Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Sentinel er tilgjengelig i Microsoft Defender-portalen med Microsoft Defender XDR eller alene. Den gir en enhetlig opplevelse på tvers av SIEM og XDR for raskere, mer nøyaktig trusselregistrering og respons, enklere arbeidsflyter og bedre driftseffektivitet.
Denne artikkelen forklarer hvordan du overfører Microsoft Sentinel opplevelse fra Azure Portal til Defender-portalen. Hvis du bruker Microsoft Sentinel i Azure Portal, går du over til Microsoft Defender for enhetlige sikkerhetsoperasjoner og de nyeste funksjonene. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen eller se vår YouTube-spilleliste.
Obs!
Overgang til Defender-portalen, selv for ikke-E5-kunder, har ingen ekstra kostnader for kunden. Kunden fortsetter å bli fakturert som vanlig for sitt forbruk bare på Sentinel.
Forutsetninger
Før du begynner, obs!
Denne artikkelen er for kunder med et eksisterende arbeidsområde aktivert for Microsoft Sentinel som ønsker å overføre Microsoft Sentinel opplevelse til Defender-portalen. Hvis du er en ny kunde som har tillatelse fra en abonnementseier eller en brukertilgangsadministrator, blir arbeidsområdene automatisk koblet til Defender-portalen.
Noen Microsoft Sentinel funksjoner har nye plasseringer i Defender-portalen. Hvis du vil ha mer informasjon, kan du se Hurtigreferanse.
Når det er relevant, er detaljerte forutsetninger i de koblede artiklene for hvert trinn.
Planlegge og konfigurere overgangsmiljøet
Målgruppe: Sikkerhetsarkitekter
Videoer:
- Innføring i et Microsoft Sentinel arbeidsområde i Microsoft Defender
- Administrere enhetlig RBAC i Microsoft Defender
Se gjennom planleggingsveiledning, fullstendige forutsetninger og om bord
Se gjennom alle planleggingsveiledninger, og fullfør alle forutsetninger før du går om bord i arbeidsområdet til Defender-portalen. Hvis du vil ha mer informasjon, kan du se følgende artikler:
Planlegg for enhetlige sikkerhetsoperasjoner i Defender-portalen. Når du har logget på Defender-portalen, tilordnes rollen Microsoft Sentinel bidragsyter til Appene Microsoft Trusselbeskyttelse og WindowsDefenderATP i abonnementet.
Behandle Microsoft Sentinel og Defender XDR tillatelser i Defender-portalen. Dette blogginnlegget forklarer hvordan Microsoft Sentinel og Defender XDR tillatelser fungerer i den enhetlige Defender-portalen, hva du kan forvente når du går over, samt en innføring i den nye enhetlige rollebaserte tilgangskontrollen (URBAC). Hvis du vil lese mer om URBAC, kan du se Kart Microsoft Defender XDR enhetlige RBAC-tillatelser til eksisterende RBAC-tillatelser.
Distribuer for enhetlige sikkerhetsoperasjoner i Defender-portalen. Selv om denne artikkelen gjelder for nye kunder som ennå ikke har et arbeidsområde for Microsoft Sentinel eller andre tjenester som er koblet til Defender-portalen, kan du bruke det som en referanse hvis du flytter til Defender-portalen.
Koble Microsoft Sentinel til Defender-portalen. Denne artikkelen viser forutsetningene for å legge arbeidsområdet på i Defender-portalen. Hvis du planlegger å bruke Microsoft Sentinel uten Defender XDR, må du utføre et ekstra trinn for å utløse tilkoblingen mellom Microsoft Sentinel og Defender-portalen.
Se gjennom forskjeller for datalagring og personvern
Når du bruker Azure Portal, gjelder policyene for Microsoft Sentinel for datalagring, prosess, oppbevaring og deling. Når du bruker Defender-portalen, gjelder Microsoft Defender XDR-policyer i stedet, selv når du arbeider med Microsoft Sentinel data.
Tabellen nedenfor inneholder flere detaljer og koblinger, slik at du kan sammenligne opplevelser på tvers av Azure- og Defender-portaler.
| Støtteområde | Azure Portal | Defender-portalen |
|---|---|---|
| BCDR | Kunder er ansvarlige for å replikere dataene sine | Microsoft Defender bruker automatisering for BCDR i kontrollruter. |
| Datalagring og -behandling |
-
Plassering for datalagring - Støttede områder |
Plassering for datalagring |
| Dataoppbevaring | Dataoppbevaring | Dataoppbevaring |
| Datadeling | Datadeling | Datadeling |
Hvis du vil ha mer informasjon, kan du se:
- Geografisk tilgjengelighet og datalagring i Microsoft Sentinel
- Datasikkerhet og oppbevaring i Microsoft Defender XDR
Innføring i Defender-portalen med kundeadministrerte nøkler (CMK)
Hvis du aktiverte CMK før pålasting, vil alle loggdata i arbeidsområdet fortsatt være kryptert med CMK når du tar på Microsoft Sentinel aktivert arbeidsområde i Defender-portalen, inkludert både tidligere og nylig inntatte data.
