שתף באמצעות


חבר את Microsoft Sentinel ל- Microsoft Defender XDR

Microsoft Sentinel זמין כחלק פלטפורמה של פעולות אבטחה מאוחדות בפורטל Microsoft Defender. Microsoft Sentinel בפורטל Defender נתמך כעת לשימוש בייצור. כאשר אתה קלוט את Microsoft Sentinel לפורטל Microsoft Defender, אתה מ אחד את היכולות באמצעות XDR של Microsoft Defender, כגון ניהול מקרים וה ציד מתקדם. צמצם את החלפת הכלים ובנה חקירה ממוקדת יותר בהקשר שמזרזת את התגובה לתקריות ומפסיקה את ההפרות מהר יותר. לקבלת מידע נוסף, ראה:

דרישות מוקדמות

לפני שתתחיל, עיין בתיעוד התכונה כדי להבין את השינויים והמגבלות של המוצר:

פורטל Microsoft Defender תומך בדייר יחיד של Microsoft Entra ובחיבור לסביבת עבודה אחת בכל פעם. בהקשר של מאמר זה, סביבת עבודה היא סביבת עבודה של ניתוח יומן כאשר Microsoft Sentinel זמין.

כדי להצטרף ל- Microsoft Sentinel ולהשתמש בו בפורטל Microsoft Defender, דרושים לך המשאבים והגישה הבאים:

  • סביבת עבודה של ניתוח יומן רישום שבה Microsoft Sentinel זמין

  • מחבר הנתונים עבור Microsoft Defender XDR (נקרא בעבר Microsoft 365 Defender) זמין ב- Microsoft Sentinel עבור אירועים והתראות

  • גישה ל- XDR של Microsoft Defender בפורטל Defender

  • Microsoft Defender XDR רשום לדייר Microsoft Entra

  • חשבון Azure עם התפקידים המתאימים לצירוף, לשימוש וליצירה של בקשות תמיכה עבור Microsoft Sentinel בפורטל Defender. הטבלה הבאה מסמנת כמה מהתפקידים העיקריים הדרושים.

    משימה נדרש תפקיד מוכלל של Azure טווח
    חיבור או ניתוק של סביבת עבודה כאשר Microsoft Sentinel זמין בעלים או
    מנהל גישת משתמשומשתתף Microsoft Sentinel
    - מנוי לתפקידים 'בעלים' או 'מנהל גישה למשתמש

    ' - מנוי, קבוצת משאבים או משאב סביבת עבודה עבור משתתף Microsoft Sentinel
    הצגת Microsoft Sentinel בפורטל Defender Microsoft Sentinel Reader משאב מנוי, קבוצת משאבים או סביבת עבודה
    שאילתה על טבלאות נתונים של Sentinel או הצגת אירועים Microsoft Sentinel Reader או תפקיד עם הפעולות הבאות:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    משאב מנוי, קבוצת משאבים או סביבת עבודה
    בצע פעולות חקירה לגבי מקרים משתתף Microsoft Sentinel או תפקיד עם הפעולות הבאות:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write

    - Microsoft.SecurityInsights/incidents/relations/read
    /relations- Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    משאב מנוי, קבוצת משאבים או סביבת עבודה
    יצירת בקשת תמיכה בעלים או
    תורם או
    תומך מבקש משתתף או תפקיד מותאם אישית עם Microsoft.Support/*
    מנוי

    לאחר חיבור Microsoft Sentinel לפורטל Defender, ההרשאות הקיימות של בקרת גישה מבוססת תפקידים (RBAC) של Azure מאפשרות לך לעבוד עם התכונות Microsoft Sentinel שיש לך גישה אליהן. המשך לנהל תפקידים והרשאות עבור משתמשי Microsoft Sentinel שלך בפורטל Azure. כל שינויי Azure RBAC משתקפים בפורטל Defender. לקבלת מידע נוסף אודות הרשאות Microsoft Sentinel, ראה תפקידים והרשאות ב- Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.

