Microsoft Sentinel yhdistäminen Microsoft Defender portaaliin

2025-05-24
Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel on yleisesti saatavilla Microsoft Defender-portaalissa, Microsoft Defender XDR tai E5-käyttöoikeuden kanssa tai ilman sitä. Kun perehdytät Microsoft Sentinel Defender-portaaliin yhdessä Microsoft Defender XDR, yhdistät ominaisuuksia, kuten tapausten hallinnan ja kehittyneen metsästyksen. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin. Lisätietoja on seuraavissa artikkeleissa:

Ennakkovaatimukset

Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista.

Microsoft Defender portaali tukee yhtä Microsoft Entra vuokraajaa ja yhteyttä ensisijaiseen työtilaan ja useisiin toissijaisiin työtiloihin. Jos sinulla on vain yksi työtila, kun olet Microsoft Sentinel, kyseinen työtila määritetään ensisijaiseksi työtilaksi. Lisätietoja on Defender-portaalin kohdassa Useita Microsoft Sentinel työtiloja. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa Microsoft Sentinel käytössä.

Microsoft Sentinel edellytykset

Jotta voit ottaa Microsoft Sentinel käyttöön ja käyttää sitä Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

Log Analytics -työtila, jossa on Microsoft Sentinel käytössä

Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinel käyttöönottoon, käyttöön ja luomiseen Defender-portaalissa. Et näe Defender-portaalissa työtiloja, jotka ovat siinä, missä sinulla ei ole tarvittavia käyttöoikeuksia. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.

Tehtävä	Microsoft Entra tai Azuren sisäinen rooli vaaditaan	Laajuus
Onboard Microsoft Sentinel Defender-portaaliin	Jokin seuraavista Microsoft Entra ID: - yleinen järjestelmänvalvoja AND-tilauksen omistaja - Suojauksen järjestelmänvalvoja AND-tilauksen omistaja - yleinen järjestelmänvalvoja JA käyttöoikeuksien järjestelmänvalvoja JA Microsoft Sentinel osallistuja - Suojauksen järjestelmänvalvoja AND User Access Administrator AND Microsoft Sentinel Contributor	Vuokraaja
Toissijaisen työtilan yhdistäminen tai yhteyden katkaiseminen	Jokin seuraavista: - yleinen järjestelmänvalvoja AND-tilauksen omistaja - Suojauksen järjestelmänvalvoja AND-tilauksen omistaja - yleinen järjestelmänvalvoja JA käyttöoikeuksien järjestelmänvalvoja JA Microsoft Sentinel osallistuja - Suojauksen järjestelmänvalvoja AND User Access Administrator AND Microsoft Sentinel Contributor - Tilauksen omistaja - Käyttöoikeuksien järjestelmänvalvoja AND Microsoft Sentinel osallistuja	- Tilauksen omistajan tai käyttäjän käyttöoikeuden järjestelmänvalvojan roolit - Microsoft Sentinel Osallistujan tilaus, resurssiryhmä tai työtilaresurssi
Ensisijaisen työtilan muuttaminen	yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja Microsoft Entra ID	Vuokraaja
Näytä Microsoft Sentinel Defender-portaalissa	Microsoft Sentinel lukuohjelma	Tilaus-, resurssiryhmä- tai työtilaresurssi
Kyselyn Microsoft Sentinel tietotaulukoihin tai tapahtumien tarkasteluun	Microsoft Sentinel Reader tai rooli seuraavilla toimilla: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Tilaus-, resurssiryhmä- tai työtilaresurssi
Tapauksiin liittyvien tutkintatoimien toteuttaminen	Microsoft Sentinel Osallistuja tai rooli seuraavilla toimilla: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Tilaus-, resurssiryhmä- tai työtilaresurssi
Tukipyynnön luominen	Omistaja , osallistuja tai tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssa	Tilaus

Kun olet muodostanut yhteyden Microsoft Sentinel Defender-portaaliin, olemassa olevien roolipohjaisten käyttöoikeuksien (RBAC) avulla voit käyttää Microsoft Sentinel ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaali, sillä kaikki Azure RBAC -muutokset näkyvät Defender-portaalissa.

