Microsoft Sentinel csatlakoztatása a Microsoft Defender portálhoz

Microsoft Sentinel általánosan elérhető az Microsoft Defender portálon, Microsoft Defender XDR vagy E5 licenccel vagy anélkül. Ha Microsoft Sentinel a Defender portálon Microsoft Defender XDR szolgáltatásokkal együtt használja, egyesítheti az olyan képességeket, mint az incidenskezelés és a speciális veszélyforrás-keresés. Csökkentse az eszközök közötti váltást, és hozzon létre egy környezetközpontúbb vizsgálatot, amely felgyorsítja az incidensmegoldást, és gyorsabban leállítja a biztonsági incidenseket.

Ez a cikk azon ügyfelek számára releváns, akiknek Microsoft Sentinel munkaterületei még nincsenek csatlakoztatva a Defender portálhoz. Sok esetben a 2025. július 1. után Microsoft Sentinel regisztráló ügyfelek automatikusan fel lesznek készítve a Defender portálra.

További információ:

• Mik azok az egyesített biztonsági műveletek?
• Microsoft Sentinel a Microsoft Defender portálon
• Microsoft Defender XDR integráció a Microsoft Sentinel

Előfeltételek

Mielőtt hozzákezdene, tekintse át a funkciódokumentációt a termék változásainak és korlátozásainak megismeréséhez.

• Microsoft Sentinel a Microsoft Defender portálon
• Speciális veszélyforrás-keresés a Microsoft Defender portálon
• Riasztások, incidensek és korreláció a Microsoft Defender XDR
• Microsoft Sentinel automatizálás a Defender portálon

A Microsoft Defender portál egyetlen Microsoft Entra bérlőt, valamint egy elsődleges munkaterülethez és több másodlagos munkaterülethez való csatlakozást támogat. Ha a Microsoft Sentinel előkészítésekor csak egy munkaterülete van, akkor ez a munkaterület lesz az elsődleges munkaterület. További információ: Több Microsoft Sentinel munkaterület a Defender portálon. A cikk kontextusában a munkaterületek olyan Log Analytics-munkaterületek, amelyeken engedélyezve van a Microsoft Sentinel.

Microsoft Sentinel előfeltételek

A Microsoft Sentinel a Defender portálon való előkészítéséhez és használatához a következő erőforrásokkal és hozzáféréssel kell rendelkeznie:

• Olyan Log Analytics-munkaterület, amely Microsoft Sentinel engedélyezve van

• Egy Azure-fiók, amely a megfelelő szerepkörökkel rendelkezik az Microsoft Sentinel támogatási kéréseinek előkészítéséhez, használatához és létrehozásához a Defender portálon. A Defender portálon nem jelennek meg olyan munkaterületek, amelyek előkészítéséhez nem rendelkezik a szükséges engedélyekkel. Az alábbi táblázat néhány fontos szerepkört emel ki.

  Feladat	Microsoft Entra vagy beépített Azure-szerepkör szükséges	Kiterjedés
  Microsoft Sentinel előkészítése a Defender portálra	A Microsoft Entra ID a következők egyike: - globális rendszergazda ÉS előfizetés tulajdonosa - Biztonsági rendszergazda ÉS előfizetés tulajdonosa - globális rendszergazda ÉS felhasználói hozzáférés rendszergazdája ÉS Microsoft Sentinel közreműködője - Biztonsági rendszergazda AND User Access Administrator AND Microsoft Sentinel Contributor	Bérlő
  Másodlagos munkaterület csatlakoztatása vagy leválasztása	Az alábbiak egyike: - globális rendszergazda ÉS előfizetés tulajdonosa - Biztonsági rendszergazda ÉS előfizetés tulajdonosa - globális rendszergazda ÉS felhasználói hozzáférés rendszergazdája ÉS Microsoft Sentinel közreműködője - Biztonsági rendszergazda AND User Access Administrator AND Microsoft Sentinel Contributor - Előfizetés tulajdonosa - Felhasználói hozzáférés rendszergazdája AND Microsoft Sentinel Közreműködő	– Előfizetés tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörei – Előfizetés, erőforráscsoport vagy munkaterület erőforrása Microsoft Sentinel Közreműködő számára
  Az elsődleges munkaterület módosítása	globális rendszergazda vagy biztonsági rendszergazda a Microsoft Entra ID-ben	Bérlő
  Microsoft Sentinel megtekintése a Defender portálon	Microsoft Sentinel Olvasó	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Adattáblák lekérdezése Microsoft Sentinel vagy incidensek megtekintése	Microsoft Sentinel Olvasó vagy szerepkör a következő műveletekkel: Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Vizsgálati műveletek végrehajtása incidensekkel kapcsolatban	Microsoft Sentinel Közreműködő vagy szerepkör a következő műveletekkel: Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Támogatási kérelem létrehozása	Tulajdonos vagy közreműködő vagy támogatási kérelem közreműködője vagy egyéni szerepkör a Microsoft.Support/* használatával	Előfizetés

  Miután csatlakoztatta Microsoft Sentinel a Defender portálhoz, a meglévő Azure-beli szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyei lehetővé teszik, hogy azokkal a Microsoft Sentinel funkciókkal dolgozzon, amelyekhez hozzáféréssel rendelkezik. Folytassa a Microsoft Sentinel-felhasználók szerepköreinek és engedélyeinek kezelését a Azure Portal, mivel az Azure RBAC módosításai megjelennek a Defender portálon.

