Microsoft Sentinel verbinden met Microsoft Defender XDR
Microsoft Sentinel is algemeen beschikbaar in het Microsoft Unified Security Operations-platform in de Microsoft Defender-portal. Wanneer u Microsoft Sentinel onboardt naar de Defender-portal, kunt u mogelijkheden samenvoegen met Microsoft Defender XDR, zoals incidentbeheer en geavanceerde opsporing. Verminder het schakelen tussen hulpprogramma's en bouw een meer contextgericht onderzoek dat de reactie op incidenten versnelt en inbreuken sneller stopt. Zie voor meer informatie:
- Blogbericht: Algemene beschikbaarheid van het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft
- Blogbericht: Veelgestelde vragen over het geïntegreerde platform voor beveiligingsbewerkingen
- Microsoft Sentinel in de Microsoft Defender-portal
- Microsoft Defender XDR-integratie met Microsoft Sentinel
Vereisten
Voordat u begint, raadpleegt u de functiedocumentatie voor meer informatie over de productwijzigingen en -beperkingen:
- Microsoft Sentinel in de Microsoft Defender-portal
- Geavanceerde opsporing in de Microsoft Defender-portal
- Waarschuwingen, incidenten en correlatie in Microsoft Defender XDR
- Automatisering met het geïntegreerde platform voor beveiligingsbewerkingen
De Microsoft Defender-portal ondersteunt één Microsoft Entra-tenant en de verbinding met één werkruimte tegelijk. In de context van dit artikel is een werkruimte een Log Analytics-werkruimte waarvoor Microsoft Sentinel is ingeschakeld.
Als u Microsoft Sentinel in de Microsoft Defender-portal wilt onboarden en gebruiken, moet u beschikken over de volgende resources en toegang:
Een Log Analytics-werkruimte waarvoor Microsoft Sentinel is ingeschakeld
De gegevensconnector voor Microsoft Defender XDR (voorheen Microsoft 365 Defender) ingeschakeld in Microsoft Sentinel voor incidenten en waarschuwingen. Zie Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel voor meer informatie.
Toegang tot Microsoft Defender XDR in de Defender-portal
Onboarding van Microsoft Defender XDR naar de Microsoft Entra-tenant
Een Azure-account met de juiste rollen voor het onboarden, gebruiken en maken van ondersteuningsaanvragen voor Microsoft Sentinel in de Defender-portal. In de volgende tabel worden enkele belangrijke rollen weergegeven die nodig zijn.
Taak Ingebouwde Azure-rol vereist Bereik Verbinding maken met een werkruimte of de verbinding verbreken met Microsoft Sentinel ingeschakeld Eigenaar of
beheerder van gebruikerstoegang en Microsoft Sentinel-inzender- Abonnement voor de rollen
Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel-inzenderMicrosoft Sentinel weergeven in de Defender-portal Microsoft Sentinel Reader Abonnements-, resourcegroep- of werkruimteresource Query uitvoeren op Sentinel-gegevenstabellen of incidenten weergeven Microsoft Sentinel-lezer of een rol met de volgende acties:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readAbonnements-, resourcegroep- of werkruimteresource Onderzoekacties uitvoeren voor incidenten Microsoft Sentinel-inzender of een rol met de volgende acties:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents
/relations/read- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonnements-, resourcegroep- of werkruimteresource Een ondersteuningsaanvraag maken Eigenaar ,
inzender of
inzender van ondersteuningsaanvraag of een aangepaste rol bij Microsoft.Support/*Abonnement Nadat u Microsoft Sentinel hebt verbonden met de Defender-portal, kunt u met uw bestaande RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure werken met de Microsoft Sentinel-functies waartoe u toegang hebt. Blijf rollen en machtigingen voor uw Microsoft Sentinel-gebruikers beheren vanuit Azure Portal. Wijzigingen in Azure RBAC worden weergegeven in de Defender-portal. Zie Rollen en machtigingen in Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.
Microsoft Sentinel onboarden
Voer de volgende stappen uit om een werkruimte met Microsoft Sentinel te verbinden met Defender XDR:
Ga naar de Microsoft Defender-portal en meld u aan.
Selecteer overzicht in Microsoft Defender XDR.
Selecteer Een werkruimte verbinden.
Kies de werkruimte die u wilt verbinden en selecteer Volgende.
Lees en begrijp de productwijzigingen die zijn gekoppeld aan het verbinden van uw werkruimte. Deze wijzigingen omvatten:
- Logboektabellen, query's en functies in de Microsoft Sentinel-werkruimte zijn ook beschikbaar in geavanceerde opsporing in Defender XDR.
- De rol Microsoft Sentinel-inzender wordt toegewezen aan de apps Microsoft Threat Protection en WindowsDefenderATP binnen het abonnement.
- Actieve microsoft-regels voor het maken van beveiligingsincidenten worden gedeactiveerd om dubbele incidenten te voorkomen. Deze wijziging is alleen van toepassing op regels voor het maken van incidenten voor Microsoft-waarschuwingen en niet op andere analyseregels.
- Alle waarschuwingen met betrekking tot Defender XDR-producten worden rechtstreeks vanuit de belangrijkste Defender XDR-gegevensconnector gestreamd om consistentie te garanderen. Zorg ervoor dat incidenten en waarschuwingen van deze connector zijn ingeschakeld in de werkruimte.
Selecteer Verbinding maken.
Nadat uw werkruimte is verbonden, ziet u in de banner op de pagina Overzicht dat uw SIEM (Unified Security Information and Event Management) en XDR (Extended Detection and Response) gereed zijn. De pagina Overzicht wordt bijgewerkt met nieuwe secties met metrische gegevens van Microsoft Sentinel, zoals het aantal gegevensconnectors en automatiseringsregels.
Microsoft Sentinel-functies verkennen in de Defender-portal
Nadat u uw werkruimte hebt verbonden met de Defender-portal, bevindt Microsoft Sentinel zich in het navigatiedeelvenster aan de linkerkant. Pagina's zoals Overzicht, Incidenten en Geavanceerde opsporing hebben geïntegreerde gegevens van Microsoft Sentinel en Defender XDR. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie over de geïntegreerde mogelijkheden en verschillen tussen portals.
Veel van de bestaande Microsoft Sentinel-functies zijn geïntegreerd in de Defender-portal. Voor deze functies ziet u dat de ervaring tussen Microsoft Sentinel in Azure Portal en Defender Portal vergelijkbaar is. Gebruik de volgende artikelen om aan de slag te gaan met Microsoft Sentinel in de Defender-portal. Wanneer u deze artikelen gebruikt, moet u er rekening mee houden dat uw uitgangspunt in deze context de Defender-portal is in plaats van de Azure-portal.
- Zoeken
- Risicobeheer
- Uw gegevens visualiseren en bewaken met behulp van werkmappen
- End-to-end opsporing van bedreigingen uitvoeren met Hunts
- Opsporingsbladwijzers gebruiken voor gegevensonderzoek
- Opsporings livestream in Microsoft Sentinel gebruiken om bedreigingen te detecteren
- Beveiligingsrisico's opsporen met Jupyter-notebooks
- Indicatoren bulksgewijs toevoegen aan Bedreigingsinformatie van Microsoft Sentinel vanuit een CSV- of JSON-bestand
- Werken met bedreigingsindicatoren in Microsoft Sentinel
- Informatie over beveiligingsdekking door het MITRE ATT&CK-framework
- Inhoudsbeheer
- Configuratie
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Aangepaste analyseregels maken om bedreigingen te detecteren
- Werken met detectieanalyseregels in bijna realtime (NRT) in Microsoft Sentinel
- Volglijsten maken
- Volglijsten beheren in Microsoft Sentinel
- Automatiseringsregels maken
- Microsoft Sentinel-playbooks maken en aanpassen vanuit inhoudssjablonen
Zoek microsoft Sentinel-instellingen in de Defender-portal onder Systeeminstellingen>>Microsoft Sentinel.
Offboard Microsoft Sentinel
U kunt slechts één werkruimte tegelijk verbinden met de Defender-portal. Als u verbinding wilt maken met een andere werkruimte waarvoor Microsoft Sentinel is ingeschakeld, koppelt u de huidige werkruimte los en verbindt u de andere werkruimte.
Ga naar de Microsoft Defender-portal en meld u aan.
Selecteer in de Defender-portal onder Systeemde optie Instellingen>Microsoft Sentinel.
Selecteer op de pagina Werkruimten de verbonden werkruimte en Werkruimte loskoppelen.
Geef een reden op waarom u de verbinding met de werkruimte verbreekt.
Bevestig uw selectie.
Wanneer de verbinding met uw werkruimte wordt verbroken, wordt de sectie Microsoft Sentinel verwijderd uit de navigatie aan de linkerkant van de Defender-portal. Gegevens van Microsoft Sentinel worden niet meer opgenomen op de pagina Overzicht.
Als u verbinding wilt maken met een andere werkruimte, selecteert u op de pagina Werkruimten de werkruimte en verbindt u een werkruimte.