Analytiske regler og annet Sentinel innhold, for eksempel automatiseringsregler, fortsetter også å være CMK-kryptert. Varsler og hendelser vil imidlertid ikke lenger være CMK-kryptert etter pålasting.
Hvis du vil ha mer informasjon om CMK, kan du se Konfigurere Microsoft Sentinel kundeadministrert nøkkel.
Viktig
CMK-kryptering støttes ikke fullstendig for data som er lagret i Microsoft Sentinel datasjøen. Alle data som tas inn i datasjøen – for eksempel egendefinerte tabeller eller transformerte data – krypteres ved hjelp av Microsoft-administrerte nøkler.
Konfigurer administrasjon av flere arbeidsområder og flertenant
Defender støtter ett eller flere arbeidsområder på tvers av flere leiere gjennom den flertenantportalen, som fungerer som et sentralt sted for å håndtere hendelser og varsler, jakte på trusler på tvers av leiere og lar partnere for administrerte sikkerhetstjenester (MSSPer) se på tvers av kunder.
I scenarioer med flere arbeidsområder kan du koble til ett primært arbeidsområde og flere sekundære arbeidsområder per leier. Ta hvert arbeidsområde om bord i Defender-portalen separat for hver leier, akkurat som pålasting for én enkelt leier.
Hvis du vil ha mer informasjon, kan du se:
dokumentasjon for Azure Lighthouse. Azure Lighthouse lar deg bruke Microsoft Sentinel data fra andre leiere på tvers av innebygde arbeidsområder. Du kan for eksempel kjøre spørringer på tvers av arbeidsområder med operatoren
workspace()i avanserte jakt- og analyseregler.Microsoft Entra B2B. Microsoft Entra B2B gir deg tilgang til data på tvers av leiere. GDAP for Microsoft Sentinel er i forhåndsversjon.
Konfigurere og se gjennom innstillingene og innholdet
Målgruppe: Sikkerhetsteknikere
Video: Administrere koblinger i Microsoft Defender
Bekreft og konfigurer datainnsamling
Når Microsoft Sentinel er integrert med Microsoft Defender, forblir den grunnleggende arkitekturen for datainnsamling og telemetriflyt intakt. Eksisterende koblinger som ble konfigurert i Microsoft Sentinel, enten det gjelder Microsoft Defender produkter eller andre datakilder, fortsetter å fungere uten avbrudd.
Fra et Log Analytics-perspektiv introduserer Microsoft Sentinel integrering i Microsoft Defender ingen endring i det underliggende inntakssamlebåndet eller dataskjemaet. Til tross for front-end-samlingen forblir Microsoft Sentinel serverdel fullstendig integrert med Log Analytics for datalagring, søk og korrelasjon.
Varsler relatert til Defender-produkter strømmes direkte fra Microsoft Defender XDR kobling for å sikre konsekvens. Kontroller at du har hendelser og varsler fra denne koblingen aktivert i arbeidsområdet. Når du har konfigurert denne datakoblingen i arbeidsområdet, kobler avlasting av arbeidsområdet fra Microsoft Defender også Microsoft Defender XDR koblingen.
Obs!
Denne endringen i koblinger resulterer i skjemaforskjeller for enkelte varsler. Hvis du vil ha en detaljert sammenligning, kan du se Forskjeller i varselskjema: Frittstående kontra XDR-kobling.
Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.
Integrer med Microsoft Defender for skyen
- Hvis du bruker den leierbaserte datakoblingen for Defender for Cloud, må du gjøre noe for å forhindre dupliserte hendelser og varsler.
- Hvis du bruker den eldre, abonnementsbaserte koblingen i stedet, må du velge bort synkronisering av hendelser og varsler til Microsoft Defender.
Hvis du vil ha mer informasjon, kan du se Varsler og hendelser i Microsoft Defender.
