חבר את Microsoft Sentinel ל- Microsoft Defender XDR (תצוגה מקדימה)
Microsoft Sentinel זמין כחלק מהתצוגה המקדימה הציבורית עבור פלטפורמת פעולות האבטחה המאוחדת בפורטל Microsoft Defender. כאשר אתה קלוט את Microsoft Sentinel לפורטל Microsoft Defender, אתה מ אחד יכולות עם Microsoft Defender XDR כגון ניהול מקרים וה ציד מתקדם. צמצם את החלפת הכלים ובנה חקירה ממוקדת יותר בהקשר שמזרזת את התגובה לתקריות ומפסיקה את ההפרות מהר יותר. לקבלת מידע נוסף, ראה:
- Microsoft Sentinel בפורטל Microsoft Defender
- פלטפורמת פעולות אבטחה מאוחדת עם Microsoft Sentinel ו- Defender XDR
חשוב
המידע במאמר זה מתייחס למוצר קדם-הפצה שעשוי להשתנה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
דרישות מוקדמות
לפני שתתחיל, עיין בתיעוד התכונה כדי להבין את השינויים והמגבלות של המוצר:
- Microsoft Sentinel בפורטל Microsoft Defender
- ציד מתקדם בפורטל Microsoft Defender
- אוטומציה עם פלטפורמת פעולות האבטחה המאוחדת
פורטל Microsoft Defender תומך בדייר יחיד Microsoft Entra החיבור לסביבת עבודה אחת בכל פעם. בהקשר של מאמר זה, סביבת עבודה היא סביבת עבודה של ניתוח יומן כאשר Microsoft Sentinel זמין.
כדי לקלוט את Microsoft Sentinel ולהשתמש בו בפורטל Microsoft Defender, דרושים לך המשאבים והגישה הבאים:
סביבת עבודה של ניתוח יומן רישום שבה Microsoft Sentinel זמין
מחבר הנתונים עבור Microsoft Defender XDR (נקרא בעבר Microsoft 365 Defender) זמין ב- Microsoft Sentinel עבור אירועים והתראות
גישה Microsoft Defender XDR בפורטל Defender
Microsoft Defender XDR הצירוף לדייר Microsoft Entra שלך
חשבון Azure עם התפקידים המתאימים לצירוף, לשימוש וליצירה של בקשות תמיכה עבור Microsoft Sentinel בפורטל Defender. הטבלה הבאה מסמנת כמה מהתפקידים העיקריים הדרושים.
משימה נדרש תפקיד מוכלל של Azure טווח חיבור או ניתוק של סביבת עבודה כאשר Microsoft Sentinel זמין בעלים או מנהל גישת משתמשומשתתף Microsoft Sentinel - מנוי לתפקידים 'בעלים' או 'מנהל גישה למשתמש ' - מנוי, קבוצת משאבים או משאב סביבת עבודה עבור משתתף Microsoft Sentinel הצגת Microsoft Sentinel בפורטל Defender Microsoft Sentinel Reader משאב מנוי, קבוצת משאבים או סביבת עבודה שאילתה על טבלאות נתונים של Sentinel או הצגת אירועים Microsoft Sentinel Reader או תפקיד עם הפעולות הבאות:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read משאב מנוי, קבוצת משאבים או סביבת עבודה בצע פעולות חקירה לגבי מקרים משתתף Microsoft Sentinel או תפקיד עם הפעולות הבאות:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read/relations- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write משאב מנוי, קבוצת משאבים או סביבת עבודה Create בקשת תמיכה בעלים או תורם או תומך מבקש משתתף או תפקיד מותאם אישית עם Microsoft.Support/* מנוי לאחר חיבור Microsoft Sentinel לפורטל Defender, ההרשאות הקיימות של בקרת גישה מבוססת תפקידים (RBAC) של Azure מאפשרות לך לעבוד עם התכונות Microsoft Sentinel שיש לך גישה אליהן. המשך לנהל תפקידים והרשאות עבור משתמשי Microsoft Sentinel שלך בפורטל Azure. כל שינויי Azure RBAC משתקפים בפורטל Defender. לקבלת מידע נוסף אודות הרשאות Microsoft Sentinel, ראה תפקידים והרשאות ב- Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.
צירוף Microsoft Sentinel
כדי לחבר סביבת עבודה ש- Microsoft Sentinel זמין עבורה Defender XDR, בצע את השלבים הבאים:
עבור אל Microsoft Defender והיכנס.
בתיבה Microsoft Defender XDR, בחר מבט כולל.
