Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender fournit une solution de cybersécurité unifiée qui intègre la protection des points de terminaison, la sécurité cloud, la protection des identités, la sécurité des e-mails, le renseignement sur les menaces, la gestion de l’exposition et SIEM dans une plateforme centralisée. Il utilise la défense basée sur l’IA pour aider les organisations à anticiper et à arrêter les attaques, ce qui garantit des opérations de sécurité efficaces et efficaces.
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, avec Microsoft Defender XDR ou par lui-même, offrant une expérience unifiée dans SIEM et XDR pour une détection et une réponse plus rapides et plus précises des menaces, des flux de travail simplifiés et une efficacité opérationnelle améliorée.
Cet article décrit l’expérience Microsoft Sentinel dans le portail Defender. Nous vous recommandons que les clients utilisant Microsoft Sentinel dans le portail Azure passent à Microsoft Defender pour tirer parti des opérations de sécurité unifiées disponibles et des fonctionnalités les plus récentes. Pour plus d’informations, consultez Transition de votre environnement Microsoft Sentinel vers le portail Defender.
Nouvelles fonctionnalités et fonctionnalités améliorées
Le tableau suivant décrit les nouvelles fonctionnalités ou les fonctionnalités améliorées disponibles dans le portail Defender avec l’intégration de Microsoft Sentinel. Microsoft continue d’innover dans cette nouvelle expérience avec des fonctionnalités pouvant être exclusives au portail Defender.
| Capacités | Descriptif | Pour en savoir plus |
|---|---|---|
| Opérations simplifiées | Gérez tous les incidents, alertes et enquêtes de sécurité à partir d’une interface unifiée unique. - Les pages d’entités unifiées pour les appareils, les utilisateurs, les adresses IP et les ressources Azure dans le portail Defender affichent des informations à partir de sources de données Microsoft Sentinel et Defender. Ces pages d’entité vous donnent un contexte étendu pour vos enquêtes sur les incidents et les alertes dans le portail Defender. - Les incidents unifiés vous permettent de gérer et d’examiner les incidents de sécurité dans un emplacement unique et à partir d’une file d’attente unique dans le portail Defender. Utilisez Security Copilot pour récapituler, répondre et rapporter. Les incidents unifiés incluent des données provenant de l’étendue des sources, des outils d’analyse ia de la gestion des informations et des événements de sécurité (SIEM), ainsi que des outils de contexte et d’atténuation offerts par la détection et la réponse étendues (XDR). - Utilisez la chasse avancée pour interroger à partir d’un seul portail sur différents jeux de données pour rendre la chasse plus efficace et supprimer la nécessité d’un changement de contexte. Utilisez Security Copilot pour générer votre KQL, afficher et interroger toutes les données, y compris les données des services de sécurité Microsoft et Microsoft Sentinel, puis utiliser tout le contenu de votre espace de travail Microsoft Sentinel existant, y compris les requêtes et les fonctions, pour examiner. |
-
Examiner les entités avec des pages d’entités dans Microsoft Sentinel - Réponse aux incidents dans le portail Microsoft Defender - Investiguer les incidents Microsoft Sentinel dans Security Copilot - Recherche avancée dans le portail Microsoft Defender Security Copilot dans le cadre de la chasse avancée |
| Détection améliorée des menaces | Utilisez l’IA avancée et le Machine Learning pour accélérer et plus précisément la détection et la réponse aux menaces. Bénéficiez d’un ratio signal-bruit amélioré et d’une corrélation améliorée des alertes, ce qui garantit que les menaces critiques sont traitées rapidement. | Détection des menaces pour les opérations de sécurité unifiées |
| Fonctionnalités nouvelles | Accédez à des outils robustes tels que la gestion des cas pour organiser et gérer les incidents de sécurité, l’interruption automatique des attaques pour corriger les entités compromises sur les vrais positifs haute fidélité, ainsi qu’une expérience de Copilot de sécurité incorporée pour la synthèse des incidents automatisés et les actions de réponse guidées, etc. Par exemple, lors de l’examen des incidents dans le portail Defender, utilisez Security Copilot pour analyser des scripts, analyser des fichiers et créer des rapports d’incident. Lorsque vous recherchez des menaces dans la chasse avancée, utilisez l'assistant aux requêtes pour créer des requêtes KQL prêtes à l’emploi. |
-
Gestion des cas - Interruption automatique des attaques - Résumé des incidents automatisés - Actions de réponse guidées - Analyser les scripts - Analyser les fichiers - Créer des rapports d'incidents - Créer des requêtes KQL prêtes à l’exécution |