Synlighet for datakobling i Defender-portalen
Når du har lastet arbeidsområdet til Defender, brukes følgende datakoblinger for enhetlige sikkerhetsoperasjoner og vises ikke på datakoblingssiden i Defender-portalen:
- Microsoft Defender for skyapper
- Microsoft Defender for endepunkt
- Microsoft Defender for identitet
- Microsoft Defender for Office 365 (forhåndsvisning)
- Microsoft Defender XDR
- Abonnementsbasert Microsoft Defender for skyen (eldre)
- Leierbasert Microsoft Defender for skyen (forhåndsversjon)
Disse datakoblingene vises fortsatt i Microsoft Sentinel i Azure Portal.
Konfigurer økosystemet
Selv om Microsoft Sentinel arbeidsområdebehandling ikke er tilgjengelig i Defender-portalen, kan du bruke én av følgende alternative funksjoner for distribusjon av innhold som kode på tvers av arbeidsområder:
Distribuer innhold som kode fra repositoriet (offentlig forhåndsversjon). Bruk YAML- eller JSON-filer i GitHub eller Azure DevOps til å administrere og distribuere konfigurasjoner på tvers av Microsoft Sentinel og Defender ved hjelp av enhetlig CI/CD-arbeidsflyter.
Portal for flere enheter. Portalen for Microsoft Defender flertenant støtter administrasjon og distribusjon av innhold på tvers av flere leiere.
Ellers kan du fortsette å distribuere løsningspakker som inkluderer ulike typer sikkerhetsinnhold fra innholdshuben i Defender-portalen. Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel forhåndsdefinert innhold.
Konfigurer analyseregler
Microsoft Sentinel analyseregler er tilgjengelige i Defender-portalen for gjenkjenning, konfigurasjon og administrasjon. Funksjonaliteten til analyseregler forblir de samme, inkludert oppretting, oppdatering og administrasjon gjennom veiviseren, repositorier og Microsoft Sentinel API. Hendelseskorrelasjon og flertrinns angrepsgjenkjenning fortsetter også å fungere i Defender-portalen. Varslingskorrelasjonsfunksjonaliteten som administreres av fusionanalyseregelen i Azure Portal, håndteres av Defender XDR-motoren i Defender-portalen, som konsoliderer alle signaler på ett sted.
Når du flytter til Defender-portalen, er følgende endringer viktige å merke seg:
| Funksjon | Beskrivelse |
|---|---|
| Egendefinerte gjenkjenningsregler | Hvis du har gjenkjenningsbrukstilfeller som involverer både Defender XDR og Microsoft Sentinel data, der du ikke trenger å beholde Defender XDR data i mer enn 30 dager, anbefaler vi at du oppretter egendefinerte gjenkjenningsregler som spør etter data fra både Microsoft Sentinel og Defender XDR tabeller. Dette støttes uten å måtte ta inn Defender XDR data i Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Bruke Microsoft Sentinel egendefinerte funksjoner i avansert jakt i Microsoft Defender. |
| Varselkorrelasjon | I Defender-portalen brukes korrelasjoner automatisk på varsler mot både Microsoft Defender data og tredjepartsdata som tas inn fra Microsoft Sentinel, uavhengig av varslingsscenarioer. Kriteriene som brukes til å koordinere varsler sammen i én enkelt hendelse, er en del av Defender-portalens proprietære, interne korrelasjonslogikk. Hvis du vil ha mer informasjon, kan du se Varselkorrelasjon og hendelsessammenslåing i Defender-portalen. |
| Sammenslåing av varslingsgruppering og hendelse | Selv om du fremdeles vil se konfigurasjonen for varslingsgruppering i analyseregler, kontrollerer Defender XDR korrelasjonsmotoren fullstendig varslingsgruppering og hendelsessammenslåing når det er nødvendig i Defender-portalen. Dette sikrer en omfattende oversikt over hele angrepshistorien ved å sy sammen relevante varsler for flertrinnsangrep. For eksempel kan flere individuelle analyseregler som er konfigurert for å generere en hendelse for hvert varsel, resultere i sammenslåtte hendelser hvis de samsvarer Defender XDR korrelasjonslogikk. |
| Synlighet for varsel | Hvis du har Microsoft Sentinel analyseregler konfigurert til bare å utløse varsler, og hendelsesopprettingen er slått av, er ikke disse varslene synlige i Defender-portalen. |
| Varseljustering | Når Microsoft Sentinel-arbeidsområdet er registrert i Defender, genereres alle hendelser, inkludert de fra Microsoft Sentinel analysereglene, av Defender XDR-motoren. Derfor kan varslingsjusteringsfunksjonene i Defender-portalen, tidligere bare tilgjengelig for Defender XDR varsler, brukes på varsler fra Microsoft Sentinel. Denne funksjonen lar deg effektivisere hendelsesresponsen ved å automatisere oppløsningen av vanlige varsler, redusere falske positiver og minimere støy, slik at analytikere kan prioritere betydelige sikkerhetshendelser. |
| Fusion: Avansert multistate angrep deteksjon | Fusion-analyseregelen, som i Azure Portal oppretter hendelser basert på varslingskorrelasjoner laget av Fusion-korrelasjonsmotoren, deaktiveres når du går om bord i Microsoft Sentinel til Defender-portalen. Du mister ikke varslingskorrelasjonsfunksjonalitet fordi Defender-portalen bruker Microsoft Defender XDR hendelsesopprettings- og korrelasjonsfunksjonaliteter til å erstatte disse fra Fusion-motoren. Hvis du vil ha mer informasjon, kan du se Avansert angrepsgjenkjenning med flere trinn i Microsoft Sentinel |
Konfigurere automatiseringsregler og strategibøker
I Microsoft Sentinel er strategiplanene basert på arbeidsflyter som er innebygd i Azure Logic Apps, en skytjeneste som hjelper deg med å planlegge, automatisere og organisere oppgaver og arbeidsflyter på tvers av systemer i hele virksomheten.
Følgende begrensninger gjelder for Microsoft Sentinel automatiseringsregler og -strategibøker når du arbeider i Defender-portalen. Det kan hende du må gjøre noen endringer i miljøet når du gjør overgangen.
| Funksjonalitet | Beskrivelse |
|---|---|
| Automatiseringsregler med varselutløsere | Automatiseringsregler med varselutløsere fungerer bare på Microsoft Sentinel varsler i Defender-portalen. Hvis du vil ha mer informasjon, kan du se Utløser for oppretting av varsel. |
| Automatiseringsregler med hendelsesutløsere | I både Azure Portal og Defender-portalen fjernes betingelsesegenskapen for hendelsesleverandøren, ettersom alle hendelser har Microsoft XDR som hendelsesleverandør (verdien i ProviderName-feltet). På det tidspunktet kjører eventuelle eksisterende automatiseringsregler på både Microsoft Sentinel og Microsoft Defender XDR hendelser, inkludert de der hendelsen leverandør betingelsen er satt til bare Microsoft Sentinel eller Microsoft 365 Defender. Automatiseringsregler som angir et bestemt analyseregelnavn, kjører imidlertid bare på hendelser som inneholder varsler som ble opprettet av den angitte analyseregelen. Dette betyr at du kan definere betingelsesegenskapen analytisk regelnavn til en analyseregel som bare finnes i Microsoft Sentinel for å begrense regelen til å kjøre på hendelser bare i Microsoft Sentinel. Etter pålasting til Defender-portalen inneholder ikke Lenger SecurityIncident-tabellen et beskrivelsesfelt . Derfor: – Hvis du bruker dette beskrivelsesfeltet som en betingelse for en automatiseringsregel med en utløser for hendelsesoppretting, fungerer ikke denne automatiseringsregelen etter pålasting til Defender-portalen. I slike tilfeller må du sørge for å oppdatere konfigurasjonen på riktig måte. Hvis du vil ha mer informasjon, kan du se hendelsesutløserbetingelser. – Hvis du har konfigurert en integrering med et eksternt billettsystem, for eksempel ServiceNow, vil hendelsesbeskrivelsen mangle. |
| Ventetid i utløsere for strategiplan | Det kan ta opptil fem minutter før Microsoft Defender hendelser vises i Microsoft Sentinel. Hvis denne forsinkelsen er til stede, er utløsing av strategiplan også forsinket. |
| Endringer i eksisterende hendelsesnavn | Defender-portalen bruker en unik motor til å koordinere hendelser og varsler. Ved pålasting av arbeidsområdet til Defender-portalen, kan eksisterende hendelsesnavn endres hvis korrelasjonen brukes. For å sikre at automatiseringsreglene alltid kjører riktig, anbefaler vi derfor at du unngår å bruke hendelsestitler som betingelseskriterier i automatiseringsreglene, og foreslår i stedet å bruke navnet på en analyseregel som opprettet varsler som er inkludert i hendelsen, og merker hvis det kreves mer spesitet. |
| Oppdatert etter felt | Hvis du vil ha mer informasjon, kan du se hendelsesoppdateringsutløseren. |
| Opprette automatiseringsregler direkte fra en hendelse | Oppretting av automatiseringsregler direkte fra en hendelse støttes bare i Azure Portal. Hvis du arbeider i Defender-portalen, kan du opprette automatiseringsreglene fra grunnen av fra automatiseringssiden . |
