A Microsoft Sentinel csatlakoztatása Microsoft Defender XDR-hez (előzetes verzió)
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. Amikor a Microsoft Sentinelt a Microsoft Defender portálra készíti elő, egyesítheti a képességeket olyan Microsoft Defender XDR, mint az incidenskezelés és a speciális veszélyforrás-keresés. Csökkentse az eszközök közötti váltást, és hozzon létre egy környezetközpontúbb vizsgálatot, amely felgyorsítja az incidensmegoldást, és gyorsabban leállítja a biztonsági incidenseket. További információ:
- Microsoft Sentinel a Microsoft Defender portálon
- Egyesített biztonsági üzemeltetési platform a Microsoft Sentinel és a Defender XDR
Fontos
A cikkben található információk egy előzetes termékre vonatkoznak, amelyet a kereskedelmi forgalomba kerülés előtt lényegesen módosíthatnak. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Előfeltételek
Mielőtt hozzákezdene, tekintse át a funkciódokumentációt a termék változásainak és korlátozásainak megismeréséhez:
- Microsoft Sentinel a Microsoft Defender portálon
- Speciális veszélyforrás-keresés a Microsoft Defender portálon
- Automatizálás az egységes biztonsági üzemeltetési platformmal
A Microsoft Defender portál egyszerre egyetlen Microsoft Entra bérlőt és egy munkaterülethez való csatlakozást támogat. A cikk kontextusában a munkaterület egy Log Analytics-munkaterület, amelyen engedélyezve van a Microsoft Sentinel.
A Microsoft Sentinel Microsoft Defender portálon való előkészítéséhez és használatához a következő erőforrásokkal és hozzáféréssel kell rendelkeznie:
Egy Log Analytics-munkaterület, amelyben engedélyezve van a Microsoft Sentinel
A Microsoft Sentinelben engedélyezett Microsoft Defender XDR (korábbi nevén Microsoft 365 Defender) adatösszekötője incidensekhez és riasztásokhoz
Hozzáférés a Microsoft Defender XDR a Defender portálon
Microsoft Defender XDR regisztrálva a Microsoft Entra bérlőre
A Microsoft Sentinel támogatási kéréseinek előkészítéséhez, használatához és létrehozásához megfelelő szerepkörökkel rendelkező Azure-fiók a Defender portálon. Az alábbi táblázat néhány fontos szerepkört emel ki.
Feladat Beépített Azure-szerepkör szükséges Hatókör Munkaterület csatlakoztatása vagy leválasztása a Microsoft Sentinel engedélyezésével Tulajdonos vagy felhasználói hozzáférés rendszergazdája és Microsoft Sentinel-közreműködő – Előfizetés tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörökhöz – Előfizetés, erőforráscsoport vagy munkaterületi erőforrás a Microsoft Sentinel közreműködőjéhez A Microsoft Sentinel megtekintése a Defender portálon Microsoft Sentinel-olvasó Előfizetés, erőforráscsoport vagy munkaterület erőforrása Sentinel-adattáblák lekérdezése vagy incidensek megtekintése Microsoft Sentinel-olvasó vagy szerepkör a következő műveletekkel:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Előfizetés, erőforráscsoport vagy munkaterület erőforrása Vizsgálati műveletek végrehajtása incidensekkel kapcsolatban Microsoft Sentinel-közreműködő vagy szerepkör a következő műveletekkel:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write Előfizetés, erőforráscsoport vagy munkaterület erőforrása Támogatási kérés Létrehozás Tulajdonos vagy közreműködő vagy támogatási kérelem közreműködője vagy egyéni szerepkör a Microsoft.Support/* használatával Előfizetés Miután csatlakoztatta a Microsoft Sentinelt a Defender portálhoz, a meglévő Azure szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyei lehetővé teszik a Microsoft Sentinel azon funkcióinak használatát, amelyekhez hozzáféréssel rendelkezik. Folytassa a Microsoft Sentinel-felhasználók szerepköreinek és engedélyeinek kezelését a Azure Portal. Az Azure RBAC módosításai a Defender portálon is megjelennek. További információ a Microsoft Sentinel engedélyeiről: Szerepkörök és engedélyek a Microsoft Sentinelben | Microsoft Learn és Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrás alapján | Microsoft Learn.
A Microsoft Sentinel előkészítése
Ha olyan munkaterületet szeretne csatlakoztatni, amelyhez engedélyezve van a Microsoft Sentinel Defender XDR, hajtsa végre az alábbi lépéseket:
Nyissa meg a Microsoft Defender portált, és jelentkezzen be.
A Microsoft Defender XDR válassza az Áttekintés lehetőséget.
Válassza a Munkaterület csatlakoztatása lehetőséget.
Válassza ki a csatlakoztatni kívánt munkaterületet, és válassza a Tovább gombot.
Olvassa el és ismerje meg a munkaterület csatlakoztatásával kapcsolatos termékmódosításokat. Ezek a változások a következők:
- A Microsoft Sentinel-munkaterület naplótáblái, lekérdezései és függvényei speciális veszélyforrás-keresésekben is elérhetők Defender XDR belül.
- A Microsoft Sentinel-közreműködő szerepkör hozzá van rendelve a Microsoft Threat Protection és a WindowsDefenderATP alkalmazásokhoz az előfizetésen belül.
- Az aktív Microsoft biztonsági incidens-létrehozási szabályok inaktiválva vannak az ismétlődő incidensek elkerülése érdekében. Ez a módosítás csak a Microsoft-riasztások incidens-létrehozási szabályaira vonatkozik, más elemzési szabályokra nem.
- A Defender XDR termékekhez kapcsolódó összes riasztás közvetlenül a fő Defender XDR adatösszekötőből streamelhető a konzisztencia biztosítása érdekében. Győződjön meg arról, hogy az összekötő incidensei és riasztásai be vannak kapcsolva a munkaterületen.
Válassza a Csatlakozás lehetőséget.
A munkaterület csatlakoztatása után az Áttekintés oldalon látható szalagcímen látható, hogy az egyesített biztonsági információ és eseménykezelés (SIEM) és a kiterjesztett észlelés és reagálás (XDR) készen áll. Az Áttekintés lap új szakaszokkal frissült, amelyek a Microsoft Sentinel metrikáit, például az adatösszekötők számát és az automatizálási szabályokat tartalmazzák.
A Microsoft Sentinel funkcióinak megismerése a Defender portálon
Miután csatlakoztatta a munkaterületet a Defender portálhoz, a Microsoft Sentinel a bal oldali navigációs panelen található. Az olyan oldalak, mint az Áttekintés, az Incidensek és a Speciális veszélyforrás-keresés, egyesített adatokat kapnak a Microsoft Sentinelből és Defender XDR. Az egyesített funkciókról és a portálok közötti különbségekről további információt a Microsoft Sentinel Microsoft Defender portálon talál.
A Microsoft Sentinel számos meglévő funkciója integrálva van a Defender portálba. Ezen funkciók esetében figyelje meg, hogy a Microsoft Sentinel felülete a Azure Portal és a Defender portálon hasonló. Az alábbi cikkek segítségével megkezdheti a Microsoft Sentinel használatát a Defender portálon. A cikkek használatakor vegye figyelembe, hogy ebben a környezetben a kiindulási pont a Defender portál, nem pedig a Azure Portal.
- Keresés
- Fenyegetéskezelés
- Adatok megjelenítése és monitorozása munkafüzetek használatával
- Teljes körű veszélyforrás-keresés végrehajtása a Hunts használatával
- Veszélyforrás-keresési könyvjelzők használata adatvizsgálatokhoz
- Veszélyforrás-keresés élő közvetítése a Microsoft Sentinelben a fenyegetés észleléséhez
- Biztonsági fenyegetések keresése Jupyter-notebookokkal
- Jelzők tömeges hozzáadása a Microsoft Sentinel fenyegetésfelderítéséhez CSV- vagy JSON-fájlból
- Fenyegetésjelzők a Microsoft Sentinelben
- A MITRE ATT&CK-keretrendszer biztonsági lefedettségének ismertetése
- Tartalomkezelő
- Konfiguráció
- A Microsoft Sentinel-adatösszekötő megkeresése
- egyéni elemzési szabályok Létrehozás a fenyegetések észleléséhez
- Közel valós idejű (NRT) észlelési elemzési szabályok használata a Microsoft Sentinelben
- Létrehozás figyelőlisták
- Figyelőlisták kezelése a Microsoft Sentinelben
- Létrehozás automatizálási szabályok
- Microsoft Sentinel-forgatókönyvek Létrehozás és testreszabása tartalomsablonokból
Keresse meg a Microsoft Sentinel-beállításokat a Defender portál Rendszerbeállítások>>Microsoft Sentinel területén.
A Microsoft Sentinel kivezetése
Egyszerre csak egy munkaterület csatlakoztatható a Defender portálhoz. Ha egy másik munkaterülethez szeretne csatlakozni, amelyhez engedélyezve van a Microsoft Sentinel, bontsa le az aktuális munkaterületet, és csatlakoztassa a másik munkaterületet.
Nyissa meg a Microsoft Defender portált, és jelentkezzen be.
A Defender portál Rendszer területén válassza a Beállítások>Microsoft Sentinel lehetőséget.
A Munkaterületek lapon válassza ki a csatlakoztatott munkaterületet és a Munkaterület leválasztása lehetőséget.
Erősítse meg a kijelölést.
A munkaterület leválasztásakor a Microsoft Sentinel szakasz el lesz távolítva a Defender portál bal oldali navigációs sávjából. A Microsoft Sentinelből származó adatok már nem szerepelnek az Áttekintés lapon.
Ha egy másik munkaterülethez szeretne csatlakozni, a Munkaterületek lapon válassza ki a munkaterületet, majd a Munkaterület csatlakoztatása lehetőséget.
Kapcsolódó tartalom
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: