Microsoft Sentinel in de Microsoft Defender-portal
In dit artikel wordt de Microsoft Sentinel-ervaring in de Microsoft Defender-portal beschreven. Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie voor meer informatie:
- Blogbericht: Algemene beschikbaarheid van het Geïntegreerde Beveiligingsbewerkingsplatform van Microsoft
- Blogbericht: Veelgestelde vragen over het geïntegreerde beveiligingsbewerkingsplatform
- Microsoft Sentinel verbinden met Microsoft Defender XDR
Nieuwe en verbeterde mogelijkheden
In de volgende tabel worden de nieuwe of verbeterde mogelijkheden beschreven die beschikbaar zijn in de Defender-portal met de integratie van Microsoft Sentinel en Defender XDR.
| Functies | Beschrijving |
|---|---|
| Geavanceerde opsporing | Query's uitvoeren vanuit één portal in verschillende gegevenssets om de opsporing efficiënter te maken en de noodzaak van contextwisselingen te verwijderen. Gebruik Copilot for Security om uw KQL te genereren. Bekijk en voer een query uit op alle gegevens, inclusief gegevens van Microsoft-beveiligingsservices en Microsoft Sentinel. Gebruik al uw bestaande Inhoud van de Microsoft Sentinel-werkruimte, inclusief query's en functies. Raadpleeg voor meer informatie de volgende artikelen: - Geavanceerde opsporing in de Microsoft Defender-portal - Copilot for Security in geavanceerde opsporing |
| Aanvalsstoring | Implementeer automatische aanvalsonderbreking voor SAP met zowel het geïntegreerde beveiligingsbewerkingsplatform als de Microsoft Sentinel-oplossing voor SAP-toepassingen. Neem bijvoorbeeld inbreuk op assets door verdachte SAP-gebruikers te vergrendelen in geval van een aanval op het manipuleren van financiële processen. Mogelijkheden voor aanvallenonderbreking voor SAP zijn alleen beschikbaar in de Defender-portal. Als u onderbreking van aanvallen voor SAP wilt gebruiken, werkt u de versie van de gegevensconnectoragent bij en zorgt u ervoor dat de relevante Azure-rol is toegewezen aan de identiteit van uw agent. Zie Automatische aanvalsonderbreking voor SAP voor meer informatie. |
| SOC-optimalisaties | Krijg aanbevelingen van hoge kwaliteit en bruikbare aanbevelingen om u te helpen gebieden te identificeren voor: - Kosten verlagen - Beveiligingscontroles toevoegen - Ontbrekende gegevens toevoegen SOC-optimalisaties zijn beschikbaar in de Defender- en Azure-portals, zijn afgestemd op uw omgeving en zijn gebaseerd op uw huidige dekking en bedreigingslandschap. Raadpleeg voor meer informatie de volgende artikelen: - Uw beveiligingsbewerkingen optimaliseren - SOC-optimalisatiereferentie van aanbevelingen |
| Geïntegreerde entiteiten | Entiteitspagina's voor apparaten, gebruikers, IP-adressen en Azure-resources in de Defender-portal geven informatie weer van Microsoft Sentinel- en Defender-gegevensbronnen. Deze entiteitspagina's bieden u een uitgebreide context voor uw onderzoeken van incidenten en waarschuwingen in de Defender-portal. Zie Entiteiten onderzoeken met entiteitspagina's in Microsoft Sentinel voor meer informatie. |
| Geïntegreerde incidenten | Beveiligingsincidenten op één locatie en vanuit één wachtrij in de Defender-portal beheren en onderzoeken. Gebruik Copilot for Security om samen te vatten, te reageren en te rapporteren. Incidenten zijn onder andere: - Gegevens uit de breedte van bronnen - AI-analysehulpprogramma's voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) - Context- en risicobeperkingshulpprogramma's die worden aangeboden door uitgebreide detectie en respons (XDR) Raadpleeg voor meer informatie de volgende artikelen: - Reactie op incidenten in de Microsoft Defender-portal - Microsoft Sentinel-incidenten onderzoeken in Copilot for Security |
Mogelijkheidsverschillen tussen portals
De meeste mogelijkheden van Microsoft Sentinel zijn beschikbaar in zowel de Azure- als de Defender-portal. In de Defender-portal zijn sommige Microsoft Sentinel-ervaringen beschikbaar in Azure Portal, zodat u een taak kunt voltooien.
In deze sectie worden de Microsoft Sentinel-mogelijkheden of -integraties beschreven in het geïntegreerde platform voor beveiligingsbewerkingen die alleen beschikbaar zijn in Azure Portal of Defender Portal of andere belangrijke verschillen tussen de portals. Het sluit de Microsoft Sentinel-ervaringen uit die de Azure-portal openen vanuit de Defender-portal.
| Mogelijkheid | Beschikbaarheid | Beschrijving |
|---|---|---|
| Geavanceerde opsporing met bladwijzers | Alleen Azure Portal | Bladwijzers worden niet ondersteund in de geavanceerde opsporingservaring in de Microsoft Defender-portal. In de Defender-portal worden ze ondersteund in de Opsporing van bedreigingen > van Microsoft Sentinel>. Zie Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel voor meer informatie. |
| Aanvalsonderbreking voor SAP | Alleen Defender-portal | Deze functionaliteit is niet beschikbaar in Azure Portal. Zie Automatische aanvalsonderbreking in de Microsoft Defender-portal voor meer informatie. |
| Automation | Sommige automatiseringsprocedures zijn alleen beschikbaar in Azure Portal. Andere automatiseringsprocedures zijn hetzelfde in de Defender- en Azure-portals, maar verschillen in Azure Portal tussen werkruimten die worden toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen en werkruimten die dat niet zijn. |
Zie Automation met het geïntegreerde platform voor beveiligingsbewerkingen voor meer informatie. |
| Gegevensconnectors: zichtbaarheid van connectors die worden gebruikt door het geïntegreerde platform voor beveiligingsbewerkingen | Alleen Azure Portal | Na de onboarding van Microsoft Sentinel in de Defender-portal worden de volgende gegevensconnectors die deel uitmaken van het geïntegreerde platform voor beveiligingsbewerkingen niet weergegeven op de pagina Gegevensconnectors : In Azure Portal worden deze gegevensconnectors nog steeds vermeld met de geïnstalleerde gegevensconnectors in Microsoft Sentinel. |
| Entiteiten: Entiteiten toevoegen aan bedreigingsinformatie van incidenten | Alleen Azure Portal | Deze functionaliteit is niet beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen. Zie Entiteit toevoegen aan bedreigingsindicatoren voor meer informatie. |
| Fusion: Geavanceerde detectie van aanvallen met meerdere fasen | Alleen Azure Portal | De Fusion Analytics-regel, die incidenten maakt op basis van waarschuwingscorrelaties die zijn gemaakt door de Fusion-correlatie-engine, wordt uitgeschakeld wanneer u Microsoft Sentinel onboardt naar het geïntegreerde platform voor beveiligingsbewerkingen. Het geïntegreerde platform voor beveiligingsbewerkingen maakt gebruik van de functies voor het maken en correlatie van incidenten van Microsoft Defender XDR om die van de Fusion-engine te vervangen. Zie Geavanceerde detectie van aanvallen met meerdere fasen in Microsoft Sentinel voor meer informatie |
| Incidenten: Waarschuwingen toevoegen aan incidenten / Waarschuwingen uit incidenten verwijderen |
Alleen Defender-portal | Nadat u Microsoft Sentinel hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, kunt u geen waarschuwingen meer toevoegen aan of verwijderen uit incidenten in Azure Portal. U kunt een waarschuwing verwijderen uit een incident in de Defender-portal, maar alleen door de waarschuwing te koppelen aan een ander incident (bestaand of nieuw). |
| Incidenten: opmerkingen bewerken | Alleen Azure Portal | Nadat u Microsoft Sentinel hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, kunt u opmerkingen toevoegen aan incidenten in beide portals, maar u kunt bestaande opmerkingen niet bewerken. Wijzigingen die zijn aangebracht in opmerkingen in Azure Portal, worden niet gesynchroniseerd met het geïntegreerde platform voor beveiligingsbewerkingen. |
| Incidenten: Programmatisch en handmatig maken van incidenten | Alleen Azure Portal | Incidenten die zijn gemaakt in Microsoft Sentinel via de API, door een playbook voor logische apps of handmatig vanuit Azure Portal, worden niet gesynchroniseerd met het geïntegreerde beveiligingsbewerkingsplatform. Deze incidenten worden nog steeds ondersteund in Azure Portal en de API. Zie Uw eigen incidenten handmatig maken in Microsoft Sentinel. |