  További információ: Szerepkörök és engedélyek a Microsoft Sentinel-ben és A Microsoft Sentinel adatokhoz való hozzáférés kezelése erőforrásonként.

  Fontos

  A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

Az egyesített biztonsági műveletek előfeltételei

Az Microsoft Defender XDR és Microsoft Sentinel biztonsági műveletek a Defender portálon való egységesítéséhez a következő erőforrásokkal és hozzáféréssel kell rendelkeznie:

• A Defender XDR licencelése Microsoft Defender XDR előfeltételekben leírtak szerint
• Az Defender XDR fiókja ugyanannak a Microsoft Entra bérlőnek a tagja, amelyhez Microsoft Sentinel társítva van
• Hozzáférés a Microsoft Defender XDR a Defender portálon az Microsoft Defender XDR előfeltételeiben leírtak szerint

Ha van ilyen, végezze el az alábbi előfeltételeket:

Szolgáltatás	Előfeltételek
Microsoft Purview Belső kockázatkezelés	Ha a szervezete Microsoft Purview belső kockázatkezelés használ, integrálja ezeket az adatokat a Microsoft 365 Insider Risk Management adatösszekötő engedélyezésével az elsődleges munkaterületen a Microsoft Sentinel számára. Tiltsa le az összekötőt minden másodlagos munkaterületen azon Microsoft Sentinel esetében, amelyet a Defender portálra szeretne készíteni. – Telepítse a Microsoft Purview belső kockázatkezelés megoldást a Tartalomközpontból az elsődleges munkaterületre. – Konfigurálja az adatösszekötőt. További információ: Microsoft Sentinel beépített tartalom felderítése és kezelése.
Microsoft Defender for Cloud	A Felhőhöz készült Defender incidenseinek streamelése, amelyek a bérlő összes előfizetésében korrelálnak az elsődleges munkaterületre Microsoft Sentinel: – Csatlakoztassa a bérlőalapú Microsoft Defender felhőhöz (előzetes verzió) adatösszekötőt az elsődleges munkaterületen. – Válassza le az előfizetés-alapú Microsoft Defender a felhőhöz (örökölt) riasztási összekötőt a bérlő összes munkaterületéről. Ha nem szeretné streamelni a Felhőhöz készült Defender korrelált bérlői adatait az elsődleges munkaterületre, használja továbbra is az Előfizetés-alapú Microsoft Defender a felhőhöz (örökölt) összekötőt a munkaterületeken. További információ: Microsoft Defender betöltése felhőbeli incidensekhez Microsoft Defender XDR integrációval.

Microsoft Sentinel előkészítése

Ha egy Microsoft Sentinel-munkaterületet szeretne csatlakoztatni a Defender portálhoz, hajtsa végre az alábbi lépéseket. Ha Defender XDR nélkül készít elő Microsoft Sentinel, egy további lépéssel aktiválhatja a kapcsolatot a Microsoft Sentinel és a Defender portállal.

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.
2. Microsoft Sentinel előkészítése Defender XDR nélkül a Defender portálon:
   1. A Microsoft Sentinel való kapcsolat aktiválásához válassza a Vizsgálat & incidensek lehetőséget>.
   2. Várjon néhány percet, amíg a kapcsolat befejeződik.
3. A Defender portálon válassza az Áttekintés lehetőséget.
4. Válassza a Munkaterület csatlakoztatása lehetőséget.
5. Válassza ki a csatlakoztatni kívánt munkaterületeket, és válassza a Tovább gombot.
6. Válassza ki az Elsődleges munkaterületet.
7. Olvassa el és ismerje meg a munkaterület csatlakoztatásával kapcsolatos termékmódosításokat.
8. Válassza a Csatlakozás lehetőséget.

A munkaterület csatlakoztatása után az Áttekintés lapon látható szalagcímen látható, hogy a környezet készen áll. Az Áttekintés lap új szakaszokkal frissül, amelyek olyan metrikákat tartalmaznak Microsoft Sentinel, mint az adatösszekötők száma és az automatizálási szabályok.

