Jaa


Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään

Microsoft Sentinel on yleisesti saatavilla Microsoftin yhtenäisessä suojaustoimintojen ympäristössä Microsoft Defender -portaalissa. Kun otat Microsoft Sentinelin mukaan Defender-portaaliin, yhdistät Microsoft Defender XDR:n ominaisuuksia, kuten tapausten hallintaa ja kehittynyttä metsästystä. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin. Lisätietoja on seuraavissa artikkeleissa:

Ennakkovaatimukset

Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista:

Microsoft Defender -portaali tukee yhtä Microsoft Entra -vuokraajaa ja yhteyttä yhteen työtilaan kerrallaan. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa on käytössä Microsoft Sentinel.

Jotta voit ottaa Microsoft Sentinelin käyttöön ja käyttää sitä Microsoft Defender -portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

  • Log Analytics -työtila, jossa on käytössä Microsoft Sentinel

  • Microsoft Defender XDR:n (aiemmin Microsoft 365 Defender) tietoyhdistin on otettu käyttöön Microsoft Sentinelissä tapauksia ja hälytyksiä varten. Lisätietoja on artikkelissa Tietojen yhdistäminen Microsoft Defender XDR:stä Microsoft Sentineliin.

  • Microsoft Defender XDR:n käyttö Defender-portaalissa

  • Microsoft Defender XDR otettu käyttöön Microsoft Entra -vuokraajassa

  • Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinelin tukipyyntöjen käyttöönottoon, käyttöön ja luomiseen Defender-portaalissa. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.

    Tehtävä Azuren sisäinen rooli vaaditaan Laajuus
    Työtilan yhdistäminen tai yhteyden katkaiseminen Microsoft Sentinelin ollessa käytössä Omistaja tai
    käyttöoikeuksien järjestelmänvalvoja ja Microsoft Sentinel -osallistuja
    - Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien

    tilaus - Microsoft Sentinel -osallistujan tilaus, resurssiryhmä tai työtilaresurssi
    Näytä Microsoft Sentinel Defender-portaalissa Microsoft Sentinel Reader Tilaus-, resurssiryhmä- tai työtilaresurssi
    Kyselyn Sentinel-tietotaulukot tai tapahtumien tarkastelu Microsoft Sentinel Reader tai rooli seuraavilla toimilla:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Tilaus-, resurssiryhmä- tai työtilaresurssi
    Tapauksiin liittyvien tutkintatoimien toteuttaminen Microsoft Sentinel -osallistuja tai rooli seuraavilla toimilla:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Tilaus-, resurssiryhmä- tai työtilaresurssi
    Tukipyynnön luominen Omistaja ,
    osallistuja tai
    tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssa
    Tilaus

    Kun olet yhdistänyt Microsoft Sentinelin Defender-portaaliin, olemassa olevien roolipohjaisten käyttöoikeuksiesi (RBAC) avulla voit käyttää Microsoft Sentinel -ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel -käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaalista. Kaikki Azure RBAC -muutokset näkyvät Defender-portaalissa. Lisätietoja Microsoft Sentinel -käyttöoikeuksista on artikkelissa Roolit ja käyttöoikeudet Microsoft Sentinelissä | Microsoft Learn ja Microsoft Sentinel -tietojen käytön hallinta resurssin mukaan | Microsoft Learn.

Microsoft Sentinel laivalla

Voit yhdistää työtilan, jossa Microsoft Sentinel on käytössä Defender XDR:ssä, suorittamalla seuraavat vaiheet:

  1. Siirry Microsoft Defender -portaaliin ja kirjaudu sisään.

  2. Valitse Microsoft Defender XDR:ssä Yleiskatsaus.

  3. Valitse Yhdistä työtila.

  4. Valitse työtila, johon haluat muodostaa yhteyden, ja valitse Seuraava.

  5. Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin. Näitä muutoksia ovat muun muassa seuraavat:

    • Microsoft Sentinel -työtilan lokitaulukot, kyselyt ja funktiot ovat käytettävissä myös kehittyneessä metsästyksessä Defender XDR:ssä.
    • Microsoft Sentinel -osallistujan rooli määritetään Microsoft Threat Protection- ja WindowsDefenderATP-sovelluksille tilauksen sisällä.
    • Microsoftin aktiivisten tietoturvatapausten luontisäännöt on poistettu käytöstä päällekkäisten tapausten välttämiseksi. Tämä muutos koskee vain Microsoftin ilmoitusten tapausten luontisääntöjä, ei muita analytiikkasääntöjä.
    • Kaikki Defender XDR -tuotteisiin liittyvät hälytykset suoratoistavat suoraan Defender XDR -päätietoyhdistimestä johdonmukaisuuden varmistamiseksi. Varmista, että sinulla on tapauksia ja ilmoituksia tästä liittimestä otettuna käyttöön työtilassa.
  6. Valitse Yhdistä.

Kun työtila on yhdistetty, Yleiskatsaus-sivun palkki näyttää, että yhdistetty suojaustietosi ja tapahtumien hallinta (SIEM) sekä laajennettu tunnistaminen ja reagointi (XDR) ovat valmiita. Yleiskatsaus-sivulle on päivitetty uusia osia, jotka sisältävät Microsoft Sentinelin mittareita, kuten tietoliittimien määrän ja automaatiosäännöt.

Tutustu Microsoft Sentinelin ominaisuuksiin Defender-portaalissa

Kun olet yhdistänut työtilasi Defender-portaaliin, Microsoft Sentinel on vasemmassa reunassa siirtymisruudussa. Sivuilla, kuten Yleiskatsaus, Tapaukset ja Kehittynyt metsästys , on yhtenäisiä tietoja Microsoft Sentinelistä ja Defender XDR:stä. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Monet nykyisistä Microsoft Sentinel -ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että näissä ominaisuuksissa Microsoft Sentinelin välinen käyttökokemus Azure-portaalissa ja Defender-portaalissa on samanlainen. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinelin käytön Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaalin sijaan.

Etsi Microsoft Sentinel -asetukset Defender-portaalista kohdastaJärjestelmäasetukset>>Microsoft Sentinel.

Offboard Microsoft Sentinel

Sinulla voi olla vain yksi työtila yhdistettynä Defender-portaaliin kerrallaan. Jos haluat muodostaa yhteyden toiseen työtilaan, jossa on käytössä Microsoft Sentinel, katkaise nykyisen työtilan yhteys ja yhdistä toinen työtila.

  1. Siirry Microsoft Defender -portaaliin ja kirjaudu sisään.

  2. Valitse Defender-portaalin Järjestelmä-kohdasta Asetukset>Microsoft Sentinel.

  3. Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.

  4. Anna syy, miksi katkaiset työtilan yhteyden.

  5. Vahvista valintasi.

    Kun työtilasi yhteys on katkaistu, Microsoft Sentinel - osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinelin tiedot eivät enää sisälly Yleiskatsaus-sivulle.

Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.