännöt.

Tutustu Microsoft Sentinelin ominaisuuksiin Defender-portaalissa

Kun olet yhdistänut työtilasi Defender-portaaliin, Microsoft Sentinel on vasemmassa reunassa siirtymisruudussa. Sivuilla, kuten Yleiskatsaus, Tapaukset ja Kehittynyt metsästys , on yhtenäisiä tietoja Microsoft Sentinelistä ja Defender XDR:stä. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Monet nykyisistä Microsoft Sentinel -ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että näissä ominaisuuksissa Microsoft Sentinelin välinen käyttökokemus Azure-portaalissa ja Defender-portaalissa on samanlainen. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinelin käytön Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaalin sijaan.

• Etsiä
  • Haku pitkillä ajanjaksolla suurissa tietojoukoissa
  • Palauta arkistoidut lokit hausta
• Tietoturvauhkien hallinta
  • Tietojen visualisointi ja valvonta työkirjojen avulla
  • Päästä päähän uhkien metsästys Huntsin kanssa
  • Tietojen tutkimiseen käytettävien metsästyskirjanmerkkien käyttö
  • Livestreamin metsästyksen käyttö Microsoft Sentinelissä uhan havaitsemiseksi
  • Tietoturvauhkien etsiminen Jupyter-muistikirjoilla
  • Ilmaisimien lisääminen joukkona Microsoft Sentinelin uhkatietoihin CSV- tai JSON-tiedostosta
  • Uhkaindikaattoreiden käsitteleminen Microsoft Sentinelissä
  • Mitre ATT&CK -kehyksen suojauksen kattavuus
• Sisällönhallinta
  • Tutustu Microsoft Sentineliin ja hallitse sitä valmiissa sisällössä
  • Microsoft Sentinel -sisältökeskusluettelo
  • Mukautetun sisällön käyttöönotto säilöstä
• Määritykset
  • Microsoft Sentinel -tietoliittimen etsiminen
  • Mukautettujen analytiikkasääntöjen luominen uhkien havaitsemiseksi
  • Lähes reaaliaikaisten NRT-analytiikkasääntöjen käsitteleminen Microsoft Sentinelissä
  • Katseluluetteloiden luominen
  • Katseluluetteloiden hallinta Microsoft Sentinelissä
  • Automaatiosääntöjen luominen
  • Luo ja mukauta Microsoft Sentinel -pelikirjoja sisältömalleista

Etsi Microsoft Sentinel -asetukset Defender-portaalista kohdastaJärjestelmäasetukset>>Microsoft Sentinel.

Offboard Microsoft Sentinel

Sinulla voi olla vain yksi työtila yhdistettynä Defender-portaaliin kerrallaan. Jos haluat muodostaa yhteyden toiseen työtilaan, jossa on käytössä Microsoft Sentinel, katkaise nykyisen työtilan yhteys ja yhdistä toinen työtila.

1. Siirry Microsoft Defender -portaaliin ja kirjaudu sisään.

2. Valitse Defender-portaalin Järjestelmä-kohdasta Asetukset>Microsoft Sentinel.

3. Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.

4. Anna syy, miksi katkaiset työtilan yhteyden.

5. Vahvista valintasi.

   Kun työtilasi yhteys on katkaistu, Microsoft Sentinel - osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinelin tiedot eivät enää sisälly Yleiskatsaus-sivulle.

Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.

Aiheeseen liittyvä sisältö

• Microsoft Sentinel Microsoft Defender -portaalissa
• Tarkennettu etsintä Microsoft Defender -portaalissa
• Automaattinen hyökkäyshäiriö Microsoft Defender XDR:ssä
• Microsoft Defender XDR -tapausten tutkiminen
• Suojaustoimintojen optimointi