Microsoft Sentinel verbinden met de Microsoft Defender-portal

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender portal, met of zonder Microsoft Defender XDR of een E5-licentie. Door Microsoft Sentinel in de Defender-portal te gebruiken in combinatie met Microsoft Defender XDR services, kunt u mogelijkheden zoals incidentbeheer en geavanceerde opsporing samenvoegen. Verminder het schakelen tussen hulpprogramma's en bouw een meer contextgericht onderzoek dat de reactie op incidenten versnelt en inbreuken sneller stopt.

Dit artikel is relevant voor klanten van wie Microsoft Sentinel werkruimten nog niet zijn verbonden met de Defender-portal. In veel gevallen worden klanten die na 1 juli 2025 onboarden naar Microsoft Sentinel automatisch onboarding naar de Defender-portal uitgevoerd.

Zie voor meer informatie:

• Wat zijn geïntegreerde beveiligingsbewerkingen?
• Microsoft Sentinel in de Microsoft Defender-portal
• Microsoft Defender XDR integratie met Microsoft Sentinel

Vereisten

Voordat u begint, raadpleegt u de functiedocumentatie voor meer informatie over de productwijzigingen en -beperkingen.

• Microsoft Sentinel in de Microsoft Defender-portal
• Geavanceerde opsporing in de Microsoft Defender-portal
• Waarschuwingen, incidenten en correlatie in Microsoft Defender XDR
• Microsoft Sentinel automatisering in de Defender-portal

De Microsoft Defender portal ondersteunt één Microsoft Entra tenant en de verbinding met een primaire werkruimte en meerdere secundaire werkruimten. Als u slechts één werkruimte hebt wanneer u Microsoft Sentinel onboardt, wordt die werkruimte aangewezen als de primaire werkruimte. Zie Meerdere Microsoft Sentinel werkruimten in de Defender-portal voor meer informatie. In de context van dit artikel is een werkruimte een Log Analytics-werkruimte waarvoor Microsoft Sentinel ingeschakeld.

vereisten voor Microsoft Sentinel

Als u Microsoft Sentinel in de Defender-portal wilt onboarden en gebruiken, moet u beschikken over de volgende resources en toegang:

• Een Log Analytics-werkruimte waarvoor Microsoft Sentinel is ingeschakeld

• Een Azure-account met de juiste rollen voor het onboarden, gebruiken en maken van ondersteuningsaanvragen voor Microsoft Sentinel in de Defender-portal. U ziet geen werkruimten in de Defender-portal voor onboarding als u niet over de vereiste machtigingen beschikt. In de volgende tabel worden enkele belangrijke rollen weergegeven die nodig zijn.

  Taak	Microsoft Entra of Azure ingebouwde rol vereist	Bereik
  Onboard Microsoft Sentinel naar de Defender-portal	Globale beheerder of beveiligingsbeheerder in Microsoft Entra ID EN Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender	Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender
  Een secundaire werkruimte verbinden of verbreken	Globale beheerder of beveiligingsbeheerder in Microsoft Entra ID EN Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender	Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender
  De primaire werkruimte wijzigen	Globale beheerder of beveiligingsbeheerder in Microsoft Entra ID EN Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender	Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender
  Microsoft Sentinel weergeven in de Defender-portal	Microsoft Sentinel lezer	Abonnements-, resourcegroep- of werkruimteresource
  Query uitvoeren Microsoft Sentinel gegevenstabellen of incidenten weergeven	Microsoft Sentinel lezer of een rol met de volgende acties: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonnements-, resourcegroep- of werkruimteresource
  Onderzoekacties uitvoeren voor incidenten	Microsoft Sentinel inzender of een rol met de volgende acties: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnements-, resourcegroep- of werkruimteresource
  Een ondersteuningsaanvraag maken	Eigenaar , inzender of inzender van ondersteuningsaanvraag of een aangepaste rol bij Microsoft.Support/*	Abonnement

  Als u met meerdere tenants werkt, houd er dan rekening mee dat gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP) met Azure Lighthouse niet worden ondersteund voor Microsoft Sentinel gegevens in de Defender-portal. Gebruik in plaats daarvan Microsoft Entra B2B-verificatie. Zie Microsoft Defender multitenantbeheer instellen voor meer informatie.