צירוף Microsoft Sentinel

כדי לחבר סביבת עבודה ש- Microsoft Sentinel זמין עבור Defender XDR, בצע את השלבים הבאים:

  1. עבור אל פורטל Microsoft Defender והיכנס.

  2. ב- Microsoft Defender XDR, בחר מבט כולל.

  3. בחר חבר סביבת עבודה.

  4. בחר את סביבת העבודה שברצונך לחבר ובחר הבא.

  5. קרא והבנה את השינויים במוצר המשויכים לחיבור סביבת העבודה שלך. שינויים אלה כוללים:

    • טבלאות יומן רישום, שאילתות ופונקציות בסביבת העבודה של Microsoft Sentinel זמינות גם בחיפוש מתקדם בתוך XDR של Defender.
    • תפקיד המשתתף Microsoft Sentinel מוקצה לאפליקציות Microsoft Threat Protection ו- WindowsDefenderATP בתוך המנוי.
    • כללי יצירת אירוע אבטחה פעילים של Microsoft מבוטלים כדי למנוע אירועים כפולים. שינוי זה חל רק על כללי יצירת אירועים עבור התראות Microsoft ולא על כללי ניתוח אחרים.
    • כל ההתראות הקשורות למוצרי XDR של Defender מוזרמות ישירות ממחבר הנתונים הראשי של XDR של Defender כדי להבטיח עקביות. ודא שמחבר זה מופעל בסביבת העבודה שלך לגבי אירועים והתראות.
  6. בחר התחבר.

לאחר חיבור סביבת העבודה שלך, הכרזה בדף מבט כולל מראה שמידע האבטחה המאוחד וניהול האירועים (SIEM) וזיהוי ותגובה מורחבים (XDR) מוכנים. הדף Overview מתעדכן במקטעים חדשים הכוללים מדדים מ- Microsoft Sentinel, כגון מספר מחברי הנתונים וכללי האוטומציה.

סיור בתכונות Microsoft Sentinel בפורטל Defender

לאחר חיבור סביבת העבודה שלך לפורטל Defender, Microsoft Sentinel נמצא בחלונית הניווט בצד ימין. דפים כגון Overview, Incidents ו - Advanced Hunting כוללים נתונים מאוחדים מ- Microsoft Sentinel ומ- XDR של Defender. לקבלת מידע נוסף על היכולות המאוחדות וההבדלים בין פורטלים, ראה Microsoft Sentinel בפורטל Microsoft Defender.

רבות מהתכונות הקיימות של Microsoft Sentinel משולבות בפורטל Defender. עבור תכונות אלה, שים לב שהחוויה בין Microsoft Sentinel בפורטל Azure לפורטל Defender דומה. השתמש במאמרים הבאים כדי לעזור לך להתחיל לעבוד עם Microsoft Sentinel בפורטל Defender. בעת שימוש במאמרים אלה, זכור שנקודת ההתחלה בהקשר זה היא פורטל Defender במקום פורטל Azure.

חפש את הגדרות Microsoft Sentinel בפורטל Defender תחת הגדרות מערכת>>Microsoft Sentinel.

Offboard Microsoft Sentinel

ניתן ליצור סביבת עבודה אחת בלבד המחוברת לפורטל Defender בכל פעם. אם ברצונך להתחבר לסביבת עבודה אחרת ש- Microsoft Sentinel זמין בה, נתק את סביבת העבודה הנוכחית וחבר את סביבת העבודה האחרת.

  1. עבור אל פורטל Microsoft Defender והיכנס.

  2. בפורטל Defender, תחת מערכת, בחר הגדרות>Microsoft Sentinel.

  3. בדף סביבות עבודה , בחר את סביבת העבודה המחוברת ואת סביבת העבודה התנתק.

  4. אשר את הבחירה שלך.

    כאשר סביבת העבודה שלך מנותקת, המקטע Microsoft Sentinel מוסר מהנווט הימני של פורטל Defender. נתונים מ- Microsoft Sentinel אינם כלולים עוד בדף Overview.

אם ברצונך להתחבר לסביבת עבודה אחרת, מהדף סביבות עבודה, בחר את סביבת העבודה וחבר סביבת עבודה.