| Regler for oppretting av Microsoft-hendelser | Regler for oppretting av Microsoft-hendelser støttes ikke i Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR hendelser og regler for oppretting av hendelser fra Microsoft. |
| Kjøre automatiseringsregler fra Defender-portalen | Det kan ta opptil 10 minutter fra varselet utløses, og en hendelse opprettes eller oppdateres i Defender-portalen til når en automatiseringsregel kjøres. Denne tidsforsinkelsen er fordi hendelsen opprettes i Defender-portalen og deretter videresendes til Microsoft Sentinel for automatiseringsregelen. |
| Fanen Aktive strategibøker | Når du har koblet deg til Defender-portalen, viser som standard fanen Aktive strategibøker et forhåndsdefinert filter med det innebygde arbeidsområdets abonnement. Legg til data for andre abonnementer ved hjelp av abonnementsfilteret i Azure Portal. Hvis du vil ha mer informasjon, kan du se Opprette og tilpasse Microsoft Sentinel playbooks fra maler. |
| Kjøre strategibøker manuelt ved behov | Følgende prosedyrer støttes for øyeblikket ikke i Defender-portalen: |
| Å kjøre strategibøker om hendelser krever Microsoft Sentinel synkronisering | Hvis du prøver å kjøre en strategiplan for en hendelse fra Defender-portalen og ser meldingen «Får ikke tilgang til data relatert til denne handlingen. Oppdater skjermen om noen minutter». Dette betyr at hendelsen ennå ikke er synkronisert til Microsoft Sentinel. Oppdater hendelsessiden etter at hendelsen er synkronisert for å kjøre strategiplanen. |
|
Hendelser: Legge til varsler i hendelser / Fjerne varsler fra hendelser |
Siden det å legge til varsler eller fjerne varsler fra hendelser ikke støttes etter at du har lagt til arbeidsområdet i Defender-portalen, støttes heller ikke disse handlingene fra strategiplanene. Hvis du vil ha mer informasjon, kan du se Forstå hvordan varsler er korrelerte og hendelser slås sammen i Defender-portalen. |
| Microsoft Defender XDR integrering i flere arbeidsområder | Hvis du har integrert XDR-data med mer enn ett arbeidsområde i én enkelt leier, blir dataene nå bare tatt inn i det primære arbeidsområdet i Defender-portalen. Overfør automatiseringsregler til det relevante arbeidsområdet for å holde dem i gang. |
| Automatisering og korrelasjonsmotoren | Korrelasjonsmotoren kan kombinere varsler fra flere signaler til én enkelt hendelse, noe som kan føre til automatisering av mottak av data du ikke forventet. Vi anbefaler at du går gjennom automatiseringsreglene for å sikre at du ser de forventede resultatene. |
Konfigurer API-er
Den enhetlige opplevelsen i Defender-portalen introduserer betydelige endringer i hendelser og varsler fra API-er. Den støtter API-kall basert på Microsoft Graph REST API v1.0, som kan brukes til automatisering relatert til varsler, hendelser, avansert jakt og mer.
API-en for Microsoft Sentinel fortsetter å støtte handlinger mot Microsoft Sentinel ressurser, for eksempel analyseregler, automatiseringsregler og mer. For samhandling med enhetlige hendelser og varsler anbefaler vi at du bruker REST-API-en for Microsoft Graph.
Hvis du bruker API-en Microsoft Sentinel SecurityInsights til å samhandle med Microsoft Sentinel hendelser, må du kanskje oppdatere automatiseringsbetingelsene og utløse kriterier på grunn av endringer i svarteksten.
