חבר את Microsoft Sentinel ל- Microsoft Defender XDR (תצוגה מקדימה)

• חל על:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel זמין כחלק מהתצוגה המקדימה הציבורית עבור פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender. כאשר אתה קלוט את Microsoft Sentinel לפורטל Microsoft Defender, אתה מ אחד יכולות עם Microsoft Defender XDR כגון ניהול מקרים וה ציד מתקדם. צמצם את החלפת הכלים ובנה חקירה ממוקדת יותר בהקשר שמזרזת את התגובה לתקריות ומפסיקה את ההפרות מהר יותר. לקבלת מידע נוסף, ראה:

• Microsoft Sentinel בפורטל Microsoft Defender
• פלטפורמת פעולות אבטחה מאוחדת עם Microsoft Sentinel ו- Defender XDR

חשוב

המידע במאמר זה מתייחס למוצר קדם-הפצה שעשוי להשתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

דרישות מוקדמות

לפני שתתחיל, עיין בתיעוד התכונה כדי להבין את השינויים והמגבלות של המוצר:

• Microsoft Sentinel בפורטל Microsoft Defender
• ציד מתקדם בפורטל Microsoft Defender
• אוטומציה עם פלטפורמת פעולות האבטחה המאוחדת

פורטל Microsoft Defender תומך בדייר יחיד Microsoft Entra החיבור לסביבת עבודה אחת בכל פעם. בהקשר של מאמר זה, סביבת עבודה היא סביבת עבודה של ניתוח יומן כאשר Microsoft Sentinel זמין.

כדי לקלוט את Microsoft Sentinel ולהשתמש בו בפורטל Microsoft Defender, דרושים לך המשאבים והגישה הבאים:

• סביבת עבודה של ניתוח יומן רישום שבה Microsoft Sentinel זמין

• מחבר הנתונים עבור Microsoft Defender XDR (נקרא בעבר Microsoft 365 Defender) זמין ב- Microsoft Sentinel עבור אירועים והתראות

• גישה Microsoft Defender XDR בפורטל Defender

• Microsoft Defender XDR הצירוף לדייר Microsoft Entra שלך

• חשבון Azure עם התפקידים המתאימים לצירוף, לשימוש וליצירה של בקשות תמיכה עבור Microsoft Sentinel בפורטל Defender. הטבלה הבאה מסמנת כמה מהתפקידים העיקריים הדרושים.

  משימה	נדרש תפקיד מוכלל של Azure	טווח
  חיבור או ניתוק של סביבת עבודה כאשר Microsoft Sentinel זמין	בעלים או מנהל גישת משתמשומשתתף Microsoft Sentinel	- מנוי לתפקידים 'בעלים' או 'מנהל גישה למשתמש ' - מנוי, קבוצת משאבים או משאב סביבת עבודה עבור משתתף Microsoft Sentinel
  הצגת Microsoft Sentinel בפורטל Defender	Microsoft Sentinel Reader	משאב מנוי, קבוצת משאבים או סביבת עבודה
  שאילתה על טבלאות נתונים של Sentinel או הצגת אירועים	Microsoft Sentinel Reader או תפקיד עם הפעולות הבאות: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	משאב מנוי, קבוצת משאבים או סביבת עבודה
  בצע פעולות חקירה לגבי מקרים	משתתף Microsoft Sentinel או תפקיד עם הפעולות הבאות: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read /relations- Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	משאב מנוי, קבוצת משאבים או סביבת עבודה
  Create בקשת תמיכה	בעלים או תורם או תומך מבקש משתתף או תפקיד מותאם אישית עם Microsoft.Support/*	מנוי

  לאחר חיבור Microsoft Sentinel לפורטל Defender, ההרשאות הקיימות של בקרת גישה מבוססת תפקידים (RBAC) של Azure מאפשרות לך לעבוד עם התכונות Microsoft Sentinel שיש לך גישה אליהן. המשך לנהל תפקידים והרשאות עבור משתמשי Microsoft Sentinel שלך בפורטל Azure. כל שינויי Azure RBAC משתקפים בפורטל Defender. לקבלת מידע נוסף אודות הרשאות Microsoft Sentinel, ראה תפקידים והרשאות ב- Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.

צירוף Microsoft Sentinel

כדי לחבר סביבת עבודה ש- Microsoft Sentinel זמין עבורה Defender XDR, בצע את השלבים הבאים:

1. עבור אל Microsoft Defender והיכנס.

2. בתיבה Microsoft Defender XDR, בחר מבט כולל.

3. בחר חבר סביבת עבודה.

4. בחר את סביבת העבודה שברצונך לחבר ובחר הבא.