A Defender portál Microsoft Sentinel funkcióinak megismerése

Miután csatlakoztatta a munkaterületet a Defender portálhoz, Microsoft Sentinel a bal oldali navigációs panelen található. Ha engedélyezve van a Defender XDR, az olyan oldalak, mint az Áttekintés, az Incidensek és a Speciális veszélyforrás-keresés, egyesített adatokkal rendelkeznek az elsődleges munkaterületről Microsoft Sentinel és Defender XDR. Ha nincs engedélyezve Defender XDR, ezek a lapok csak Microsoft Sentinel adatait tartalmazzák. Az egyesített funkciókról és a portálok közötti különbségekről további információt a Microsoft Sentinel a Microsoft Defender portálon című témakörben talál.

Számos meglévő Microsoft Sentinel funkció integrálva van a Defender portálba. Ezeknél a funkcióknál megfigyelheti, hogy a Azure Portal és a Defender portál Microsoft Sentinel közötti élmény hasonló. Az alábbi cikkek segítségével elkezdheti használni a Microsoft Sentinel a Defender portálon. A cikkek használatakor vegye figyelembe, hogy ebben a környezetben a kiindulási pont a Defender portál, nem pedig a Azure Portal.

• Keresés
  • Keresés hosszú időtartományokban nagy adathalmazokban
  • Archivált naplók visszaállítása a keresésből
• Veszélyforrások kezelése
  • Adatok megjelenítése és monitorozása munkafüzetek használatával
  • Teljes körű veszélyforrás-keresés végrehajtása a Hunts használatával
  • Veszélyforrás-keresési könyvjelzők használata adatvizsgálatokhoz
  • Veszélyforrás-keresés élő közvetítése a Microsoft Sentinel-ben a fenyegetés észleléséhez
  • Biztonsági fenyegetések keresése Jupyter-notebookokkal
  • Jelölők tömeges hozzáadása Microsoft Sentinel fenyegetésfelderítéshez CSV- vagy JSON-fájlból
  • Veszélyforrás-jelzők Microsoft Sentinel
  • A MITRE ATT&CK-keretrendszer biztonsági lefedettségének ismertetése
• Tartalomkezelő
  • Microsoft Sentinel beépített tartalom felderítése és kezelése
  • tartalomközpont-katalógus Microsoft Sentinel
  • Egyéni tartalom üzembe helyezése az adattárból
• Konfiguráció
  • A Microsoft Sentinel adatösszekötő megkeresése
  • Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez
  • Közel valós idejű (NRT) észlelési elemzési szabályok használata Microsoft Sentinel
  • Figyelőlisták létrehozása
  • Figyelőlisták kezelése Microsoft Sentinel
  • Automatizálási szabályok létrehozása
  • Microsoft Sentinel forgatókönyvek létrehozása és testreszabása tartalomsablonokból

Keresse meg Microsoft Sentinel beállításokat a Defender portál Rendszerbeállítások>>területén Microsoft Sentinel.

Az elsődleges munkaterület módosítása

Egyszerre csak egy elsődleges munkaterület csatlakoztatható a Defender portálhoz. Az elsődleges munkaterületet azonban módosíthatja.

1. A Defender portálon lépjen aRendszerbeállítások>>Microsoft Sentinel>Munkaterek területre.
2. Válassza ki annak a munkaterületnek a nevét, amelyet elsődlegessé szeretne tenni.
3. Válassza a Beállítás elsődlegesként lehetőséget.
4. Olvassa el és ismerje meg az elsődleges munkaterület módosításával kapcsolatos termékmódosításokat.
5. Válassza a Megerősítés lehetőséget, és folytassa a műveletet.

Amikor Microsoft Sentinel elsődleges munkaterületét váltja, a Defender XDR összekötő automatikusan csatlakozik az új elsődlegeshez, és le van választva a korábbiról. További információ: Több Microsoft Sentinel munkaterület a Defender portálon.

Microsoft Sentinel kivezetése

Ha úgy dönt, hogy kivesz egy munkaterületet a Defender portálról, válassza le a munkaterületet a Microsoft Sentinel beállításairól.

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. A Defender portál Rendszer területén válassza a Beállítások>Microsoft Sentinel lehetőséget.

3. A Munkaterületek lapon válassza ki a csatlakoztatott munkaterületet és a Munkaterület leválasztása lehetőséget.

4. Adja meg a munkaterület leválasztásának okát.

5. Erősítse meg a kijelölést.

   A munkaterület leválasztásakor a Microsoft Sentinel szakasz el lesz távolítva a Defender portál bal oldali navigációs sávjából. A Microsoft Sentinel adatai már nem szerepelnek az Áttekintés lapon.

Ha egy másik munkaterülethez szeretne csatlakozni, a Munkaterületek lapon válassza ki a munkaterületet, majd a Munkaterület csatlakoztatása lehetőséget.

Kapcsolódó tartalom

• Microsoft Sentinel a Microsoft Defender portálon
• Speciális veszélyforrás-keresés a Microsoft Defender portálon
• Automatikus támadáskimaradás Microsoft Defender XDR
• Incidensek vizsgálata Microsoft Defender portálon
• A biztonsági műveletek optimalizálása