Tabellen nedenfor viser felt som er viktige i svarsnuttene, og sammenligner dem på tvers av Azure- og Defender-portalene:
| Funksjonalitet | Azure Portal | Defender-portalen |
|---|---|---|
| Kobling til hendelsen |
incidentUrl: Direkte nettadresse til hendelsen i Microsoft Sentinel-portalen |
providerIncidentUrl: Dette tilleggsfeltet gir en direkte kobling til hendelsen, som kan brukes til å synkronisere denne informasjonen med et tredjeparts billettsystem som ServiceNow. incidentUrler fortsatt tilgjengelig, men peker til Microsoft Sentinel-portalen. |
| Kildene som utløste gjenkjenningen og publiserte varselet | alertProductNames |
alertProductNames: Krever at du legger ?$expand=alerts til GET. For eksempel https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Navnet på varselleverandøren |
providerName= "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Tjenesten eller produktet som opprettet varselet | Finnes ikke i Azure Portal | serviceSource For eksempel «microsoftDefenderForCloudApps» |
| Gjenkjenningsteknologien eller sensoren som identifiserte den viktige komponenten eller aktiviteten | Finnes ikke i Azure Portal |
detectionSource For eksempel «cloudAppSecurity» |
| Navnet på produktet som publiserte dette varselet | Finnes ikke i Azure Portal |
productNameFor eksempel «Microsoft Defender for Cloud Apps» |
Kjør operasjoner i Defender-portalen
Målgruppe: Sikkerhetsanalytikere
Videoer:
- Oppdag og administrer Microsoft Sentinel innhold og trusselintelligens i Microsoft Defender
- Opprette automatisering og arbeidsbøker i Microsoft Defender
- Varselkorrelasjon i Microsoft Defender
- Hendelsesetterforskning i Microsoft Defender
- Saksbehandling i Microsoft Defender
- Avansert jakt i Microsoft Defender
- SOC-optimaliseringer i Microsoft Defender
Oppdater hendelsestriageprosesser for Defender-portalen
Hvis du har brukt Microsoft Sentinel i Azure Portal, vil du se betydelige forbedringer for brukeropplevelsen i Defender-portalen. Selv om du kanskje må oppdatere SOC-prosesser og lære opp analytikerne på nytt, konsoliderer utformingen all relevant informasjon på ett sted for å gi mer strømlinjeformede og effektive arbeidsflyter.
Den enhetlige hendelseskøen i Defender-portalen konsoliderer alle hendelser på tvers av produkter i én enkelt visning, noe som påvirker hvordan analytikere triage hendelser som nå inneholder flere domenevarsler på tvers av sikkerhet. Eksempel:
- Tradisjonelt triagerer analytikere hendelser basert på bestemte sikkerhetsdomener eller ekspertise, ofte håndtering av billetter per enhet, for eksempel en bruker eller vert. Denne tilnærmingen kan skape blinde flekker, som den enhetlige opplevelsen tar sikte på å løse.
- Når en angriper beveger seg sidelengs, kan relaterte varsler ende opp i separate hendelser på grunn av ulike sikkerhetsdomener. Den enhetlige opplevelsen eliminerer dette problemet ved å gi en omfattende visning, slik at alle relaterte varsler er korrelert og administrert sammenhengende.
Analytikere kan også vise gjenkjenningskilder og produktnavn i Defender-portalen, og bruke og dele filtre for mer effektiv hendelse og varslingstriage.
Den enhetlige triage-prosessen kan bidra til å redusere analytikerarbeidsbelastninger og til og med potensielt kombinere rollene til analytikere på nivå 1 og nivå 2. Den enhetlige triageprosessen kan imidlertid også kreve bredere og dypere analytikerkunnskap. Vi anbefaler opplæring i det nye portalgrensesnittet for å sikre en jevn overgang.
Hvis du vil ha mer informasjon, kan du se Hendelser og varsler i Microsoft Defender-portalen.
Forstå hvordan varsler er korrelerte og hendelser slås sammen i Defender-portalen
Defenders korrelasjonsmotor slår sammen hendelser når den gjenkjenner vanlige elementer mellom varsler i separate hendelser. Når et nytt varsel oppfyller korrelasjonskriterier, samler Microsoft Defender og korrelerer det med andre relaterte varsler fra alle gjenkjenningskildene til en ny hendelse. Etter å ha pålastet Microsoft Sentinel til Defender-portalen, avslører den enhetlige hendelseskøen et mer omfattende angrep, noe som gjør analytikere mer effektive og gir en fullstendig angrepshistorie.
I scenarioer med flere arbeidsområder er bare varsler fra et primært arbeidsområde korrelert med Microsoft Defender XDR data. Det finnes også spesifikke scenarioer der hendelser ikke slås sammen.