| Incidenten: gesloten incidenten opnieuw openen | Alleen Azure Portal | In het geïntegreerde platform voor beveiligingsbewerkingen kunt u geen waarschuwingsgroepering instellen in de analyseregels van Microsoft Sentinel om gesloten incidenten opnieuw te openen als er nieuwe waarschuwingen worden toegevoegd. Gesloten incidenten worden in dit geval niet opnieuw geopend en nieuwe waarschuwingen activeren nieuwe incidenten. |
| Incidenten: Taken | Alleen Azure Portal | Taken zijn niet beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen. Zie Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel voor meer informatie. |
| Beheer van meerdere werkruimten voor Microsoft Sentinel | Defender-portal: beperkt tot één Microsoft Sentinel-werkruimte per tenant Azure Portal: Meerdere Microsoft Sentinel-werkruimten centraal beheren voor tenants |
Er wordt momenteel slechts één Microsoft Sentinel-werkruimte per tenant ondersteund in het geïntegreerde platform voor beveiligingsbewerkingen. Microsoft Defender multitenant-beheer ondersteunt dus één Microsoft Sentinel-werkruimte per tenant. Raadpleeg voor meer informatie de volgende artikelen: - Defender-portal: Multitenant-beheer van Microsoft Defender - Azure Portal: Meerdere Microsoft Sentinel-werkruimten beheren met werkruimtebeheer |
Snelzoekgids
Sommige mogelijkheden van Microsoft Sentinel, zoals de geïntegreerde incidentwachtrij, zijn geïntegreerd met Microsoft Defender XDR in het geïntegreerde platform voor beveiligingsbewerkingen. Veel andere mogelijkheden van Microsoft Sentinel zijn beschikbaar in de sectie Microsoft Sentinel van de Defender-portal.
In de volgende afbeelding ziet u het menu Microsoft Sentinel in de Defender-portal:
In de volgende secties wordt beschreven waar u Microsoft Sentinel-functies kunt vinden in de Defender-portal. De secties zijn ingedeeld als Microsoft Sentinel zich in Azure Portal bevindt.
Algemeen
De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Algemeen in Azure Portal.
| Azure Portal | Defender-portal |
|---|---|
| Overzicht | Overzicht |
| Logboeken | Onderzoek en respons > Opsporing > Geavanceerde opsporing |
| Nieuws en richtlijnen | Niet beschikbaar |
| Zoeken | Microsoft Sentinel > Search |
Beveiligingsbeheer
De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Bedreigingsbeheer in Azure Portal.
| Azure Portal | Defender-portal |
|---|---|
| Incidenten | Onderzoeks- en responsincidenten > & waarschuwingen > incidenten |
| Werkmappen | Microsoft Sentinel > Threat Management-werkmappen> |
| Zoeken | Microsoft Sentinel > Threat management > Hunting |
| Notebooks | Microsoft Sentinel > Threat management > Notebooks |
| Gedrag van entiteit | Pagina Gebruikersentiteit: Assetsidentiteiten >>{user}> Sentinel-gebeurtenissen Pagina Apparaatentiteit: Apparaten >>{device}> Sentinel-gebeurtenissen Zoek ook de entiteitspagina's voor de entiteitstypen gebruiker, apparaat, IP en Azure-resource van incidenten en waarschuwingen wanneer ze worden weergegeven. |
| Informatie over bedreigingen | Bedreigingsinformatie > van Microsoft Sentinel > |
| MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Inhoudbeheer
De volgende tabel bevat de wijzigingen in de navigatie tussen de Azure- en Defender-portals voor de sectie Inhoudsbeheer in Azure Portal.
| Azure Portal | Defender-portal |
|---|---|
| Inhoudshub | Inhoudshub voor Microsoft Sentinel-inhoudsbeheer > > |
| Opslagplaatsen | Opslagplaatsen voor Inhoudsbeheer > van Microsoft Sentinel > |
| Community | Microsoft Sentinel > Content management > Community |
Configuratie
De volgende tabel bevat de wijzigingen in navigatie tussen de Azure- en Defender-portals voor de sectie Configuratie in Azure Portal.
| Azure Portal | Defender-portal |
|---|---|
| Werkruimtebeheer | Niet beschikbaar |
| Gegevensconnectors | Microsoft Sentinel > Configuration > Data-connectors |
| Analyse | Microsoft Sentinel > Configuration > Analytics |
| Volglijsten | Microsoft Sentinel > Configuration > Watchlists |
| Automation | Microsoft Sentinel-configuratieautomatisering > > |
| Instellingen | Systeeminstellingen > > Microsoft Sentinel |