Koble Microsoft Sentinel til Microsoft Defender XDR

• Gjelder for:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Når du tar Microsoft Sentinel til Defender-portalen, kan du samle funksjoner med Microsoft Defender XDR, for eksempel hendelsesbehandling og avansert jakt. Reduser verktøybytte og bygg en mer kontekstfokusert undersøkelse som fremskynder hendelsesresponsen og stopper brudd raskere. Hvis du vil ha mer informasjon, kan du se:

• Blogginnlegg: Generell tilgjengelighet for Microsofts plattform for enhetlige sikkerhetsoperasjoner
• Blogginnlegg: Vanlige spørsmål om plattformen for enhetlige sikkerhetsoperasjoner
• Microsoft Sentinel i Microsoft Defender-portalen
• Microsoft Defender XDR-integrasjon med Microsoft Sentinel

Forutsetninger

Før du begynner, kan du se gjennom funksjonsdokumentasjonen for å forstå produktendringene og begrensningene:

• Microsoft Sentinel i Microsoft Defender-portalen
• Avansert jakt i Microsoft Defender-portalen
• Varsler, hendelser og korrelasjon i Microsoft Defender XDR
• Automatisering med plattformen for enhetlige sikkerhetsoperasjoner

Microsoft Defender-portalen støtter én enkelt Microsoft Entra-leier og tilkoblingen til ett arbeidsområde om gangen. I denne artikkelen er et arbeidsområde et Log Analytics-arbeidsområde med Microsoft Sentinel aktivert.

Hvis du vil ta vare på og bruke Microsoft Sentinel i Microsoft Defender-portalen, må du ha følgende ressurser og tilgang:

• Et Log Analytics-arbeidsområde som har Microsoft Sentinel aktivert

• Datakoblingen for Microsoft Defender XDR (tidligere kalt Microsoft 365 Defender) aktivert i Microsoft Sentinel for hendelser og varsler. Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.

• Tilgang til Microsoft Defender XDR i Defender-portalen

• Microsoft Defender XDR innlastet til Microsoft Entra-leieren

• En Azure-konto med de riktige rollene for å ta på seg, bruke og opprette støtteforespørsler for Microsoft Sentinel i Defender-portalen. Tabellen nedenfor uthever noen av de nødvendige nøkkelrollene.

  Oppgave	Innebygd Azure-rolle kreves	Omfang
  Koble til eller koble fra et arbeidsområde med Microsoft Sentinel aktivert	Eier eller brukertilgangsadministrator og Microsoft Sentinel-bidragsyter	– Abonnement for eier- eller brukertilgangsadministratorroller – abonnement, ressursgruppe eller arbeidsområderessurs for Microsoft Sentinel-bidragsyter
  Vis Microsoft Sentinel i Defender-portalen	Microsoft Sentinel Reader	Abonnement, ressursgruppe eller arbeidsområderessurs
  Spørre Sentinel-datatabeller eller vise hendelser	Microsoft Sentinel Reader eller en rolle med følgende handlinger: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonnement, ressursgruppe eller arbeidsområderessurs
  Utfør etterforskningstiltak om hendelser	Microsoft Sentinel Contributor or a role with the following actions: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnement, ressursgruppe eller arbeidsområderessurs
  Opprette en støtteforespørsel	Eier eller bidragsyter eller kundestøtte ber om bidragsyter eller en egendefinert rolle med Microsoft.Support/*	Abonnement

  Når du har koblet Microsoft Sentinel til Defender-portalen, kan du bruke de eksisterende azure rollebaserte tilgangskontrolltillatelsene (RBAC) til å arbeide med Microsoft Sentinel-funksjonene du har tilgang til. Fortsett å administrere roller og tillatelser for Microsoft Sentinel-brukere fra Azure-portalen. Eventuelle Azure RBAC-endringer gjenspeiles i Defender-portalen. Hvis du vil ha mer informasjon om Microsoft Sentinel-tillatelser, kan du se Roller og tillatelser i Microsoft Sentinel | Microsoft Learn og Administrer tilgang til Microsoft Sentinel-data etter ressurs | Microsoft Learn.

Om bord på Microsoft Sentinel

Hvis du vil koble til et arbeidsområde som har Microsoft Sentinel aktivert for Defender XDR, fullfører du følgende trinn:

1. Gå til Microsoft Defender-portalen , og logg på.

2. Velg Oversikt i Microsoft Defender XDR.

3. Velg Koble til et arbeidsområde.

4. Velg arbeidsområdet du vil koble til, og velg Neste.

5. Les og forstå produktendringene som er knyttet til tilkoblingen til arbeidsområdet. Disse endringene omfatter:

   • Loggtabeller, spørringer og funksjoner i Microsoft Sentinel-arbeidsområdet er også tilgjengelige i avansert jakt i Defender XDR.
   • Microsoft Sentinel-bidragsyterrollen tilordnes Microsoft Threat Protection- og WindowsDefenderATP-appene i abonnementet.
   • Aktive regler for oppretting av microsoft-sikkerhetshendelser deaktiveres for å unngå dupliserte hendelser. Denne endringen gjelder bare for hendelsesopprettingsregler for Microsoft-varsler og ikke for andre analyseregler.
   • Alle varsler relatert til Defender XDR-produkter strømmes direkte fra hoveddatakoblingen for Defender XDR for å sikre konsekvens. Kontroller at du har hendelser og varsler fra denne koblingen aktivert i arbeidsområdet.