בחר חבר סביבת עבודה.
בחר את סביבת העבודה שברצונך לחבר ובחר הבא.
קרא והבנה את השינויים במוצר המשויכים לחיבור סביבת העבודה שלך. שינויים אלה כוללים:
- טבלאות יומן רישום, שאילתות ופונקציות בסביבת העבודה של Microsoft Sentinel זמינות גם בחיפוש מתקדם בתוך Defender XDR.
- תפקיד המשתתף Microsoft Sentinel מוקצה לאפליקציות Microsoft Threat Protection ו- WindowsDefenderATP בתוך המנוי.
- כללי יצירת אירוע אבטחה פעילים של Microsoft מבוטלים כדי למנוע אירועים כפולים. שינוי זה חל רק על כללי יצירת אירועים עבור התראות Microsoft ולא על כללי ניתוח אחרים.
- כל ההתראות הקשורות למוצרי Defender XDR מוזרמות ישירות ממחבר Defender XDR הנתונים הראשי כדי להבטיח עקביות. ודא שמחבר זה מופעל בסביבת העבודה שלך לגבי אירועים והתראות.
בחר התחבר.
לאחר חיבור סביבת העבודה שלך, הכרזה בדף מבט כולל מראה שמידע האבטחה המאוחד וניהול האירועים (SIEM) וזיהוי ותגובה מורחבים (XDR) מוכנים. הדף Overview מתעדכן במקטעים חדשים הכוללים מדדים מ- Microsoft Sentinel, כגון מספר מחברי הנתונים וכללי האוטומציה.
סיור בתכונות Microsoft Sentinel בפורטל Defender
לאחר חיבור סביבת העבודה שלך לפורטל Defender, Microsoft Sentinel נמצא בחלונית הניווט בצד ימין. דפים כגון Overview, Incidents ו- Advanced Hunting כוללים נתונים מאוחדים מ- Microsoft Sentinel ומ- Defender XDR. לקבלת מידע נוסף אודות היכולות המאוחדות וההבדלים בין פורטלים, ראה Microsoft Sentinel בפורטל Microsoft Defender הפורטל.
רבות מהתכונות הקיימות של Microsoft Sentinel משולבות בפורטל Defender. עבור תכונות אלה, שים לב שהחוויה בין Microsoft Sentinel בפורטל Azure לפורטל Defender דומה. השתמש במאמרים הבאים כדי לעזור לך להתחיל לעבוד עם Microsoft Sentinel בפורטל Defender. בעת שימוש במאמרים אלה, זכור שנקודת ההתחלה בהקשר זה היא פורטל Defender במקום פורטל Azure.
- חיפוש
- ניהול איומים
- הצגה חזותית של הנתונים שלך וניטורם באמצעות חוברות עבודה
- ניהול ציד איומים מקצה לקצה באמצעות Hunts
- שימוש בסימניות ציד עבור חקירות נתונים
- השתמש לציד Livestream ב- Microsoft Sentinel כדי לזהות איום
- חפש איומי אבטחה באמצעות מחברות Jupyter
- הוספת מחוונים בצובר ל- Microsoft Sentinel Threat Intelligence מקובץ CSV או JSON
- עבודה עם מחווני איומים ב- Microsoft Sentinel
- הבנת כיסוי האבטחה על-ידי MITRE ATT&CK
- ניהול תוכן
- תצורה
חפש את הגדרות Microsoft Sentinel בפורטל Defender תחת הגדרות מערכת>>Microsoft Sentinel.
Offboard Microsoft Sentinel
ניתן ליצור סביבת עבודה אחת בלבד המחוברת לפורטל Defender בכל פעם. אם ברצונך להתחבר לסביבת עבודה אחרת ש- Microsoft Sentinel זמין בה, נתק את סביבת העבודה הנוכחית וחבר את סביבת העבודה האחרת.
עבור אל Microsoft Defender והיכנס.
בפורטל Defender, תחת מערכת, בחר הגדרות>Microsoft Sentinel.
בדף סביבות עבודה , בחר את סביבת העבודה המחוברת ואת סביבת העבודה התנתק.
אשר את הבחירה שלך.
כאשר סביבת העבודה שלך מנותקת, המקטע Microsoft Sentinel מוסר מהנווט הימני של פורטל Defender. נתונים מ- Microsoft Sentinel אינם כלולים עוד בדף Overview.
אם ברצונך להתחבר לסביבת עבודה אחרת, מהדף סביבות עבודה, בחר את סביבת העבודה וחבר סביבת עבודה.
תוכן קשור
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור