Microsoft Sentinel yhdistäminen Microsoft Defender portaaliin

Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel on yleisesti saatavilla Microsoft Defender-portaalissa, Microsoft Defender XDR tai E5-käyttöoikeuden kanssa tai ilman sitä. Kun käytät Microsoft Sentinel Defender-portaalissa yhdessä Microsoft Defender XDR palvelujen kanssa, yhdistät ominaisuuksia, kuten tapausten hallinnan ja kehittyneen metsästyksen. Vähennä työkalun vaihtamista ja luo kontekstikeskeisempi tutkimus, joka nopeuttaa tapausten käsittelyä ja pysäyttää rikkomukset nopeammin.

Tämä artikkeli koskee asiakkaita, joiden Microsoft Sentinel työtiloja ei ole vielä yhdistetty Defender-portaaliin. Monissa tapauksissa asiakkaat, jotka ovat perehdyttämässä Microsoft Sentinel 1.7.2025 jälkeen, lisätään automaattisesti Defender-portaaliin.

Lisätietoja on seuraavissa artikkeleissa:

Ennakkovaatimukset

Tutustu ennen aloittamista ominaisuusdokumentaatioon, jossa on tietoja tuotteen muutoksista ja rajoituksista.

Microsoft Defender portaali tukee yhtä Microsoft Entra vuokraajaa ja yhteyttä ensisijaiseen työtilaan ja useisiin toissijaisiin työtiloihin. Jos sinulla on vain yksi työtila, kun olet Microsoft Sentinel, kyseinen työtila määritetään ensisijaiseksi työtilaksi. Lisätietoja on Defender-portaalin kohdassa Useita Microsoft Sentinel työtiloja. Tämän artikkelin kontekstissa työtila on Log Analytics -työtila, jossa Microsoft Sentinel käytössä.

Microsoft Sentinel edellytykset

Jotta voit ottaa Microsoft Sentinel käyttöön ja käyttää sitä Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

Log Analytics -työtila, jossa on Microsoft Sentinel käytössä

Azure-tili, jolla on asianmukaiset roolit Microsoft Sentinel varten, jotta voit ottaa sen käyttöön, käyttää ja luoda tukipyyntöjä Defender-portaalissa. Et näe Defender-portaalissa työtiloja, jotka ovat siinä, missä sinulla ei ole tarvittavia käyttöoikeuksia. Seuraavassa taulukossa esitellään joitakin tarvittavia avainrooleja.

Tehtävä	Microsoft Entra tai Azure sisäinen rooli vaaditaan	Laajuus
Onboard Microsoft Sentinel Defender-portaaliin	yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja Microsoft Entra ID JA Omistaja tai käyttöoikeuksien järjestelmänvalvoja JA Microsoft Sentinel osallistuja	Vuokraaja - Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien tilaus - Microsoft Sentinel osallistujan tilaus, resurssiryhmä tai työtilaresurssi
Toissijaisen työtilan yhdistäminen tai yhteyden katkaiseminen	yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja Microsoft Entra ID JA Omistaja tai käyttöoikeuksien järjestelmänvalvoja JA Microsoft Sentinel osallistuja	Vuokraaja - Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien tilaus - Microsoft Sentinel osallistujan tilaus, resurssiryhmä tai työtilaresurssi
Ensisijaisen työtilan muuttaminen	yleinen järjestelmänvalvoja tai suojauksen järjestelmänvalvoja Microsoft Entra ID JA Omistaja tai käyttöoikeuksien järjestelmänvalvoja JA Microsoft Sentinel osallistuja	Vuokraaja - Omistajan tai käyttöoikeuksien järjestelmänvalvojan roolien tilaus - Microsoft Sentinel osallistujan tilaus, resurssiryhmä tai työtilaresurssi
Näytä Microsoft Sentinel Defender-portaalissa	Microsoft Sentinel lukuohjelma	Tilaus-, resurssiryhmä- tai työtilaresurssi
Kyselyn Microsoft Sentinel tietotaulukoihin tai tapahtumien tarkasteluun	Microsoft Sentinel Reader tai rooli seuraavilla toimilla: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Tilaus-, resurssiryhmä- tai työtilaresurssi
Tapauksiin liittyvien tutkintatoimien toteuttaminen	Microsoft Sentinel Osallistuja tai rooli seuraavilla toimilla: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Tilaus-, resurssiryhmä- tai työtilaresurssi
Tukipyynnön luominen	Omistaja , osallistuja tai tukipyynnön osallistuja tai mukautettu rooli Microsoft.Support/* -ohjelman kanssa	Tilaus

Jos työskentelet useiden vuokraajien kanssa, huomaa, että hajautettuja delegoituja järjestelmänvalvojan oikeuksia (GDAP)Azure Lighthousen kanssa ei tueta Microsoft Sentinel-tiedoille Defender-portaalissa. Käytä sen sijaan Microsoft Entra B2B -todennusta. Lisätietoja on artikkelissa Microsoft Defender monitaivan hallinnan määrittäminen.

Kun olet muodostanut yhteyden Microsoft Sentinel Defender-portaaliin, olemassa olevien Azure roolipohjaisten käyttöoikeuksien (RBAC) avulla voit käsitellä Microsoft Sentinel ominaisuuksia, joihin sinulla on käyttöoikeus. Jatka Microsoft Sentinel käyttäjien roolien ja käyttöoikeuksien hallintaa Azure-portaali, sillä kaikki Azure RBAC-muutokset näkyvät Defender-portaalissa.

Lisätietoja on ohjeaiheessa roolit ja käyttöoikeudet Microsoft Sentinel ja Tietojen Microsoft Sentinel käyttöoikeuksien hallinta resurssin mukaan.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Yhtenäisen suojaustoiminnon edellytykset

Jotta voit yhdistää Microsoft Defender XDR ja Microsoft Sentinel suojaustoiminnot Defender-portaalissa, sinulla on oltava seuraavat resurssit ja käyttöoikeus:

Defender XDR käyttöoikeudet Microsoft Defender XDR edellytysten mukaan
Tili Defender XDR on saman Microsoft Entra vuokraajan jäsen, johon Microsoft Sentinel on liitetty
käyttöoikeus Microsoft Defender XDR Defender-portaalissa Microsoft Defender XDR edellytysten mukaan

Täytä tarvittaessa seuraavat edellytykset:

Palvelu	Edellytys
Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta	Jos organisaatiosi käyttää Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta, integroi nämä tiedot ottamalla microsoft 365 Insider Risk Management -tietoliitin käyttöön ensisijaisessa työtilassa Microsoft Sentinel varten. Poista kyseinen liitin käytöstä kaikissa toissijaisissa työtiloissa Microsoft Sentinel, jotka aiot ottaa käyttöön Defender-portaalissa. - Asenna Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ratkaisu ensisijaisen työtilan sisältökeskuksesta. – määrittää tietoyhdistimen. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.
Microsoft Defender for Cloud	Defenderin suoratoisto pilvipalvelutapahtumille, jotka korreloivat vuokraajan kaikissa tilauksissa ensisijaiseen työtilaan Microsoft Sentinel: - Yhdistä vuokraajapohjainen Microsoft Defender for Cloud (esikatselu) -tietoyhdistin ensisijaiseen työtilaan. - Katkaise Tilauspohjainen Microsoft Defender for Cloud (Legacy) -ilmoitusten liitin kaikista vuokraajan työtiloista. Jos et halua suoratoistaa Defender for Cloudin korreloituja vuokraajatietoja ensisijaiseen työtilaan, jatka työtiloissasi Tilauspohjainen Microsoft Defender for Cloud (Legacy) -liitintä. Lisätietoja on artikkelissa Ingest Microsoft Defender pilvipalvelutapauksista, joissa on Microsoft Defender XDR integrointi.

Palvelu

Edellytys

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta

Jos organisaatiosi käyttää Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta, integroi nämä tiedot ottamalla microsoft 365 Insider Risk Management -tietoliitin käyttöön ensisijaisessa työtilassa Microsoft Sentinel varten. Poista kyseinen liitin käytöstä kaikissa toissijaisissa työtiloissa Microsoft Sentinel, jotka aiot ottaa käyttöön Defender-portaalissa.

- Asenna Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta ratkaisu ensisijaisen työtilan sisältökeskuksesta.
– määrittää tietoyhdistimen.

Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.

Microsoft Defender for Cloud

Defenderin suoratoisto pilvipalvelutapahtumille, jotka korreloivat vuokraajan kaikissa tilauksissa ensisijaiseen työtilaan Microsoft Sentinel:

- Yhdistä vuokraajapohjainen Microsoft Defender for Cloud (esikatselu) -tietoyhdistin ensisijaiseen työtilaan.
- Katkaise Tilauspohjainen Microsoft Defender for Cloud (Legacy) -ilmoitusten liitin kaikista vuokraajan työtiloista.

Jos et halua suoratoistaa Defender for Cloudin korreloituja vuokraajatietoja ensisijaiseen työtilaan, jatka työtiloissasi Tilauspohjainen Microsoft Defender for Cloud (Legacy) -liitintä. Lisätietoja on artikkelissa Ingest Microsoft Defender pilvipalvelutapauksista, joissa on Microsoft Defender XDR integrointi.

Laivan Microsoft Sentinel

Tässä ohjeartikkelissa kuvataan, miten Microsoft Sentinel työtila otetaan käyttöön Defender-portaalissa.

Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Järjestelmäasetukset>>Microsoft Sentinel>Yhdistä työtila.
Valitse työtilat, joihin haluat muodostaa yhteyden, ja valitse Seuraava.
Valitse Ensisijainen työtila.
Lue ja tutustu työtilan yhdistämiseen liittyviin tuotemuutoksiin.
Valitse Yhdistä.

Kun työtila on yhdistetty, aloitussivulla oleva ilmoituspalkki näyttää, että ympäristösi on valmis. Aloitussivua päivitetään uusilla osioilla, jotka sisältävät Microsoft Sentinel mittausarvoja, kuten tietoliittimien määrän ja automaatiosäännöt.