Lisätietoja on ohjeaiheessa roolit ja käyttöoikeudet Microsoft Sentinel ja Tietojen Microsoft Sentinel käyttöoikeuksien hallinta resurssin mukaan.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Yhtenäisen suojaustoiminnon edellytykset

Jotta voit yhdistää Microsoft Defender XDR ja Microsoft Sentinel suojaustoiminnot Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

Defender XDR käyttöoikeudet Microsoft Defender XDR edellytysten mukaan
Tili Defender XDR on saman Microsoft Entra vuokraajan jäsen, johon Microsoft Sentinel on liitetty
käyttöoikeus Microsoft Defender XDR Defender-portaalissa Microsoft Defender XDR edellytysten mukaan

Täytä tarvittaessa seuraavat edellytykset:

Palvelu	Edellytys
Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta	Jos organisaatiosi käyttää Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta, integroi nämä tiedot ottamalla microsoft 365 Insider Risk Management -tietoliitin käyttöön ensisijaisessa työtilassa Microsoft Sentinel varten. Poista kyseinen liitin käytöstä kaikissa toissijaisissa työtiloissa Microsoft Sentinel, jotka aiot ottaa käyttöön Defender-portaalissa. - Asenna Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ratkaisu ensisijaisen työtilan sisältökeskuksesta. – määrittää tietoyhdistimen. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.
Microsoft Defender for Cloud	Defenderin suoratoisto pilvipalvelutapahtumille, jotka korreloivat vuokraajan kaikissa tilauksissa ensisijaiseen työtilaan Microsoft Sentinel: - Yhdistä vuokraajapohjainen Microsoft Defender for Cloud (esikatselu) -tietoyhdistin ensisijaiseen työtilaan. - Katkaise Tilauspohjainen Microsoft Defender for Cloud (Legacy) -ilmoitusten liitin kaikista vuokraajan työtiloista. Jos et halua suoratoistaa Defender for Cloudin korreloituja vuokraajatietoja ensisijaiseen työtilaan, jatka työtiloissasi Tilauspohjainen Microsoft Defender for Cloud (Legacy) -liitintä. Lisätietoja on artikkelissa Ingest Microsoft Defender pilvipalvelutapauksista, joissa on Microsoft Defender XDR integrointi.

Palvelu

Edellytys

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta

Jos organisaatiosi käyttää Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta, integroi nämä tiedot ottamalla microsoft 365 Insider Risk Management -tietoliitin käyttöön ensisijaisessa työtilassa Microsoft Sentinel varten. Poista kyseinen liitin käytöstä kaikissa toissijaisissa työtiloissa Microsoft Sentinel, jotka aiot ottaa käyttöön Defender-portaalissa.

- Asenna Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ratkaisu ensisijaisen työtilan sisältökeskuksesta.
– määrittää tietoyhdistimen.

Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.

Microsoft Defender for Cloud

Defenderin suoratoisto pilvipalvelutapahtumille, jotka korreloivat vuokraajan kaikissa tilauksissa ensisijaiseen työtilaan Microsoft Sentinel:

- Yhdistä vuokraajapohjainen Microsoft Defender for Cloud (esikatselu) -tietoyhdistin ensisijaiseen työtilaan.
- Katkaise Tilauspohjainen Microsoft Defender for Cloud (Legacy) -ilmoitusten liitin kaikista vuokraajan työtiloista.

Jos et halua suoratoistaa Defender for Cloudin korreloituja vuokraajatietoja ensisijaiseen työtilaan, jatka työtiloissasi Tilauspohjainen Microsoft Defender for Cloud (Legacy) -liitintä. Lisätietoja on artikkelissa Ingest Microsoft Defender pilvipalvelutapauksista, joissa on Microsoft Defender XDR integrointi.

Laivan Microsoft Sentinel

Voit yhdistää Microsoft Sentinel työtilan Defender-portaaliin suorittamalla seuraavat vaiheet. Jos olet perehdyttämässä Microsoft Sentinel ilman Defender XDR, on olemassa ylimääräinen vaihe yhteyden käynnistämiseksi Microsoft Sentinel ja Defender-portaaliin.

Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Voit ottaa Microsoft Sentinel käyttöön ilman Defender XDR Defender-portaalissa seuraavasti:
1. Jos haluat käynnistää yhteyden Microsoft Sentinel kanssa, valitse Tutkinta &vastaustapaukset>.
2. Odota muutaman minuutin ajan, että yhteys on valmis.
Valitse Defender-portaalissa Yleiskatsaus.
Valitse Yhdistä työtila.
Valitse työtilat, joihin haluat muodostaa yhteyden, ja valitse Seuraava.
Valitse Ensisijainen työtila.
Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin.
Valitse Yhdistä.

Kun työtilasi on yhdistetty, Yleiskatsaus-sivun palkki näyttää, että ympäristösi on valmis. Yleiskatsaus-sivulle päivitetään uusia osia, jotka sisältävät Microsoft Sentinel mittausarvoja, kuten tietoliittimien määrän ja automaatiosäännöt.

Defender-portaalin Microsoft Sentinel ominaisuuksiin tutustuminen

Kun olet yhdistänut työtilan Defender-portaaliin, Microsoft Sentinel on vasemmanpuoleisessa siirtymisruudussa. Jos Defender XDR käytössä, yleiskatsauksen, tapausten ja kehittyneen metsästyksen kaltaiset sivut saavat yhtenäiset tiedot ensisijaisesta työtilasta Microsoft Sentinel ja Defender XDR. Jos et ole ottanut Defender XDR käyttöön, nämä sivut sisältävät vain Microsoft Sentinel tietoja. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Sentinel Microsoft Defender portaalissa.

Monet nykyisistä Microsoft Sentinel ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että Microsoft Sentinel Azure-portaali ja Defender-portaalin välinen käyttökokemus on samankaltainen näissä ominaisuuksissa. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinel käyttämisen Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaali sijaan.

Etsi Microsoft Sentinel asetukset Defender-portaalista kohdasta Järjestelmäasetukset>>Microsoft Sentinel.

Ensisijaisen työtilan muuttaminen

Defender-portaaliin voi olla yhdistetty kerrallaan vain yksi ensisijainen työtila. Voit kuitenkin muuttaa ensisijaista työtilaa.

Siirry Defender-portaalissakohtaan Järjestelmäasetukset>>Microsoft Sentinel>Työtilat.
Valitse sen työtilan nimi, josta haluat tehdä ensisijaisen.
Valitse Aseta ensisijaiseksi.
Lue ja tutustu ensisijaisen työtilan muuttamiseen liittyviin tuotemuutoksiin.
Valitse Vahvista ja jatka.

Kun vaihdat ensisijaisen työtilan Microsoft Sentinel varten, Defender XDR -liitin on yhdistetty uuteen ensisijaiseen ja yhteydessä aiempaan automaattisesti. Lisätietoja on Defender-portaalin kohdassa Useita Microsoft Sentinel työtiloja.

Offboard Microsoft Sentinel

Jos päätät poistaa työtilan käytöstä Defender-portaalissa, katkaise työtilan yhteys Microsoft Sentinel asetuksiin.

Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Defender-portaalin Järjestelmä-kohdastaAsetukset>Microsoft Sentinel.
Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.
Anna syy, miksi katkaiset työtilan yhteyden.
Vahvista valintasi.

Kun työtilasi yhteys on katkaistu, Microsoft Sentinel-osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinel tiedot eivät enää sisälly Yleiskatsaus-sivulle.

Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.