| Visibilité améliorée et exposition réduite aux risques | Analysez les chemins d’attaque pour voir comment un cyber-attaquant pourrait exploiter des vulnérabilités. Utilisez des recommandations d’optimisation SOC guidées pour réduire les coûts et l’exposition, et hiérarchiser les actions en fonction de l’impact potentiel. |
-
Optimiser vos opérations de sécurité - Utiliser des optimisations de SOC de manière programmatique - Informations de référence sur les recommandations d’optimisation du SOC |
| Recommandations post-incident personnalisées | Empêchez les cyberattaques similaires ou répétées avec des recommandations personnalisées liées aux initiatives microsoft Security Exposure Management. | Microsoft Security Exposure Management pour améliorer la posture de sécurité |
| Optimisation des coûts et des données | Les clients peuvent accéder aux données Microsoft Sentinel et Defender XDR dans un schéma unifié et cohérent dans le portail Defender. Les logs bruts de recherche avancée sont disponibles gratuitement pendant 30 jours pour la recherche, sans avoir à les ingérer dans Microsoft Sentinel. |
À quoi s’attendre pour les tables Defender XDR transférées vers Microsoft Sentinel |
Fonctionnalités limitées ou indisponibles avec Microsoft Sentinel uniquement dans le portail Defender
Lorsque vous intégrez Microsoft Sentinel au portail Defender sans XDR Defender ou d’autres services activés, les fonctionnalités suivantes sont limitées ou indisponibles :
- Sécurité Microsoft - Gestion de l’exposition
- Règles de détection personnalisées fournies par Microsoft Defender XDR
- Centre de notifications, fourni par Microsoft Defender XDR
Référence rapide
Certaines fonctionnalités de Microsoft Sentinel, telles que la file d’attente d’incidents unifiées, sont intégrées à Microsoft Defender XDR dans le portail Defender. De nombreuses autres fonctionnalités de Microsoft Sentinel sont disponibles dans la section Microsoft Sentinel du portail Defender.
L’image suivante montre le menu Microsoft Sentinel dans le portail Defender :
Les sections suivantes décrivent où trouver les fonctionnalités de Microsoft Sentinel dans le portail Defender et sont destinées aux clients existants qui passent au portail Defender. Les sections sont organisées comme l’est Microsoft Sentinel dans le portail Microsoft Azure.
Pour plus d’informations, consultez Transition de votre environnement Microsoft Sentinel vers le portail Defender.
Général
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Général du portail Microsoft Azure.
| Portail Azure | Portail Defender |
|---|---|
| Aperçu | Aperçu |
| Journaux de bord | |
| Actualités &guides | Non disponible |
| Recherche | Microsoft Sentinel>Recherche |
Gestion des menaces
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Gestion des menaces dans le portail Microsoft Azure.
| Portail Azure | Portail Defender |
|---|---|
| Incidents | Enquête &réponse>Incidents &alertes>Incidents |
| Classeurs | Microsoft Sentinel>Gestion des menaces>Workbooks |
| Chasse | Microsoft Sentinel>Gestion des menaces>Chasse |
| Blocs-notes | Microsoft Sentinel>Gestion des menaces>Notebooks |
| Comportement de l’entité |
Page d’entité utilisateur :Ressources>Identités>{utilisateur}>Événements Sentinel ET Page d’entité d’appareil :Éléments>Appareils>{device}>Événements Sentinel Recherchez également les pages d’entité pour les types d’entités utilisateur, appareil, IP et ressource Azure provenant d’incidents et d’alertes au fur et à mesure de leur apparition. |
| Renseignement sur les menaces | Renseignement sur les menaces>Gestion Intel |
| MITRE ATT&CK | Microsoft Sentinel>Gestion des> menacesMITRE ATT&CK |
Gestion de contenu
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Gestion de contenu dans le portail Microsoft Azure.
| Portail Azure | Portail Defender |
|---|---|
| Hub de contenu | Microsoft Sentinel>Gestion du> contenuHub de contenu |
| Dépôts | Microsoft Sentinel>Gestion du> contenuDépôts |
| Communauté | Microsoft Sentinel>Gestion du> contenuCommunauté |
Paramétrage
Le tableau suivant répertorie les modifications apportées à la navigation entre les portails Microsoft Azure et Defender pour la section Configuration du portail Microsoft Azure.
| Portail Azure | Portail Defender |
|---|---|
| Gestionnaire d’espace de travail | Non disponible |
| Connecteurs de données | Microsoft Sentinel>Configuration>Connecteurs de données |
| Analyse |
Microsoft Sentinel>Configuration>Analytique ET Enquête et réponse>Chasse>Règles de détection personnalisées |
| watchlists | Microsoft Sentinel>Configuration>Listes de surveillance |
| Automatisation | Microsoft Sentinel>Configuration>Automatisation |
| Paramètres | Système>Paramètres>Microsoft Sentinel |