Del via


Koble Microsoft Sentinel til Microsoft Defender XDR

Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Når du tar Microsoft Sentinel til Defender-portalen, kan du samle funksjoner med Microsoft Defender XDR, for eksempel hendelsesbehandling og avansert jakt. Reduser verktøybytte og bygg en mer kontekstfokusert undersøkelse som fremskynder hendelsesresponsen og stopper brudd raskere. Hvis du vil ha mer informasjon, kan du se:

Forutsetninger

Før du begynner, kan du se gjennom funksjonsdokumentasjonen for å forstå produktendringene og begrensningene:

Microsoft Defender-portalen støtter én enkelt Microsoft Entra-leier og tilkoblingen til ett arbeidsområde om gangen. I denne artikkelen er et arbeidsområde et Log Analytics-arbeidsområde med Microsoft Sentinel aktivert.

Hvis du vil ta vare på og bruke Microsoft Sentinel i Microsoft Defender-portalen, må du ha følgende ressurser og tilgang:

  • Et Log Analytics-arbeidsområde som har Microsoft Sentinel aktivert

  • Datakoblingen for Microsoft Defender XDR (tidligere kalt Microsoft 365 Defender) aktivert i Microsoft Sentinel for hendelser og varsler. Hvis du vil ha mer informasjon, kan du se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.

  • Tilgang til Microsoft Defender XDR i Defender-portalen

  • Microsoft Defender XDR innlastet til Microsoft Entra-leieren

  • En Azure-konto med de riktige rollene for å ta på seg, bruke og opprette støtteforespørsler for Microsoft Sentinel i Defender-portalen. Tabellen nedenfor uthever noen av de nødvendige nøkkelrollene.

    Oppgave Innebygd Azure-rolle kreves Omfang
    Koble til eller koble fra et arbeidsområde med Microsoft Sentinel aktivert Eier eller
    brukertilgangsadministrator og Microsoft Sentinel-bidragsyter
    – Abonnement for eier- eller brukertilgangsadministratorroller

    – abonnement, ressursgruppe eller arbeidsområderessurs for Microsoft Sentinel-bidragsyter
    Vis Microsoft Sentinel i Defender-portalen Microsoft Sentinel Reader Abonnement, ressursgruppe eller arbeidsområderessurs
    Spørre Sentinel-datatabeller eller vise hendelser Microsoft Sentinel Reader eller en rolle med følgende handlinger:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Abonnement, ressursgruppe eller arbeidsområderessurs
    Utfør etterforskningstiltak om hendelser Microsoft Sentinel Contributor or a role with the following actions:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Abonnement, ressursgruppe eller arbeidsområderessurs
    Opprette en støtteforespørsel Eier eller
    bidragsyter eller
    kundestøtte ber om bidragsyter eller en egendefinert rolle med Microsoft.Support/*
    Abonnement

    Når du har koblet Microsoft Sentinel til Defender-portalen, kan du bruke de eksisterende azure rollebaserte tilgangskontrolltillatelsene (RBAC) til å arbeide med Microsoft Sentinel-funksjonene du har tilgang til. Fortsett å administrere roller og tillatelser for Microsoft Sentinel-brukere fra Azure-portalen. Eventuelle Azure RBAC-endringer gjenspeiles i Defender-portalen. Hvis du vil ha mer informasjon om Microsoft Sentinel-tillatelser, kan du se Roller og tillatelser i Microsoft Sentinel | Microsoft Learn og Administrer tilgang til Microsoft Sentinel-data etter ressurs | Microsoft Learn.

Om bord på Microsoft Sentinel

Hvis du vil koble til et arbeidsområde som har Microsoft Sentinel aktivert for Defender XDR, fullfører du følgende trinn:

  1. Gå til Microsoft Defender-portalen , og logg på.

  2. Velg Oversikt i Microsoft Defender XDR.

  3. Velg Koble til et arbeidsområde.

  4. Velg arbeidsområdet du vil koble til, og velg Neste.

  5. Les og forstå produktendringene som er knyttet til tilkoblingen til arbeidsområdet. Disse endringene omfatter:

    • Loggtabeller, spørringer og funksjoner i Microsoft Sentinel-arbeidsområdet er også tilgjengelige i avansert jakt i Defender XDR.
    • Microsoft Sentinel-bidragsyterrollen tilordnes Microsoft Threat Protection- og WindowsDefenderATP-appene i abonnementet.
    • Aktive regler for oppretting av microsoft-sikkerhetshendelser deaktiveres for å unngå dupliserte hendelser. Denne endringen gjelder bare for hendelsesopprettingsregler for Microsoft-varsler og ikke for andre analyseregler.
    • Alle varsler relatert til Defender XDR-produkter strømmes direkte fra hoveddatakoblingen for Defender XDR for å sikre konsekvens. Kontroller at du har hendelser og varsler fra denne koblingen aktivert i arbeidsområdet.
  6. Velg Koble til.

Når arbeidsområdet er koblet til, viser banneret på Oversikt-siden at den enhetlige sikkerhetsinformasjonen og hendelsesbehandlingen (SIEM) og utvidet gjenkjenning og respons (XDR) er klar. Oversikt-siden oppdateres med nye inndelinger som inkluderer måledata fra Microsoft Sentinel, for eksempel antall datakoblinger og automatiseringsregler.

Utforsk Microsoft Sentinel-funksjoner i Defender-portalen

Når du har koblet arbeidsområdet til Defender-portalen, er Microsoft Sentinel i navigasjonsruten til venstre. Sider som Oversikt, Hendelser og Avansert jakt har enhetlige data fra Microsoft Sentinel og Defender XDR. Hvis du vil ha mer informasjon om de enhetlige funksjonene og forskjellene mellom portaler, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Mange av de eksisterende Microsoft Sentinel-funksjonene er integrert i Defender-portalen. Legg merke til at opplevelsen mellom Microsoft Sentinel i Azure-portalen og Defender-portalen ligner på disse funksjonene. Bruk følgende artikler for å hjelpe deg med å begynne å arbeide med Microsoft Sentinel i Defender-portalen. Når du bruker disse artiklene, må du huske på at utgangspunktet i denne konteksten er Defender-portalen i stedet for Azure-portalen.

Finn Microsoft Sentinel-innstillinger i Defender-portalen under Systeminnstillinger>>Microsoft Sentinel.

Offboard Microsoft Sentinel

Du kan bare ha ett arbeidsområde koblet til Defender-portalen om gangen. Hvis du vil koble til et annet arbeidsområde som har Microsoft Sentinel aktivert, kobler du fra gjeldende arbeidsområde og kobler til det andre arbeidsområdet.

  1. Gå til Microsoft Defender-portalen , og logg på.

  2. Velg Innstillinger>Microsoft Sentinel under System i Defender-portalen.

  3. Velg det tilkoblede arbeidsområdet og Koble fra arbeidsområdetArbeidsområder-siden.

  4. Oppgi en grunn til at du kobler fra arbeidsområdet.

  5. Bekreft valget.

    Når arbeidsområdet er frakoblet, fjernes Microsoft Sentinel-delen fra navigasjonsruten til venstre i Defender-portalen. Data fra Microsoft Sentinel er ikke lenger inkludert på Oversikt-siden.

Hvis du vil koble til et annet arbeidsområde, velger du arbeidsområdet og Koble til et arbeidsområde fra siden Arbeidsområder.