חבר את Microsoft Sentinel ל- Microsoft Defender XDR
Microsoft Sentinel זמין כחלק פלטפורמה של פעולות אבטחה מאוחדות בפורטל Microsoft Defender. Microsoft Sentinel בפורטל Defender נתמך כעת לשימוש בייצור. כאשר אתה קלוט את Microsoft Sentinel לפורטל Microsoft Defender, אתה מ אחד את היכולות באמצעות XDR של Microsoft Defender, כגון ניהול מקרים וה ציד מתקדם. צמצם את החלפת הכלים ובנה חקירה ממוקדת יותר בהקשר שמזרזת את התגובה לתקריות ומפסיקה את ההפרות מהר יותר. לקבלת מידע נוסף, ראה:
- Microsoft Sentinel בפורטל Microsoft Defender
- פלטפורמת פעולות אבטחה מאוחדת עם Microsoft Sentinel ו- Defender XDR
דרישות מוקדמות
לפני שתתחיל, עיין בתיעוד התכונה כדי להבין את השינויים והמגבלות של המוצר:
- Microsoft Sentinel בפורטל Microsoft Defender
- ציד מתקדם בפורטל Microsoft Defender
- אוטומציה עם פלטפורמת פעולות האבטחה המאוחדת
פורטל Microsoft Defender תומך בדייר יחיד של Microsoft Entra ובחיבור לסביבת עבודה אחת בכל פעם. בהקשר של מאמר זה, סביבת עבודה היא סביבת עבודה של ניתוח יומן כאשר Microsoft Sentinel זמין.
כדי להצטרף ל- Microsoft Sentinel ולהשתמש בו בפורטל Microsoft Defender, דרושים לך המשאבים והגישה הבאים:
סביבת עבודה של ניתוח יומן רישום שבה Microsoft Sentinel זמין
מחבר הנתונים עבור Microsoft Defender XDR (נקרא בעבר Microsoft 365 Defender) זמין ב- Microsoft Sentinel עבור אירועים והתראות
גישה ל- XDR של Microsoft Defender בפורטל Defender
Microsoft Defender XDR רשום לדייר Microsoft Entra
חשבון Azure עם התפקידים המתאימים לצירוף, לשימוש וליצירה של בקשות תמיכה עבור Microsoft Sentinel בפורטל Defender. הטבלה הבאה מסמנת כמה מהתפקידים העיקריים הדרושים.
משימה נדרש תפקיד מוכלל של Azure טווח חיבור או ניתוק של סביבת עבודה כאשר Microsoft Sentinel זמין בעלים או מנהל גישת משתמשומשתתף Microsoft Sentinel - מנוי לתפקידים 'בעלים' או 'מנהל גישה למשתמש ' - מנוי, קבוצת משאבים או משאב סביבת עבודה עבור משתתף Microsoft Sentinel הצגת Microsoft Sentinel בפורטל Defender Microsoft Sentinel Reader משאב מנוי, קבוצת משאבים או סביבת עבודה שאילתה על טבלאות נתונים של Sentinel או הצגת אירועים Microsoft Sentinel Reader או תפקיד עם הפעולות הבאות:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read משאב מנוי, קבוצת משאבים או סביבת עבודה בצע פעולות חקירה לגבי מקרים משתתף Microsoft Sentinel או תפקיד עם הפעולות הבאות:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read/relations- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write משאב מנוי, קבוצת משאבים או סביבת עבודה יצירת בקשת תמיכה בעלים או תורם או תומך מבקש משתתף או תפקיד מותאם אישית עם Microsoft.Support/* מנוי לאחר חיבור Microsoft Sentinel לפורטל Defender, ההרשאות הקיימות של בקרת גישה מבוססת תפקידים (RBAC) של Azure מאפשרות לך לעבוד עם התכונות Microsoft Sentinel שיש לך גישה אליהן. המשך לנהל תפקידים והרשאות עבור משתמשי Microsoft Sentinel שלך בפורטל Azure. כל שינויי Azure RBAC משתקפים בפורטל Defender. לקבלת מידע נוסף אודות הרשאות Microsoft Sentinel, ראה תפקידים והרשאות ב- Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.
צירוף Microsoft Sentinel
כדי לחבר סביבת עבודה ש- Microsoft Sentinel זמין עבור Defender XDR, בצע את השלבים הבאים:
עבור אל פורטל Microsoft Defender והיכנס.
ב- Microsoft Defender XDR, בחר מבט כולל.
בחר חבר סביבת עבודה.
בחר את סביבת העבודה שברצונך לחבר ובחר הבא.
קרא והבנה את השינויים במוצר המשויכים לחיבור סביבת העבודה שלך. שינויים אלה כוללים:
- טבלאות יומן רישום, שאילתות ופונקציות בסביבת העבודה של Microsoft Sentinel זמינות גם בחיפוש מתקדם בתוך XDR של Defender.
- תפקיד המשתתף Microsoft Sentinel מוקצה לאפליקציות Microsoft Threat Protection ו- WindowsDefenderATP בתוך המנוי.
- כללי יצירת אירוע אבטחה פעילים של Microsoft מבוטלים כדי למנוע אירועים כפולים. שינוי זה חל רק על כללי יצירת אירועים עבור התראות Microsoft ולא על כללי ניתוח אחרים.
- כל ההתראות הקשורות למוצרי XDR של Defender מוזרמות ישירות ממחבר הנתונים הראשי של XDR של Defender כדי להבטיח עקביות. ודא שמחבר זה מופעל בסביבת העבודה שלך לגבי אירועים והתראות.
בחר התחבר.
לאחר חיבור סביבת העבודה שלך, הכרזה בדף מבט כולל מראה שמידע האבטחה המאוחד וניהול האירועים (SIEM) וזיהוי ותגובה מורחבים (XDR) מוכנים. הדף Overview מתעדכן במקטעים חדשים הכוללים מדדים מ- Microsoft Sentinel, כגון מספר מחברי הנתונים וכללי האוטומציה.
סיור בתכונות Microsoft Sentinel בפורטל Defender
לאחר חיבור סביבת העבודה שלך לפורטל Defender, Microsoft Sentinel נמצא בחלונית הניווט בצד ימין. דפים כגון Overview, Incidents ו - Advanced Hunting כוללים נתונים מאוחדים מ- Microsoft Sentinel ומ- XDR של Defender. לקבלת מידע נוסף על היכולות המאוחדות וההבדלים בין פורטלים, ראה Microsoft Sentinel בפורטל Microsoft Defender.
רבות מהתכונות הקיימות של Microsoft Sentinel משולבות בפורטל Defender. עבור תכונות אלה, שים לב שהחוויה בין Microsoft Sentinel בפורטל Azure לפורטל Defender דומה. השתמש במאמרים הבאים כדי לעזור לך להתחיל לעבוד עם Microsoft Sentinel בפורטל Defender. בעת שימוש במאמרים אלה, זכור שנקודת ההתחלה בהקשר זה היא פורטל Defender במקום פורטל Azure.
- חפש
- ניהול איומים
- הצגה חזותית של הנתונים שלך וניטורם באמצעות חוברות עבודה
- ניהול ציד איומים מקצה לקצה באמצעות Hunts
- שימוש בסימניות ציד עבור חקירות נתונים
- השתמש לציד Livestream ב- Microsoft Sentinel כדי לזהות איום
- חפש איומי אבטחה באמצעות מחברות Jupyter
- הוספת מחוונים בצובר ל- Microsoft Sentinel Threat Intelligence מקובץ CSV או JSON
- עבודה עם מחווני איומים ב- Microsoft Sentinel
- הבנת כיסוי האבטחה על-ידי MITRE ATT&CK
- ניהול תוכן
- תצורה
- איתור מחבר הנתונים של Microsoft Sentinel
- יצירת כללי ניתוח מותאמים אישית כדי לזהות איומים
- עבודה עם כללי ניתוח זיהוי של זמן אמת קרוב (NRT) ב- Microsoft Sentinel
- יצירת רשימות צפייה
- ניהול רשימות צפייה ב- Microsoft Sentinel
- יצירת כללי אוטומציה
- יצירה והתאמה אישית של ספרי הפעלות של Microsoft Sentinel מתבניות תוכן
חפש את הגדרות Microsoft Sentinel בפורטל Defender תחת הגדרות מערכת>>Microsoft Sentinel.
Offboard Microsoft Sentinel
ניתן ליצור סביבת עבודה אחת בלבד המחוברת לפורטל Defender בכל פעם. אם ברצונך להתחבר לסביבת עבודה אחרת ש- Microsoft Sentinel זמין בה, נתק את סביבת העבודה הנוכחית וחבר את סביבת העבודה האחרת.
עבור אל פורטל Microsoft Defender והיכנס.
בפורטל Defender, תחת מערכת, בחר הגדרות>Microsoft Sentinel.
בדף סביבות עבודה , בחר את סביבת העבודה המחוברת ואת סביבת העבודה התנתק.
אשר את הבחירה שלך.
כאשר סביבת העבודה שלך מנותקת, המקטע Microsoft Sentinel מוסר מהנווט הימני של פורטל Defender. נתונים מ- Microsoft Sentinel אינם כלולים עוד בדף Overview.
אם ברצונך להתחבר לסביבת עבודה אחרת, מהדף סביבות עבודה, בחר את סביבת העבודה וחבר סביבת עבודה.
תוכן קשור
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור