Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään (esiversio)
Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä julkisessa esikatselussa Microsoft Defender-portaalissa. Kun otat Microsoft Sentinelin Microsoft Defender portaaliin, yhdistät ominaisuuksia Microsoft Defender XDR, kuten tapausten hallinnan ja kehittyneen metsästyksen avulla. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin. Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Sentinel Microsoft Defender -portaalissa
- Yhdistetty suojaustoimintojen ympäristö Microsoft Sentinelin ja Defender XDR kanssa
Tärkeää
Tämän artikkelin tiedot liittyvät esijulkaisutuotteeseen, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Ennakkovaatimukset
Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista:
- Microsoft Sentinel Microsoft Defender -portaalissa
- Tarkennettu etsintä Microsoft Defender -portaalissa
- Automaatio yhdistetyn suojaustoimintojen ympäristön avulla
Microsoft Defender portaali tukee yhtä Microsoft Entra vuokraajaa ja yhteyttä yhteen työtilaan kerrallaan. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa on käytössä Microsoft Sentinel.
Jotta voit ottaa Microsoft Sentinelin käyttöön ja käyttää sitä Microsoft Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:
Log Analytics -työtila, jossa on käytössä Microsoft Sentinel
Microsoft Defender XDR (aiemmin Microsoft 365 Defender) tietoyhdistin on otettu käyttöön Microsoft Sentinelissä tapauksia ja hälytyksiä varten
Microsoft Defender XDR käyttöoikeus Defender-portaalissa
Microsoft Defender XDR otettu käyttöön Microsoft Entra vuokraajassa
Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinelin tukipyyntöjen käyttöönottoon, käyttöön ja luomiseen Defender-portaalissa. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.
Tehtävä Azuren sisäinen rooli vaaditaan Soveltamisala Työtilan yhdistäminen tai yhteyden katkaiseminen Microsoft Sentinelin ollessa käytössä Omistaja tai käyttöoikeuksien järjestelmänvalvoja ja Microsoft Sentinel -osallistuja - Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien tilaus - Microsoft Sentinel -osallistujan tilaus, resurssiryhmä tai työtilaresurssi Näytä Microsoft Sentinel Defender-portaalissa Microsoft Sentinel Reader Tilaus-, resurssiryhmä- tai työtilaresurssi Kyselyn Sentinel-tietotaulukot tai tapahtumien tarkastelu Microsoft Sentinel Reader tai rooli seuraavilla toimilla:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Tilaus-, resurssiryhmä- tai työtilaresurssi Tapauksiin liittyvien tutkintatoimien toteuttaminen Microsoft Sentinel -osallistuja tai rooli seuraavilla toimilla:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write Tilaus-, resurssiryhmä- tai työtilaresurssi tukipyynnön Create Omistaja , osallistuja tai tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssa Tilaus Kun olet yhdistänyt Microsoft Sentinelin Defender-portaaliin, olemassa olevien roolipohjaisten käyttöoikeuksiesi (RBAC) avulla voit käyttää Microsoft Sentinel -ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel -käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaali. Kaikki Azure RBAC -muutokset näkyvät Defender-portaalissa. Lisätietoja Microsoft Sentinel -käyttöoikeuksista on artikkelissa Roolit ja käyttöoikeudet Microsoft Sentinelissä | Microsoft Learn ja Microsoft Sentinel -tietojen käytön hallinta resurssin mukaan | Microsoft Learn.
Microsoft Sentinel laivalla
Jos haluat yhdistää työtilan, jossa Microsoft Sentinel on käytössä Defender XDR, toimi seuraavasti:
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Microsoft Defender XDR Yleiskatsaus.
Valitse Yhdistä työtila.
Valitse työtila, johon haluat muodostaa yhteyden, ja valitse Seuraava.
Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin. Näitä muutoksia ovat muun muassa seuraavat:
- Microsoft Sentinel -työtilan lokitaulukot, kyselyt ja funktiot ovat käytettävissä myös kehittyneessä metsästyksessä Defender XDR.
