Microsoft Sentinel a Microsoft Defender portálon
Ez a cikk a Microsoft Defender portál Microsoft Sentinel felületét ismerteti. A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információk:
- Blogbejegyzés: A Microsoft egyesített biztonsági üzemeltetési platformjának általános elérhetősége
- Blogbejegyzés: Az egyesített biztonsági üzemeltetési platformmal kapcsolatos gyakori kérdések
- A Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez
Új és továbbfejlesztett képességek
Az alábbi táblázat a Defender portálon elérhető új vagy továbbfejlesztett képességeket ismerteti a Microsoft Sentinel és a Defender XDR integrációjával.
| Képességek | Leírás |
|---|---|
| Speciális vadászat | Lekérdezés egyetlen portálról különböző adatkészletek között, hogy hatékonyabbá tegye a vadászatot, és szükségtelenné tegye a környezetváltást. A Copilot for Security segítségével létrehozhatja a KQL-t. Az összes adat megtekintése és lekérdezése, beleértve a Microsoft biztonsági szolgáltatásaiból és a Microsoft Sentinelből származó adatokat is. Használja a Microsoft Sentinel-munkaterület összes meglévő tartalmát, beleértve a lekérdezéseket és a függvényeket is. További információért tekintse át az alábbi cikkeket: - Speciális keresés a Microsoft Defender portálon - Copilot for Security a speciális vadászatban |
| Támadási zavar | Az SAP automatikus támadási zavarainak üzembe helyezése az egységesített biztonsági üzemeltetési platformmal és az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldással. Tegyük fel például, hogy pénzügyi folyamatmanipulációs támadás esetén zárolja a gyanús SAP-felhasználókat. Az SAP támadáskimaradási képességei csak a Defender portálon érhetők el. Az SAP támadási zavarainak használatához frissítse az adatösszekötő ügynökének verzióját, és győződjön meg arról, hogy a megfelelő Azure-szerepkör hozzá van rendelve az ügynök identitásához. További információ: Az SAP automatikus támadási zavara. |
| SOC-optimalizálás | Magas megbízhatósági és végrehajtható javaslatokat kaphat a következő területek azonosításához: - Költségek csökkentése – Biztonsági vezérlők hozzáadása – Hiányzó adatok hozzáadása Az SOC-optimalizálás a Defenderben és az Azure Portalon érhető el, a környezetéhez igazodik, és a jelenlegi lefedettségen és fenyegetési környezeten alapul. További információért tekintse át az alábbi cikkeket: - A biztonsági műveletek optimalizálása - JAVASLATOK SOC-optimalizálási referenciája |
| Egyesített entitások | A Defender portál eszközeinek, felhasználóinak, IP-címeinek és Azure-erőforrásainak entitásoldalai a Microsoft Sentinel és a Defender adatforrásaiból származó információkat jelenítik meg. Ezek az entitáslapok kibővített kontextust biztosítanak az incidensek és riasztások kivizsgálásához a Defender portálon. További információ: Entitásoldallal rendelkező entitások vizsgálata a Microsoft Sentinelben. |
| Egyesített incidensek | A biztonsági incidensek kezelése és kivizsgálása egyetlen helyen és egyetlen üzenetsorból a Defender portálon. A Copilot for Security használatával összegzhet, válaszolhat és jelenthet. Az incidensek közé tartoznak a következők: - A források szélességéből származó adatok - A biztonsági információk és eseménykezelés AI-elemzési eszközei (SIEM) - A kiterjesztett észlelés és válasz (XDR) által kínált környezet- és kockázatcsökkentési eszközök További információért tekintse át az alábbi cikkeket: - Incidenskezelés a Microsoft Defender portálon - Microsoft Sentinel-incidensek vizsgálata a Copilot for Securityben |
Képességbeli különbségek a portálok között
A Microsoft Sentinel legtöbb képessége az Azure és a Defender portálon is elérhető. A Defender portálon néhány Microsoft Sentinel-élmény megnyílik az Azure Portalon, hogy elvégezhesse a feladatot.
Ez a szakasz a Microsoft Sentinel azon képességeit vagy integrációját ismerteti az egyesített biztonsági üzemeltetési platformon, amelyek csak az Azure Portalon vagy a Defender portálon érhetők el, vagy a portálok közötti egyéb jelentős különbségek. Kizárja azOkat a Microsoft Sentinel-szolgáltatásokat, amelyek megnyitják az Azure Portalt a Defender portálról.
| Funkció | Elérhetőség | Leírás |
|---|---|---|
| Speciális keresés könyvjelzőkkel | Csak az Azure Portalon | A könyvjelzők nem támogatottak a Microsoft Defender portál speciális vadászati felületén. A Defender portálon a Microsoft Sentinel > Threat Management > Hunting támogatja őket. További információ: Adatok nyomon követése a vadászat során a Microsoft Sentinellel. |
| Az SAP támadási zavarai | Csak Defender-portál | Ez a funkció nem érhető el az Azure Portalon. További információ: Automatikus támadáskimaradás a Microsoft Defender portálon. |
| Automation | Egyes automatizálási eljárások csak az Azure Portalon érhetők el. A Defender és az Azure Portal más automatizálási eljárásai azonosak, de az Azure Portalon különböznek az egyesített biztonsági üzemeltetési platformra előkészített munkaterületek és a nem megfelelő munkaterületek között. |
További információ: Automation with the unified security operations platform. |
| Adatösszekötők: az egyesített biztonsági üzemeltetési platform által használt összekötők láthatósága | Csak az Azure Portalon | A Defender portálon a Microsoft Sentinel előkészítése után az egyesített biztonsági üzemeltetési platform részét képező alábbi adatösszekötők nem jelennek meg az Adatösszekötők lapon: Az Azure Portalon ezek az adatösszekötők továbbra is szerepelnek a Microsoft Sentinelben telepített adatösszekötőkkel. |
| Entitások: Entitások hozzáadása az incidensek fenyegetésfelderítéséhez | Csak az Azure Portalon | Ez a funkció nem érhető el az egyesített biztonsági üzemeltetési platformon. További információ: Entitás hozzáadása fenyegetésjelzőkhöz. |
| Fúzió: Fejlett többlépcsős támadásészlelés | Csak az Azure Portalon | A Fusion-elemzési szabály, amely a Fúziós korrelációs motor riasztási korrelációi alapján hoz létre incidenseket, le van tiltva, amikor a Microsoft Sentinelt az egyesített biztonsági üzemeltetési platformra továbbítja. Az egyesített biztonsági üzemeltetési platform a Microsoft Defender XDR incidens-létrehozási és korrelációs funkcióit használja a Fúziós motor funkcióinak helyettesítésére. További információ: Advanced multistage attack detection in Microsoft Sentinel |
| Incidensek: Riasztások hozzáadása incidensekhez / Riasztások eltávolítása incidensekből |
Csak Defender-portál | Miután a Microsoft Sentinelt az egyesített biztonsági üzemeltetési platformra előkészítette, az Azure Portalon már nem adhat hozzá riasztásokat az incidensekhez, és nem távolíthat el riasztásokat. A Defender portálon eltávolíthat egy riasztást egy incidensből, de csak úgy, ha a riasztást egy másik (meglévő vagy új) incidenshez csatolja. |
| Incidensek: megjegyzések szerkesztése | Csak az Azure Portalon | Miután a Microsoft Sentinelt az egyesített biztonsági üzemeltetési platformra előkészítette, bármelyik portálon megjegyzéseket fűzhet az incidensekhez, de a meglévő megjegyzéseket nem szerkesztheti. Az Azure Portalon végzett megjegyzések szerkesztései nem szinkronizálódnak az egyesített biztonsági üzemeltetési platformmal. |
| Incidensek: Incidensek programozott és manuális létrehozása | Csak az Azure Portalon | A Microsoft Sentinelben az API-n keresztül, logikai alkalmazás forgatókönyvével vagy manuálisan az Azure Portalról létrehozott incidensek nem szinkronizálódnak az egyesített biztonsági üzemeltetési platformmal. Ezek az incidensek továbbra is támogatottak az Azure Portalon és az API-ban. Lásd: Saját incidensek manuális létrehozása a Microsoft Sentinelben. |
