Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään (esiversio)

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä julkisessa esikatselussa Microsoft Defender-portaalissa. Kun otat Microsoft Sentinelin Microsoft Defender portaaliin, yhdistät ominaisuuksia Microsoft Defender XDR, kuten tapausten hallinnan ja kehittyneen metsästyksen avulla. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin. Lisätietoja on seuraavissa artikkeleissa:

Tärkeää

Tämän artikkelin tiedot liittyvät esijulkaisutuotteeseen, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Ennakkovaatimukset

Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista:

Microsoft Defender portaali tukee yhtä Microsoft Entra vuokraajaa ja yhteyttä yhteen työtilaan kerrallaan. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa on käytössä Microsoft Sentinel.

Jotta voit ottaa Microsoft Sentinelin käyttöön ja käyttää sitä Microsoft Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

  • Log Analytics -työtila, jossa on käytössä Microsoft Sentinel

  • Microsoft Defender XDR (aiemmin Microsoft 365 Defender) tietoyhdistin on otettu käyttöön Microsoft Sentinelissä tapauksia ja hälytyksiä varten

  • Microsoft Defender XDR käyttöoikeus Defender-portaalissa

  • Microsoft Defender XDR otettu käyttöön Microsoft Entra vuokraajassa

  • Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinelin tukipyyntöjen käyttöönottoon, käyttöön ja luomiseen Defender-portaalissa. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.

    Tehtävä Azuren sisäinen rooli vaaditaan Soveltamisala
    Työtilan yhdistäminen tai yhteyden katkaiseminen Microsoft Sentinelin ollessa käytössä Omistaja tai
    käyttöoikeuksien järjestelmänvalvoja ja Microsoft Sentinel -osallistuja    		 - Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien

    tilaus - Microsoft Sentinel -osallistujan tilaus, resurssiryhmä tai työtilaresurssi
    Näytä Microsoft Sentinel Defender-portaalissa Microsoft Sentinel Reader Tilaus-, resurssiryhmä- tai työtilaresurssi
    Kyselyn Sentinel-tietotaulukot tai tapahtumien tarkastelu Microsoft Sentinel Reader tai rooli seuraavilla toimilla:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    		 Tilaus-, resurssiryhmä- tai työtilaresurssi
    Tapauksiin liittyvien tutkintatoimien toteuttaminen Microsoft Sentinel -osallistuja tai rooli seuraavilla toimilla:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 Tilaus-, resurssiryhmä- tai työtilaresurssi
    tukipyynnön Create Omistaja ,
    osallistuja tai
    tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssa    		 Tilaus

    Kun olet yhdistänyt Microsoft Sentinelin Defender-portaaliin, olemassa olevien roolipohjaisten käyttöoikeuksiesi (RBAC) avulla voit käyttää Microsoft Sentinel -ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel -käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaali. Kaikki Azure RBAC -muutokset näkyvät Defender-portaalissa. Lisätietoja Microsoft Sentinel -käyttöoikeuksista on artikkelissa Roolit ja käyttöoikeudet Microsoft Sentinelissä | Microsoft Learn ja Microsoft Sentinel -tietojen käytön hallinta resurssin mukaan | Microsoft Learn.

Microsoft Sentinel laivalla

Jos haluat yhdistää työtilan, jossa Microsoft Sentinel on käytössä Defender XDR, toimi seuraavasti:

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse Microsoft Defender XDR Yleiskatsaus.

  3. Valitse Yhdistä työtila.

  4. Valitse työtila, johon haluat muodostaa yhteyden, ja valitse Seuraava.

  5. Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin. Näitä muutoksia ovat muun muassa seuraavat:

    • Microsoft Sentinel -työtilan lokitaulukot, kyselyt ja funktiot ovat käytettävissä myös kehittyneessä metsästyksessä Defender XDR.
    • Microsoft Sentinel -osallistujan rooli määritetään Microsoft Threat Protection- ja WindowsDefenderATP-sovelluksille tilauksen sisällä.
    • Microsoftin aktiivisten tietoturvatapausten luontisäännöt on poistettu käytöstä päällekkäisten tapausten välttämiseksi. Tämä muutos koskee vain Microsoftin ilmoitusten tapausten luontisääntöjä, ei muita analytiikkasääntöjä.
    • Kaikki Defender XDR tuotteisiin liittyvät hälytykset virtautetaan suoraan päätietoyhdistimestä Defender XDR johdonmukaisuuden varmistamiseksi. Varmista, että sinulla on tapauksia ja ilmoituksia tästä liittimestä otettuna käyttöön työtilassa.

  6. Valitse Yhdistä.

Kun työtila on yhdistetty, Yleiskatsaus-sivun palkki näyttää, että yhdistetty suojaustietosi ja tapahtumien hallinta (SIEM) sekä laajennettu tunnistaminen ja reagointi (XDR) ovat valmiita. Yleiskatsaus-sivulle on päivitetty uusia osia, jotka sisältävät Microsoft Sentinelin mittareita, kuten tietoliittimien määrän ja automaatiosäännöt.

Tutustu Microsoft Sentinelin ominaisuuksiin Defender-portaalissa

Kun olet yhdistänut työtilasi Defender-portaaliin, Microsoft Sentinel on vasemmassa reunassa siirtymisruudussa. Sivuilla, kuten Yleiskatsaus, Tapaukset ja Kehittynyt metsästys, on yhtenäisiä tietoja Microsoft Sentinelistä ja Defender XDR. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Defender-portaalin Microsoft Sentinelissä.

Monet nykyisistä Microsoft Sentinel -ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että näiden ominaisuuksien kohdalla Microsoft Sentinelin käyttökokemus Azure-portaali ja Defender-portaalissa ovat samanlaiset. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinelin käytön Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaali sijaan.

Etsi Microsoft Sentinel -asetukset Defender-portaalista kohdastaJärjestelmäasetukset>>Microsoft Sentinel.

Offboard Microsoft Sentinel

Sinulla voi olla vain yksi työtila yhdistettynä Defender-portaaliin kerrallaan. Jos haluat muodostaa yhteyden toiseen työtilaan, jossa on käytössä Microsoft Sentinel, katkaise nykyisen työtilan yhteys ja yhdistä toinen työtila.

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse Defender-portaalin Järjestelmä-kohdasta Asetukset>Microsoft Sentinel.

  3. Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.

  4. Vahvista valintasi.

    Kun työtilasi yhteys on katkaistu, Microsoft Sentinel - osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinelin tiedot eivät enää sisälly Yleiskatsaus-sivulle.

Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.

Aiheeseen liittyvä sisältö