Etter at pålasting Microsoft Sentinel til Defender-portalen, gjelder følgende endringer for hendelser og varsler:
| Funksjon | Beskrivelse |
|---|---|
| Forsinkelse like etter pålasting av arbeidsområdet | Det kan ta opptil fem minutter før Microsoft Defender hendelser integreres fullt ut med Microsoft Sentinel. Dette påvirker ikke funksjoner som leveres direkte av Microsoft Defender, for eksempel automatisk angrepsavbrudd. |
| Regler for oppretting av sikkerhetshendelser | Alle aktive regler for oppretting av sikkerhetshendelser i Microsoft deaktiveres for å unngå å opprette dupliserte hendelser. Innstillingene for oppretting av hendelser i andre typer analyseregler forblir som de er, og kan konfigureres i Defender-portalen. |
| Navn på hendelsesleverandør | I Defender-portalen er navnet på hendelsesleverandøren alltid Microsoft XDR. |
| Legge til / fjerne varsler fra hendelser | Å legge til eller fjerne Microsoft Sentinel varsler til eller fra hendelser støttes bare i Defender-portalen. Hvis du vil fjerne et varsel fra en hendelse i Defender-portalen, må du legge til varselet i en annen hendelse. |
| Redigere kommentarer | Legg til kommentarer i hendelser i Defender eller Azure Portal, men redigering av eksisterende kommentarer støttes ikke i Defender-portalen. Endringer i kommentarer i Azure Portal synkroniseres ikke til Defender-portalen. |
| Programmatisk og manuell oppretting av hendelser | Hendelser som opprettes i Microsoft Sentinel gjennom API-en, av en logic app-strategiplan, eller manuelt fra Azure Portal, synkroniseres ikke til Defender-portalen. Disse hendelsene støttes fortsatt i Azure Portal og API-en. Se Opprette dine egne hendelser manuelt i Microsoft Sentinel. |
| Gjenåpning av lukkede hendelser | I Defender-portalen kan du ikke angi varslingsgruppering i Microsoft Sentinel analyseregler for å åpne lukkede hendelser på nytt hvis nye varsler legges til. Lukkede hendelser åpnes ikke igjen i dette tilfellet, og nye varsler utløser nye hendelser. |
Hvis du vil ha mer informasjon, kan du se Hendelser og varsler i portalen Microsoft Defender og varselkorrelasjon og hendelsessammenslåing i Microsoft Defender-portalen.
Merknadsendringer for undersøkelser med avansert jakt
Når du har pålastet Microsoft Sentinel til Defender-portalen, kan du få tilgang til og bruke alle eksisterende loggtabeller, KQL-spørringer (Kusto Query Language) og funksjoner på siden Avansert jakt. Alle Microsoft Sentinel varsler som er knyttet til hendelser, tas inn i AlertInfo bordet, tilgjengelig fra avansert jaktside.
Det finnes noen forskjeller, for eksempel bokmerker, støttes ikke i avansert jakt. I stedet støttes bokmerker i Defender-portalen under Microsoft Sentinel > Threat Management > Hunting.
Hvis du vil ha mer informasjon, kan du se Avansert jakt med Microsoft Sentinel data i Microsoft Defender, spesielt listen over kjente problemer, og hold oversikt over data under jakt med Microsoft Sentinel.
Undersøke med enheter i Defender-portalen
I Microsoft Defender-portalen er enheter vanligvis enten aktiva, for eksempel kontoer, verter eller postbokser, eller bevis, for eksempel IP-adresser, filer eller nettadresser.
Når pålasting Microsoft Sentinel til Defender-portalen, konsolideres enhetssider for brukere, enheter og IP-adresser til én enkelt visning med en omfattende visning av enhetens aktivitet og kontekst og data fra både Microsoft Sentinel og Microsoft Defender XDR.
Defender-portalen inneholder også en globalt søk linje som sentraliserer resultater fra alle enheter, slik at du kan søke på tvers av SIEM og XDR.
Hvis du vil ha mer informasjon, kan du se enhetssider i Microsoft Sentinel.
Undersøke med UEBA i Defender-portalen
De fleste funksjonene i UEBA (User and Entity Behavior Analytics) forblir de samme i Defender-portalen som de var i Azure Portal, med følgende unntak:
Å legge til enheter i trusselintelligens fra hendelser støttes bare i Azure Portal. Hvis du vil ha mer informasjon, kan du se Legge til enhet i trusselindikatorer.
Når du tar Microsoft Sentinel til Microsoft Defender-portalen,
IdentityInfoer tabellen tilgjengelig både i Microsoft Defender Avansert jakt-opplevelsen og i Sentinel Log Analytics-arbeidsområdet. TabellenIdentityInfosom brukes i Avansert jakt inkluderer enhetlige felt fra både Defender XDR og Microsoft Sentinel. Noen felt som finnes i tabellen Sentinel Arbeidsområde for log analytics, har enten nytt navn eller støttes ikke i tabellen Avansert jakt. Pass på å se gjennom og oppdatere eventuelle spørringer som kjører i Microsoft Defender, for eksempel Avansert jakt-spørringer eller egendefinerte gjenkjenninger. Microsoft Sentinel analytiske regler, arbeidsbøker og andre Sentinel spørringer fortsetter å brukeIdentityInfotabellen i Log Analytics-arbeidsområdet og påvirkes ikke. Hvis du vil ha mer informasjon og en sammenligning av tabellskjemaene i Avansert jakt og Log Analytics, kan du se IdentityInfo-tabellen.
Viktig
Når du går over til Defender-portalen, IdentityInfo blir tabellen en opprinnelig Defender-tabell som ikke støtter rollebasert tilgangskontroll på tabellnivå (RBAC). Hvis organisasjonen bruker RBAC på tabellnivå til å begrense tilgangen IdentityInfo til tabellen i Azure Portal, vil ikke denne tilgangskontrollen lenger være tilgjengelig etter overgangen til Defender-portalen.
Oppdater undersøkelsesprosesser for å bruke Microsoft Defender trusselintelligens
For Microsoft Sentinel kunder som flytter fra Azure Portal til Defender-portalen, beholdes de kjente funksjonene for trusselintelligens i Defender-portalen under Intel-administrasjon, og forbedres med andre funksjoner for trusselintelligens som er tilgjengelige i Defender-portalen. Støttede funksjoner avhenger av lisensene du har, for eksempel:
| Funksjon | Beskrivelse |
|---|---|
| Trusselanalyse | Støttes for Microsoft Defender XDR kunder. En produktløsning levert av Microsofts sikkerhetsforskere, utformet for å hjelpe sikkerhetsteam ved å gi innsikt i nye trusler, aktive trusler og deres virkninger. Dataene presenteres på et intuitivt instrumentbord med kort, rader med data, filtre og mer. |
| Intel-profiler | Støttes for Microsoft Defender trusselinformasjon kunder. Kategoriser trusler og virkemåter etter en profil for trusselaktør, noe som gjør det enklere å spore og koordinere. Disse profilene inkluderer eventuelle indikatorer for kompromiss (IoC) relatert til taktikk, teknikker og verktøy som brukes i angrep. |
| Intel Explorer | Støttes for Microsoft Defender trusselinformasjon kunder. Konsoliderer tilgjengelige IOCer og leverer trusselrelaterte artikler etter hvert som de publiseres, slik at sikkerhetsteam kan holde seg oppdatert om nye trusler. |
| Intel-prosjekter | Støttes for Microsoft Defender trusselinformasjon kunder. Gjør det mulig for team å konsolidere trusselintelligens til et «prosjekt» for gjennomgang av alle artefakter relatert til et bestemt scenario av interesse. |
I Defender-portalen kan du bruke ThreatIntelOjbects og ThreatIntelIndicators sammen med indikatorer for kompromiss for trusseljakt, hendelsesrespons, Copilot, rapportering og til å opprette relasjonelle grafer som viser tilkoblinger mellom indikatorer og enheter.
For kunder som bruker Microsoft Defender trusselinformasjon -feeden (MDTI), er en gratisversjon tilgjengelig via Microsoft Sentinel sin datakobling for MDTI. Brukere med MDTI-lisenser kan også ta inn MDTI-data og bruke Security Copilot til trusselanalyse, aktiv trusselgjennomgang og trusselundersøkelser.
Hvis du vil ha mer informasjon, kan du se:
- Trusselhåndtering
- Trusselanalyse i Microsoft Defender XDR
- Bruke prosjekter
- Trusselintelligens i Microsoft Sentinel
Bruke arbeidsbøker til å visualisere og rapportere om Microsoft Defender data
Azure arbeidsbøker fortsetter å være det primære verktøyet for datavisualisering og samhandling i Defender-portalen, og fungerer slik de gjorde i Azure Portal.
Hvis du vil bruke arbeidsbøker med data fra Avansert jakt, må du kontrollere at du inntar logger på Microsoft Sentinel.
Hvis du vil ha mer informasjon, kan du se Visualisere og overvåke dataene ved hjelp av arbeidsbøker i Microsoft Sentinel.
Lignende hendelser (forhåndsvisning) støttes ikke i Defender-portalen
Funksjonen Microsoft Sentinel lignende hendelser er i forhåndsvisning, støttes ikke i Defender-portalen. Dette betyr at når du viser en side med hendelsesdetaljer i Defender-portalen, er ikke fanen Lignende hendelser tilgjengelig.
Beslektet innhold
- Det beste av Microsoft Sentinel – nå i Microsoft Defender (blogg)
- Se nettseminaret: Overgang til Unified SOC Platform: Deep Dive og Interactive Q&A for SOC Professionals.
- Se vanlige spørsmål i TechCommunity-bloggen eller Microsoft Community Hub.
- Se gjennom forskjeller i varslingsskjema mellom frittstående koblinger og XDR-koblinger