6. Velg Koble til.

Når arbeidsområdet er koblet til, viser banneret på Oversikt-siden at den enhetlige sikkerhetsinformasjonen og hendelsesbehandlingen (SIEM) og utvidet gjenkjenning og respons (XDR) er klar. Oversikt-siden oppdateres med nye inndelinger som inkluderer måledata fra Microsoft Sentinel, for eksempel antall datakoblinger og automatiseringsregler.

Utforsk Microsoft Sentinel-funksjoner i Defender-portalen

Når du har koblet arbeidsområdet til Defender-portalen, er Microsoft Sentinel i navigasjonsruten til venstre. Sider som Oversikt, Hendelser og Avansert jakt har enhetlige data fra Microsoft Sentinel og Defender XDR. Hvis du vil ha mer informasjon om de enhetlige funksjonene og forskjellene mellom portaler, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Mange av de eksisterende Microsoft Sentinel-funksjonene er integrert i Defender-portalen. Legg merke til at opplevelsen mellom Microsoft Sentinel i Azure-portalen og Defender-portalen ligner på disse funksjonene. Bruk følgende artikler for å hjelpe deg med å begynne å arbeide med Microsoft Sentinel i Defender-portalen. Når du bruker disse artiklene, må du huske på at utgangspunktet i denne konteksten er Defender-portalen i stedet for Azure-portalen.

• Søke
  • Søk på tvers av lange tidsperioder i store datasett
  • Gjenopprett arkiverte logger fra søk
• Trusselhåndtering
  • Visualiser og overvåk dataene dine ved hjelp av arbeidsbøker
  • Utfør trusseljakt fra ende til ende med Hunts
  • Bruke jaktbokmerker for dataundersøkelser
  • Bruk jakt livestream i Microsoft Sentinel for å oppdage trussel
  • Jakten på sikkerhetstrusler med Jupyter-notatblokker
  • Legg til indikatorer i bulk i Microsoft Sentinel trusselintelligens fra en CSV- eller JSON-fil
  • Arbeid med trusselindikatorer i Microsoft Sentinel
  • Forstå sikkerhetsdekning av MITRE ATT&CK-rammeverket
• Innholdsbehandling
  • Oppdag og administrer Microsoft Sentinel-innhold som er klare til bruk
  • Katalog for Innholdshub for Microsoft Sentinel
  • Distribuer egendefinert innhold fra repositoriet
• Konfigurasjon
  • Finn Microsoft Sentinel-datakoblingen
  • Opprett egendefinerte analyseregler for å oppdage trusler
  • Arbeid med regler for gjenkjenningsanalyse i nesten sanntid (NRT) i Microsoft Sentinel
  • Opprette visningslister
  • Administrere visningslister i Microsoft Sentinel
  • Opprett automatiseringsregler
  • Opprette og tilpasse Microsoft Sentinel-strategibøker fra innholdsmaler

Finn Microsoft Sentinel-innstillinger i Defender-portalen under Systeminnstillinger>>Microsoft Sentinel.

Offboard Microsoft Sentinel

Du kan bare ha ett arbeidsområde koblet til Defender-portalen om gangen. Hvis du vil koble til et annet arbeidsområde som har Microsoft Sentinel aktivert, kobler du fra gjeldende arbeidsområde og kobler til det andre arbeidsområdet.

1. Gå til Microsoft Defender-portalen , og logg på.

2. Velg Innstillinger>Microsoft Sentinel under System i Defender-portalen.

3. Velg det tilkoblede arbeidsområdet og Koble fra arbeidsområdet på Arbeidsområder-siden.

4. Oppgi en grunn til at du kobler fra arbeidsområdet.

5. Bekreft valget.

   Når arbeidsområdet er frakoblet, fjernes Microsoft Sentinel-delen fra navigasjonsruten til venstre i Defender-portalen. Data fra Microsoft Sentinel er ikke lenger inkludert på Oversikt-siden.

Hvis du vil koble til et annet arbeidsområde, velger du arbeidsområdet og Koble til et arbeidsområde fra siden Arbeidsområder.

Beslektet innhold

• Microsoft Sentinel i Microsoft Defender-portalen
• Avansert jakt i Microsoft Defender-portalen
• Automatisk angrepsforstyrrelse i Microsoft Defender XDR
• Undersøk hendelser i Microsoft Defender XDR
• Optimaliser sikkerhetsoperasjonene dine