Koble Microsoft Sentinel til Microsoft Defender XDR
Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Når du tar Microsoft Sentinel til Defender-portalen, kan du samle funksjoner med Microsoft Defender XDR, for eksempel hendelsesbehandling og avansert jakt. Reduser verktøybytte og bygg en mer kontekstfokusert undersøkelse som fremskynder hendelsesresponsen og stopper brudd raskere. Hvis du vil ha mer informasjon, kan du se:
- Blogginnlegg: Generell tilgjengelighet for Microsofts plattform for enhetlige sikkerhetsoperasjoner
- Blogginnlegg: Vanlige spørsmål om plattformen for enhetlige sikkerhetsoperasjoner
- Microsoft Sentinel i Microsoft Defender-portalen
- Microsoft Defender XDR-integrasjon med Microsoft Sentinel
Forutsetninger
Før du begynner, kan du se gjennom funksjonsdokumentasjonen for å forstå produktendringene og begrensningene:
- Microsoft Sentinel i Microsoft Defender-portalen
- Avansert jakt i Microsoft Defender-portalen
- Varsler, hendelser og korrelasjon i Microsoft Defender XDR
- Automatisering med plattformen for enhetlige sikkerhetsoperasjoner
Microsoft Defender-portalen støtter én enkelt Microsoft Entra-leier og tilkoblingen til ett arbeidsområde om gangen. I denne artikkelen er et arbeidsområde et Log Analytics-arbeidsområde med Microsoft Sentinel aktivert.
Hvis du vil ta vare på og bruke Microsoft Sentinel i Microsoft Defender-portalen, må du ha følgende ressurser og tilgang:
Et Log Analytics-arbeidsområde som har Microsoft Sentinel aktivert
Datakoblingen for Microsoft Defender XDR (tidligere kalt Microsoft 365 Defender) aktivert i Microsoft Sentinel for hendelser og varsler. Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.
Tilgang til Microsoft Defender XDR i Defender-portalen
Microsoft Defender XDR innlastet til Microsoft Entra-leieren
En Azure-konto med de riktige rollene for å ta på seg, bruke og opprette støtteforespørsler for Microsoft Sentinel i Defender-portalen. Tabellen nedenfor uthever noen av de nødvendige nøkkelrollene.
Oppgave Innebygd Azure-rolle kreves Omfang Koble til eller koble fra et arbeidsområde med Microsoft Sentinel aktivert Eier eller
brukertilgangsadministrator og Microsoft Sentinel-bidragsyter– Abonnement for eier- eller brukertilgangsadministratorroller
– abonnement, ressursgruppe eller arbeidsområderessurs for Microsoft Sentinel-bidragsyterVis Microsoft Sentinel i Defender-portalen Microsoft Sentinel Reader Abonnement, ressursgruppe eller arbeidsområderessurs Spørre Sentinel-datatabeller eller vise hendelser Microsoft Sentinel Reader eller en rolle med følgende handlinger:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readAbonnement, ressursgruppe eller arbeidsområderessurs Utfør etterforskningstiltak om hendelser Microsoft Sentinel Contributor or a role with the following actions:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnement, ressursgruppe eller arbeidsområderessurs Opprette en støtteforespørsel Eier eller
bidragsyter eller
kundestøtte ber om bidragsyter eller en egendefinert rolle med Microsoft.Support/*Abonnement Når du har koblet Microsoft Sentinel til Defender-portalen, kan du bruke de eksisterende azure rollebaserte tilgangskontrolltillatelsene (RBAC) til å arbeide med Microsoft Sentinel-funksjonene du har tilgang til. Fortsett å administrere roller og tillatelser for Microsoft Sentinel-brukere fra Azure-portalen. Eventuelle Azure RBAC-endringer gjenspeiles i Defender-portalen. Hvis du vil ha mer informasjon om Microsoft Sentinel-tillatelser, kan du se Roller og tillatelser i Microsoft Sentinel | Microsoft Learn og Administrer tilgang til Microsoft Sentinel-data etter ressurs | Microsoft Learn.
Om bord på Microsoft Sentinel
Hvis du vil koble til et arbeidsområde som har Microsoft Sentinel aktivert for Defender XDR, fullfører du følgende trinn:
Gå til Microsoft Defender-portalen , og logg på.
Velg Oversikt i Microsoft Defender XDR.
Velg Koble til et arbeidsområde.
Velg arbeidsområdet du vil koble til, og velg Neste.