- Microsoft Sentinel -osallistujan rooli määritetään Microsoft Threat Protection- ja WindowsDefenderATP-sovelluksille tilauksen sisällä.
- Microsoftin aktiivisten tietoturvatapausten luontisäännöt on poistettu käytöstä päällekkäisten tapausten välttämiseksi. Tämä muutos koskee vain Microsoftin ilmoitusten tapausten luontisääntöjä, ei muita analytiikkasääntöjä.
- Kaikki Defender XDR tuotteisiin liittyvät hälytykset virtautetaan suoraan päätietoyhdistimestä Defender XDR johdonmukaisuuden varmistamiseksi. Varmista, että sinulla on tapauksia ja ilmoituksia tästä liittimestä otettuna käyttöön työtilassa.
Valitse Yhdistä.
Kun työtila on yhdistetty, Yleiskatsaus-sivun palkki näyttää, että yhdistetty suojaustietosi ja tapahtumien hallinta (SIEM) sekä laajennettu tunnistaminen ja reagointi (XDR) ovat valmiita. Yleiskatsaus-sivulle on päivitetty uusia osia, jotka sisältävät Microsoft Sentinelin mittareita, kuten tietoliittimien määrän ja automaatiosäännöt.
Tutustu Microsoft Sentinelin ominaisuuksiin Defender-portaalissa
Kun olet yhdistänut työtilasi Defender-portaaliin, Microsoft Sentinel on vasemmassa reunassa siirtymisruudussa. Sivuilla, kuten Yleiskatsaus, Tapaukset ja Kehittynyt metsästys, on yhtenäisiä tietoja Microsoft Sentinelistä ja Defender XDR. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Defender-portaalin Microsoft Sentinelissä.
Monet nykyisistä Microsoft Sentinel -ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että näiden ominaisuuksien kohdalla Microsoft Sentinelin käyttökokemus Azure-portaali ja Defender-portaalissa ovat samanlaiset. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinelin käytön Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaali sijaan.
- Haku
- Tietoturvauhkien hallinta
- Tietojen visualisointi ja valvonta työkirjojen avulla
- Päästä päähän uhkien metsästys Huntsin kanssa
- Tietojen tutkimiseen käytettävien metsästyskirjanmerkkien käyttö
- Livestreamin metsästyksen käyttö Microsoft Sentinelissä uhan havaitsemiseksi
- Tietoturvauhkien etsiminen Jupyter-muistikirjoilla
- Ilmaisimien lisääminen joukkona Microsoft Sentinelin uhkatietoihin CSV- tai JSON-tiedostosta
- Uhkaindikaattoreiden käsitteleminen Microsoft Sentinelissä
- Mitre ATT&CK -kehyksen suojauksen kattavuus
- Sisällönhallinta
- Määritykset
- Microsoft Sentinel -tietoliittimen etsiminen
- Create mukautettuja analytiikkasääntöjä uhkien havaitsemiseksi
- Lähes reaaliaikaisten NRT-analytiikkasääntöjen käsitteleminen Microsoft Sentinelissä
- Create katseluluettelot
- Katseluluetteloiden hallinta Microsoft Sentinelissä
- Create automaatiosäännöt
- Microsoft Sentinel -pelikirjojen Create ja mukauttaminen sisältömalleista
Etsi Microsoft Sentinel -asetukset Defender-portaalista kohdastaJärjestelmäasetukset>>Microsoft Sentinel.
Offboard Microsoft Sentinel
Sinulla voi olla vain yksi työtila yhdistettynä Defender-portaaliin kerrallaan. Jos haluat muodostaa yhteyden toiseen työtilaan, jossa on käytössä Microsoft Sentinel, katkaise nykyisen työtilan yhteys ja yhdistä toinen työtila.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Defender-portaalin Järjestelmä-kohdasta Asetukset>Microsoft Sentinel.
Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.
Vahvista valintasi.
Kun työtilasi yhteys on katkaistu, Microsoft Sentinel - osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinelin tiedot eivät enää sisälly Yleiskatsaus-sivulle.
Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.
Aiheeseen liittyvä sisältö
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle