A Microsoft Sentinel csatlakoztatása Microsoft Defender XDR-hez

• A következőre érvényes::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel az egyesített biztonsági műveleti platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is használható. Amikor a Microsoft Sentinelt a Microsoft Defender portálra készíti elő, egyesítheti a képességeket a Microsoft Defender XDR-sel, például az incidenskezeléssel és a speciális veszélyforrás-kereséssel. Csökkentse az eszközök közötti váltást, és hozzon létre egy környezetközpontúbb vizsgálatot, amely felgyorsítja az incidensmegoldást, és gyorsabban leállítja a biztonsági incidenseket. További információ:

• Microsoft Sentinel a Microsoft Defender portálon
• Egyesített biztonsági üzemeltetési platform a Microsoft Sentinel és a Defender XDR használatával

Előfeltételek

Mielőtt hozzákezdene, tekintse át a funkciódokumentációt a termék változásainak és korlátozásainak megismeréséhez:

• Microsoft Sentinel a Microsoft Defender portálon
• Speciális veszélyforrás-keresés a Microsoft Defender portálon
• Automatizálás az egységes biztonsági üzemeltetési platformmal

A Microsoft Defender portál egyszerre egyetlen Microsoft Entra-bérlőt és egy munkaterülethez való csatlakozást támogat. A cikk kontextusában a munkaterület egy Log Analytics-munkaterület, amelyen engedélyezve van a Microsoft Sentinel.

A Microsoft Sentinel a Microsoft Defender portálon való előkészítéséhez és használatához a következő erőforrásokkal és hozzáféréssel kell rendelkeznie:

• Egy Log Analytics-munkaterület, amelyben engedélyezve van a Microsoft Sentinel

• A Microsoft Sentinelben engedélyezett Adatösszekötő a Microsoft Defender XDR-hez (korábbi nevén Microsoft 365 Defender) incidensekhez és riasztásokhoz

• Hozzáférés a Microsoft Defender XDR-hez a Defender portálon

• A Microsoft Defender XDR a Microsoft Entra-bérlőhöz van regisztrálva

• A Microsoft Sentinel támogatási kéréseinek előkészítéséhez, használatához és létrehozásához megfelelő szerepkörökkel rendelkező Azure-fiók a Defender portálon. Az alábbi táblázat néhány fontos szerepkört emel ki.

  Feladat	Beépített Azure-szerepkör szükséges	Hatókör
  Munkaterület csatlakoztatása vagy leválasztása a Microsoft Sentinel engedélyezésével	Tulajdonos vagy felhasználói hozzáférés rendszergazdája és Microsoft Sentinel-közreműködő	– Előfizetés tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörökhöz – Előfizetés, erőforráscsoport vagy munkaterületi erőforrás a Microsoft Sentinel közreműködőjéhez
  A Microsoft Sentinel megtekintése a Defender portálon	Microsoft Sentinel-olvasó	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Sentinel-adattáblák lekérdezése vagy incidensek megtekintése	Microsoft Sentinel-olvasó vagy szerepkör a következő műveletekkel: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Vizsgálati műveletek végrehajtása incidensekkel kapcsolatban	Microsoft Sentinel-közreműködő vagy szerepkör a következő műveletekkel: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Támogatási kérelem létrehozása	Tulajdonos vagy közreműködő vagy támogatási kérelem közreműködője vagy egyéni szerepkör a Microsoft.Support/* használatával	Előfizetés

  Miután csatlakoztatta a Microsoft Sentinelt a Defender portálhoz, a meglévő Azure szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyei lehetővé teszik a Microsoft Sentinel azon funkcióinak használatát, amelyekhez hozzáféréssel rendelkezik. Folytassa a Microsoft Sentinel-felhasználók szerepköreinek és engedélyeinek kezelését az Azure Portalon. Az Azure RBAC módosításai a Defender portálon is megjelennek. További információ a Microsoft Sentinel engedélyeiről: Szerepkörök és engedélyek a Microsoft Sentinelben | Microsoft Learn és Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrás alapján | Microsoft Learn.

A Microsoft Sentinel előkészítése

Ha olyan munkaterületet szeretne csatlakoztatni, amelyhez engedélyezve van a Microsoft Sentinel a Defender XDR-hez, hajtsa végre a következő lépéseket:

1. Nyissa meg a Microsoft Defender portált , és jelentkezzen be.

2. A Microsoft Defender XDR-ben válassza az Áttekintés lehetőséget.

3. Válassza a Munkaterület csatlakoztatása lehetőséget.

4. Válassza ki a csatlakoztatni kívánt munkaterületet, és válassza a Tovább gombot.

5. Olvassa el és ismerje meg a munkaterület csatlakoztatásával kapcsolatos termékmódosításokat. Ezek a változások a következők:

   • A Microsoft Sentinel-munkaterületen található naplótáblák, lekérdezések és függvények speciális keresésekben is elérhetők a Defender XDR-ben.
   • A Microsoft Sentinel-közreműködő szerepkör hozzá van rendelve a Microsoft Threat Protection és a WindowsDefenderATP alkalmazásokhoz az előfizetésen belül.
   • Az aktív Microsoft biztonsági incidens-létrehozási szabályok inaktiválva vannak az ismétlődő incidensek elkerülése érdekében. Ez a módosítás csak a Microsoft-riasztások incidens-létrehozási szabályaira vonatkozik, más elemzési szabályokra nem.
   • A Defender XDR-termékekhez kapcsolódó összes riasztás közvetlenül a Fő Defender XDR-adatösszekötőből streamelhető a konzisztencia biztosítása érdekében. Győződjön meg arról, hogy az összekötő incidensei és riasztásai be vannak kapcsolva a munkaterületen.

6. Válassza a Csatlakozás lehetőséget.

A munkaterület csatlakoztatása után az Áttekintés oldalon látható szalagcímen látható, hogy az egyesített biztonsági információ és eseménykezelés (SIEM) és a kiterjesztett észlelés és reagálás (XDR) készen áll. Az Áttekintés lap új szakaszokkal frissült, amelyek a Microsoft Sentinel metrikáit, például az adatösszekötők számát és az automatizálási szabályokat tartalmazzák.

A Microsoft Sentinel funkcióinak megismerése a Defender portálon

Miután csatlakoztatta a munkaterületet a Defender portálhoz, a Microsoft Sentinel a bal oldali navigációs panelen található. Az olyan oldalak, mint az Áttekintés, az Incidensek és a Speciális veszélyforrás-keresés , egyesített adatokat tartalmaz a Microsoft Sentinelből és a Defender XDR-ből. Az egyesített képességekről és a portálok közötti különbségekről további információt a Microsoft Defender portál Microsoft Sentinel című szakaszában talál.

A Microsoft Sentinel számos meglévő funkciója integrálva van a Defender portálba. Ezeknél a funkcióknál figyelje meg, hogy a Microsoft Sentinel az Azure Portalon és a Defender portálon is hasonló. Az alábbi cikkek segítségével megkezdheti a Microsoft Sentinel használatát a Defender portálon. A cikkek használatakor vegye figyelembe, hogy ebben a kontextusban a kiindulási pont a Defender portál , nem pedig az Azure Portal.

• Keresés
  • Keresés hosszú időtartományokban nagy adathalmazokban
  • Archivált naplók visszaállítása a keresésből
• Fenyegetéskezelés
  • Adatok megjelenítése és monitorozása munkafüzetek használatával
  • Teljes körű veszélyforrás-keresés végrehajtása a Hunts használatával
  • Veszélyforrás-keresési könyvjelzők használata adatvizsgálatokhoz
  • Veszélyforrás-keresés élő közvetítése a Microsoft Sentinelben a fenyegetés észleléséhez
  • Biztonsági fenyegetések keresése Jupyter-notebookokkal
  • Jelzők tömeges hozzáadása a Microsoft Sentinel fenyegetésfelderítéséhez CSV- vagy JSON-fájlból
  • Fenyegetésjelzők a Microsoft Sentinelben
  • A MITRE ATT&CK-keretrendszer biztonsági lefedettségének ismertetése
• Tartalomkezelő
  • A Microsoft Sentinel beépített tartalmának felderítése és kezelése
  • Microsoft Sentinel tartalomközpont-katalógus
  • Egyéni tartalom üzembe helyezése az adattárból
• Konfiguráció
  • A Microsoft Sentinel-adatösszekötő megkeresése
  • Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez
  • Közel valós idejű (NRT) észlelési elemzési szabályok használata a Microsoft Sentinelben
  • Figyelőlisták létrehozása
  • Figyelőlisták kezelése a Microsoft Sentinelben
  • Automatizálási szabályok létrehozása
  • Microsoft Sentinel-forgatókönyvek létrehozása és testreszabása tartalomsablonokból

Keresse meg a Microsoft Sentinel-beállításokat a Defender portál Rendszerbeállítások>>Microsoft Sentinel területén.

A Microsoft Sentinel kivezetése

Egyszerre csak egy munkaterület csatlakoztatható a Defender portálhoz. Ha egy másik munkaterülethez szeretne csatlakozni, amelyhez engedélyezve van a Microsoft Sentinel, bontsa le az aktuális munkaterületet, és csatlakoztassa a másik munkaterületet.

1. Nyissa meg a Microsoft Defender portált , és jelentkezzen be.

2. A Defender portál Rendszer területén válassza a Beállítások>Microsoft Sentinel lehetőséget.

3. A Munkaterületek lapon válassza ki a csatlakoztatott munkaterületet és a Munkaterület leválasztása lehetőséget.

4. Erősítse meg a kijelölést.

   A munkaterület leválasztásakor a Microsoft Sentinel szakasz el lesz távolítva a Defender portál bal oldali navigációs sávjából. A Microsoft Sentinelből származó adatok már nem szerepelnek az Áttekintés lapon.

Ha egy másik munkaterülethez szeretne csatlakozni, a Munkaterületek lapon válassza ki a munkaterületet, majd a Munkaterület csatlakoztatása lehetőséget.

Kapcsolódó tartalom

• Microsoft Sentinel a Microsoft Defender portálon
• Speciális veszélyforrás-keresés a Microsoft Defender portálon
• Automatikus támadáskimaradás a Microsoft Defender XDR-ben
• Incidensek kivizsgálása a Microsoft Defender XDR-ben
• A biztonsági műveletek optimalizálása