Les og forstå produktendringene som er knyttet til tilkoblingen til arbeidsområdet. Disse endringene omfatter:
- Loggtabeller, spørringer og funksjoner i Microsoft Sentinel-arbeidsområdet er også tilgjengelige i avansert jakt i Defender XDR.
- Microsoft Sentinel-bidragsyterrollen tilordnes Microsoft Threat Protection- og WindowsDefenderATP-appene i abonnementet.
- Aktive regler for oppretting av microsoft-sikkerhetshendelser deaktiveres for å unngå dupliserte hendelser. Denne endringen gjelder bare for hendelsesopprettingsregler for Microsoft-varsler og ikke for andre analyseregler.
- Alle varsler relatert til Defender XDR-produkter strømmes direkte fra hoveddatakoblingen for Defender XDR for å sikre konsekvens. Kontroller at du har hendelser og varsler fra denne koblingen aktivert i arbeidsområdet.
Velg Koble til.
Når arbeidsområdet er koblet til, viser banneret på Oversikt-siden at den enhetlige sikkerhetsinformasjonen og hendelsesbehandlingen (SIEM) og utvidet gjenkjenning og respons (XDR) er klar. Oversikt-siden oppdateres med nye inndelinger som inkluderer måledata fra Microsoft Sentinel, for eksempel antall datakoblinger og automatiseringsregler.
Utforsk Microsoft Sentinel-funksjoner i Defender-portalen
Når du har koblet arbeidsområdet til Defender-portalen, er Microsoft Sentinel i navigasjonsruten til venstre. Sider som Oversikt, Hendelser og Avansert jakt har enhetlige data fra Microsoft Sentinel og Defender XDR. Hvis du vil ha mer informasjon om de enhetlige funksjonene og forskjellene mellom portaler, kan du se Microsoft Sentinel i Microsoft Defender-portalen.
Mange av de eksisterende Microsoft Sentinel-funksjonene er integrert i Defender-portalen. Legg merke til at opplevelsen mellom Microsoft Sentinel i Azure-portalen og Defender-portalen ligner på disse funksjonene. Bruk følgende artikler for å hjelpe deg med å begynne å arbeide med Microsoft Sentinel i Defender-portalen. Når du bruker disse artiklene, må du huske på at utgangspunktet i denne konteksten er Defender-portalen i stedet for Azure-portalen.
- Søke
- Trusselhåndtering
- Visualiser og overvåk dataene dine ved hjelp av arbeidsbøker
- Utfør trusseljakt fra ende til ende med Hunts
- Bruke jaktbokmerker for dataundersøkelser
- Bruk jakt livestream i Microsoft Sentinel for å oppdage trussel
- Jakten på sikkerhetstrusler med Jupyter-notatblokker
- Legg til indikatorer i bulk i Microsoft Sentinel trusselintelligens fra en CSV- eller JSON-fil
- Arbeid med trusselindikatorer i Microsoft Sentinel
- Forstå sikkerhetsdekning av MITRE ATT&CK-rammeverket
- Innholdsbehandling
- Konfigurasjon
- Finn Microsoft Sentinel-datakoblingen
- Opprett egendefinerte analyseregler for å oppdage trusler
- Arbeid med regler for gjenkjenningsanalyse i nesten sanntid (NRT) i Microsoft Sentinel
- Opprette visningslister
- Administrere visningslister i Microsoft Sentinel
- Opprett automatiseringsregler
- Opprette og tilpasse Microsoft Sentinel-strategibøker fra innholdsmaler
Finn Microsoft Sentinel-innstillinger i Defender-portalen under Systeminnstillinger>>Microsoft Sentinel.
Offboard Microsoft Sentinel
Du kan bare ha ett arbeidsområde koblet til Defender-portalen om gangen. Hvis du vil koble til et annet arbeidsområde som har Microsoft Sentinel aktivert, kobler du fra gjeldende arbeidsområde og kobler til det andre arbeidsområdet.
Gå til Microsoft Defender-portalen , og logg på.
Velg Innstillinger>Microsoft Sentinel under System i Defender-portalen.
Velg det tilkoblede arbeidsområdet og Koble fra arbeidsområdet på Arbeidsområder-siden.
Oppgi en grunn til at du kobler fra arbeidsområdet.
Bekreft valget.
Når arbeidsområdet er frakoblet, fjernes Microsoft Sentinel-delen fra navigasjonsruten til venstre i Defender-portalen. Data fra Microsoft Sentinel er ikke lenger inkludert på Oversikt-siden.
Hvis du vil koble til et annet arbeidsområde, velger du arbeidsområdet og Koble til et arbeidsområde fra siden Arbeidsområder.