| Incidensek: Bezárt incidensek újbóli megnyitása | Csak az Azure Portalon | Az egyesített biztonsági üzemeltetési platformon nem állíthat be riasztáscsoportozást a Microsoft Sentinel-elemzési szabályokban a bezárt incidensek újbóli megnyitásához, ha új riasztásokat adnak hozzá. Ebben az esetben a bezárt incidensek nem lesznek újra megnyitva, és az új riasztások új incidenseket váltanak ki. |
| Incidensek: Feladatok | Csak az Azure Portalon | A feladatok nem érhetők el az egyesített biztonsági üzemeltetési platformon. További információ: Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben. |
| Több munkaterület kezelése a Microsoft Sentinelhez | Defender-portál: Bérlőnként egy Microsoft Sentinel-munkaterületre korlátozva Azure Portal: Több Microsoft Sentinel-munkaterület központi kezelése bérlők számára |
Az egyesített biztonsági üzemeltetési platform jelenleg bérlőnként csak egy Microsoft Sentinel-munkaterületet támogat. A Microsoft Defender több-bérlős kezelése tehát bérlőnként egy Microsoft Sentinel-munkaterületet támogat. További információért tekintse át az alábbi cikkeket: - Defender portál: Microsoft Defender több-bérlős felügyelet - Azure Portal: Több Microsoft Sentinel-munkaterület kezelése a munkaterület-kezelővel |
Rövid összefoglalás
Egyes Microsoft Sentinel-képességek, például az egyesített incidenssor integrálva vannak a Microsoft Defender XDR-sel az egyesített biztonsági üzemeltetési platformon. Számos más Microsoft Sentinel-funkció is elérhető a Defender portál Microsoft Sentinel szakaszában.
Az alábbi képen a Microsoft Sentinel menü látható a Defender portálon:
A következő szakaszok ismertetik, hogy hol találhatók a Microsoft Sentinel funkciói a Defender portálon. A szakaszok úgy vannak rendszerezve, ahogy a Microsoft Sentinel az Azure Portalon található.
Általános
Az alábbi táblázat az Azure Portal Általános szakaszához tartozó Azure és Defender portálok közötti navigáció változásait sorolja fel.
| Azure Portal | Defender portál |
|---|---|
| Áttekintés | Áttekintés |
| Naplók | Vizsgálat > válasz > – Speciális > vadászat |
| Hírek & útmutatók | Nem elérhető |
| Keresés | Microsoft Sentinel > Search |
Fenyegetések kezelése
Az alábbi táblázat az Azure Portal Fenyegetéskezelés szakaszának Azure- és Defender-portáljai közötti navigáció változásait sorolja fel.
| Azure Portal | Defender portál |
|---|---|
| Incidensek | Vizsgálati és válaszesemények > > riasztások > Incidensek |
| Munkafüzetek | Microsoft Sentinel > fenyegetéskezelési> munkafüzetek |
| Veszélyforrás-keresés | Microsoft Sentinel > Threat management > Hunting |
| Jegyzetfüzetek | Microsoft Sentinel > Threat management > Notebooks |
| Entitás viselkedése | Felhasználói entitás lapja: Assets Identityes> {user}> Sentinel > events Eszköz entitáslapja: Assets > Devices >{device}> Sentinel events Emellett keresse meg a felhasználó, az eszköz, az IP- és az Azure-erőforrásentitások entitáslapjait incidensekből és riasztásokból, ahogy azok megjelennek. |
| Fenyegetésészlelési intelligencia | A Microsoft Sentinel > fenyegetéskezelési fenyegetésfelderítése > |
| MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Tartalomkezelés
Az alábbi táblázat az Azure Portal Tartalomkezelés szakaszához tartozó Azure és Defender portálok közötti navigáció változásait sorolja fel.
| Azure Portal | Defender portál |
|---|---|
| Tartalomközpont | Microsoft Sentinel > tartalomkezelési > tartalomközpont |
| Adattárak | Microsoft Sentinel > tartalomkezelési > adattárak |
| Közösség | Microsoft Sentinel > tartalomkezelő > közösség |
Konfiguráció
Az alábbi táblázat az Azure Portal Konfiguráció szakaszához tartozó Azure és Defender portálok közötti navigáció változásait sorolja fel.
| Azure Portal | Defender portál |
|---|---|
| Munkaterület-kezelő | Nem elérhető |
| Adatösszekötők | Microsoft Sentinel > konfigurációs > adatösszekötők |
| Elemzés | Microsoft Sentinel > Configuration > Analytics |
| Figyelőlisták | Microsoft Sentinel > Configuration > Watchlists |
| Automation | Microsoft Sentinel > Configuration > Automation |
| Beállítások | Rendszerbeállítások > > Microsoft Sentinel |