5. קרא והבנה את השינויים במוצר המשויכים לחיבור סביבת העבודה שלך. שינויים אלה כוללים:

   • טבלאות יומן רישום, שאילתות ופונקציות בסביבת העבודה של Microsoft Sentinel זמינות גם בחיפוש מתקדם בתוך Defender XDR.
   • תפקיד המשתתף Microsoft Sentinel מוקצה לאפליקציות Microsoft Threat Protection ו- WindowsDefenderATP בתוך המנוי.
   • כללי יצירת אירוע אבטחה פעילים של Microsoft מבוטלים כדי למנוע אירועים כפולים. שינוי זה חל רק על כללי יצירת אירועים עבור התראות Microsoft ולא על כללי ניתוח אחרים.
   • כל ההתראות הקשורות למוצרי Defender XDR מוזרמות ישירות ממחבר Defender XDR הנתונים הראשי כדי להבטיח עקביות. ודא שמחבר זה מופעל בסביבת העבודה שלך לגבי אירועים והתראות.

6. בחר התחבר.

לאחר חיבור סביבת העבודה שלך, הכרזה בדף מבט כולל מראה שמידע האבטחה המאוחד וניהול האירועים (SIEM) וזיהוי ותגובה מורחבים (XDR) מוכנים. הדף Overview מתעדכן במקטעים חדשים הכוללים מדדים מ- Microsoft Sentinel, כגון מספר מחברי הנתונים וכללי האוטומציה.

סיור בתכונות Microsoft Sentinel בפורטל Defender

לאחר חיבור סביבת העבודה שלך לפורטל Defender, Microsoft Sentinel נמצא בחלונית הניווט בצד ימין. דפים כגון Overview, Incidents ו- Advanced Hunting כוללים נתונים מאוחדים מ- Microsoft Sentinel ומ- Defender XDR. לקבלת מידע נוסף אודות היכולות המאוחדות וההבדלים בין פורטלים, ראה Microsoft Sentinel בפורטל Microsoft Defender הפורטל.

רבות מהתכונות הקיימות של Microsoft Sentinel משולבות בפורטל Defender. עבור תכונות אלה, שים לב שהחוויה בין Microsoft Sentinel בפורטל Azure לפורטל Defender דומה. השתמש במאמרים הבאים כדי לעזור לך להתחיל לעבוד עם Microsoft Sentinel בפורטל Defender. בעת שימוש במאמרים אלה, זכור שנקודת ההתחלה בהקשר זה היא פורטל Defender במקום פורטל Azure.

• חיפוש
  • חיפוש טווחי זמן ארוכים בערכות נתונים גדולות
  • שחזור יומני רישום המאוחסנים בארכיון מהחיפוש
• ניהול איומים
  • הצגה חזותית של הנתונים שלך וניטורם באמצעות חוברות עבודה
  • ניהול ציד איומים מקצה לקצה באמצעות Hunts
  • שימוש בסימניות ציד עבור חקירות נתונים
  • השתמש לציד Livestream ב- Microsoft Sentinel כדי לזהות איום
  • חפש איומי אבטחה באמצעות מחברות Jupyter
  • הוספת מחוונים בצובר ל- Microsoft Sentinel Threat Intelligence מקובץ CSV או JSON
  • עבודה עם מחווני איומים ב- Microsoft Sentinel
  • הבנת כיסוי האבטחה על-ידי MITRE ATT&CK
• ניהול תוכן
  • גילוי וניהול של תוכן Microsoft Sentinel שזמין לשימוש
  • קטלוג רכזת התוכן של Microsoft Sentinel
  • פריסת תוכן מותאם אישית מהמאגר שלך
• תצורה
  • איתור מחבר הנתונים של Microsoft Sentinel
  • Create כללי ניתוח מותאמים אישית כדי לזהות איומים
  • עבודה עם כללי ניתוח זיהוי של זמן אמת קרוב (NRT) ב- Microsoft Sentinel
  • Create מעקב
  • ניהול רשימות צפייה ב- Microsoft Sentinel
  • Create אוטומטיים
  • Create אישית של ספרי הפעלות של Microsoft Sentinel מתבניות תוכן

חפש את הגדרות Microsoft Sentinel בפורטל Defender תחת הגדרות מערכת>>Microsoft Sentinel.

Offboard Microsoft Sentinel

ניתן ליצור סביבת עבודה אחת בלבד המחוברת לפורטל Defender בכל פעם. אם ברצונך להתחבר לסביבת עבודה אחרת ש- Microsoft Sentinel זמין בה, נתק את סביבת העבודה הנוכחית וחבר את סביבת העבודה האחרת.

1. עבור אל Microsoft Defender והיכנס.

2. בפורטל Defender, תחת מערכת, בחר הגדרות>Microsoft Sentinel.

3. בדף סביבות עבודה , בחר את סביבת העבודה המחוברת ואת סביבת העבודה התנתק.

4. אשר את הבחירה שלך.

   כאשר סביבת העבודה שלך מנותקת, המקטע Microsoft Sentinel מוסר מהנווט הימני של פורטל Defender. נתונים מ- Microsoft Sentinel אינם כלולים עוד בדף Overview.

אם ברצונך להתחבר לסביבת עבודה אחרת, מהדף סביבות עבודה, בחר את סביבת העבודה וחבר סביבת עבודה.

תוכן קשור

• Microsoft Sentinel בפורטל Microsoft Defender
• ציד מתקדם בפורטל Microsoft Defender
• הפרעה אוטומטית בתקיפה Microsoft Defender XDR
• תחקור מקרים ב- Microsoft Defender XDR