Defender-portaalin Microsoft Sentinel ominaisuuksiin tutustuminen

Kun olet yhdistänut työtilan Defender-portaaliin, Microsoft Sentinel on vasemmanpuoleisessa siirtymisruudussa. Jos Defender XDR käytössä, esimerkiksi Aloitussivuilla, Vaaratilanteissa ja Kehittyneessä metsästyksessä on yhtenäiset tiedot ensisijaisesta työtilasta Microsoft Sentinel ja Defender XDR. Jos et ole ottanut Defender XDR käyttöön, nämä sivut sisältävät vain Microsoft Sentinel tietoja. Lisätietoja portaalien yhdistetyistä ominaisuuksista ja eroista on Microsoft Sentinel Microsoft Defender portaalissa.

Monet nykyisistä Microsoft Sentinel ominaisuuksista on integroitu Defender-portaaliin. Huomaa, että Microsoft Sentinel Azure-portaali ja Defender-portaalin välinen käyttökokemus on samankaltainen näissä ominaisuuksissa. Seuraavien artikkelien avulla voit aloittaa Microsoft Sentinel käyttämisen Defender-portaalissa. Kun käytät näitä artikkeleita, muista, että tässä kontekstissa aloituskohta on Defender-portaali Azure-portaali sijaan.

Ominaisuusluokka	Linkit
Etsiä	- Haku pitkillä ajanjaksolla suurissa tietojoukoissa - Palauta arkistoidut lokit hausta
Tietoturvauhkien hallinta	- Tietojen visualisointi ja valvonta työkirjojen avulla - Päästä päähän uhkien metsästys Huntsin kanssa - Tietojen tutkimiseen käytettävien metsästyskirjanmerkkien käyttö - Käytä livestreamin metsästystä Microsoft Sentinel uhan havaitsemiseksi - Tietoturvauhkien etsiminen Jupyter-muistikirjoilla - Indikaattorien lisääminen joukkona uhkatietojen Microsoft Sentinel CSV- tai JSON-tiedostosta - Uhkaindikaattoreiden käsitteleminen Microsoft Sentinel - Mitre ATT&CK -kehyksen suojauksen kattavuus
Sisällönhallinta	- Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta - Microsoft Sentinel sisältökeskuksen luettelo - Mukautetun sisällön käyttöönotto säilöstä
Määritykset	- Microsoft Sentinel-tietoyhdistimen etsiminen - Mukautettujen analytiikkasääntöjen luominen uhkien havaitsemiseksi - Lähes reaaliaikaisten NRT-tunnistussääntöjen käsitteleminen Microsoft Sentinel - Katseluluetteloiden luominen - Katseluluettelojen hallinta Microsoft Sentinel - Automaatiosääntöjen luominen - Luo ja mukauta Microsoft Sentinel toistokirjoja sisältömalleista

Etsi Microsoft Sentinel asetukset Defender-portaalista kohdasta Järjestelmäasetukset>>Microsoft Sentinel.

Ensisijaisen työtilan muuttaminen

Defender-portaaliin voi olla yhdistetty kerrallaan vain yksi ensisijainen työtila. Voit kuitenkin muuttaa ensisijaista työtilaa.

Siirry Defender-portaalissakohtaan Järjestelmäasetukset>>Microsoft Sentinel>Työtilat.
Valitse sen työtilan nimi, josta haluat tehdä ensisijaisen.
Valitse Aseta ensisijaiseksi.
Lue ja tutustu ensisijaisen työtilan muuttamiseen liittyviin tuotemuutoksiin.
Valitse Vahvista ja jatka.

Kun vaihdat ensisijaisen työtilan Microsoft Sentinel varten, Defender XDR -liitin on yhdistetty uuteen ensisijaiseen ja yhteydessä aiempaan automaattisesti. Lisätietoja on Defender-portaalin kohdassa Useita Microsoft Sentinel työtiloja.

Offboard Microsoft Sentinel

Jos päätät poistaa työtilan käytöstä Defender-portaalissa, katkaise työtilan yhteys Microsoft Sentinel asetuksiin.

Jos työtilassa on määritettynä Microsoft Defender XDR liitin, työtilan poistaminen käytöstä Defender-portaalista katkaisee myös Microsoft Defender XDR liittimen.

Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Defender-portaalin Järjestelmä-kohdastaAsetukset>Microsoft Sentinel.
Valitse Työtilat-sivulla yhdistetty työtila ja Katkaise yhteys työtilaan.
Anna syy, miksi katkaiset työtilan yhteyden.
Vahvista valintasi.

Kun työtilasi yhteys on katkaistu, Microsoft Sentinel-osa poistetaan Defender-portaalin vasemmasta reunasta. Microsoft Sentinel tiedot eivät enää sisälly aloitussivulle.

Jos haluat muodostaa yhteyden toiseen työtilaan, valitse Työtilat-sivulla työtila ja Yhdistä työtila.

Palaute

Onko tästä sivusta apua?

Last updated on 2025-12-11