  Nadat u Microsoft Sentinel verbinding hebt gemaakt met de Defender-portal, kunt u met uw bestaande RBAC-machtigingen (Azure op rollen gebaseerd toegangsbeheer) werken met de Microsoft Sentinel functies waartoe u toegang hebt. Ga door met het beheren van rollen en machtigingen voor uw Microsoft Sentinel gebruikers vanuit de Azure Portal, omdat eventuele Azure RBAC-wijzigingen worden doorgevoerd in de Defender-portal.

  Zie Rollen en machtigingen in Microsoft Sentinel en Toegang tot Microsoft Sentinel gegevens beheren per resource voor meer informatie.

  Belangrijk

  Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Vereisten voor geïntegreerde beveiligingsbewerkingen

Als u Microsoft Defender XDR en Microsoft Sentinel beveiligingsbewerkingen in de Defender-portal wilt samenvoegen, moet u beschikken over de volgende resources en toegang:

• Licenties voor Defender XDR, zoals beschreven in Microsoft Defender XDR vereisten
• Account voor Defender XDR is lid van dezelfde Microsoft Entra tenant waaraan Microsoft Sentinel is gekoppeld
• Toegang tot Microsoft Defender XDR in de Defender-portal, zoals beschreven in Microsoft Defender XDR vereisten

Indien van toepassing, moet u aan deze vereisten voltooien:

Service	Vereiste
Microsoft Purview-intern risicobeheer	Als uw organisatie gebruikmaakt van Microsoft Purview Beheer van insider-risico's, integreert u die gegevens door de gegevensconnector Microsoft 365 Insider Risk Management in te schakelen op uw primaire werkruimte voor Microsoft Sentinel. Schakel die connector uit op secundaire werkruimten voor Microsoft Sentinel die u wilt onboarden naar de Defender-portal. - Installeer de Microsoft Purview Beheer van insider-risico's-oplossing vanuit de hub Inhoud op de primaire werkruimte. - Configureer de gegevensconnector. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.
Microsoft Defender voor Cloud	Defender for Cloud-incidenten streamen die zijn gecorreleerd tussen alle abonnementen van de tenant naar de primaire werkruimte voor Microsoft Sentinel: - Verbind de op tenant gebaseerde Microsoft Defender voor cloudgegevensconnector (preview) in de primaire werkruimte. - Koppel de connector voor waarschuwingen voor Microsoft Defender op basis van abonnement voor cloudwaarschuwingen (verouderd) los van alle werkruimten in de tenant. Als u gecorreleerde tenantgegevens voor Defender for Cloud niet naar de primaire werkruimte wilt streamen, blijft u de connector Abonnementsgebaseerde Microsoft Defender voor Cloud (verouderd) gebruiken in uw werkruimten. Zie Opnemen Microsoft Defender voor cloudincidenten met Microsoft Defender XDR-integratie voor meer informatie.

Onboard Microsoft Sentinel

In deze procedure wordt beschreven hoe u een werkruimte met Microsoft Sentinel kunt onboarden naar de Defender-portal.

1. Ga naar de Microsoft Defender-portal en meld u aan.
2. Selecteer Systeeminstellingen>>Microsoft Sentinel>Verbinding maken met een werkruimte.
3. Selecteer de werkruimten die u wilt verbinden en selecteer Volgende.
4. Selecteer de primaire werkruimte.
5. Lees en begrijp de productwijzigingen die zijn gekoppeld aan het verbinden van uw werkruimte.
6. Selecteer Verbinding maken.

Nadat uw werkruimte is verbonden, geeft de banner op de startpagina aan dat uw omgeving gereed is. De startpagina wordt bijgewerkt met nieuwe secties met metrische gegevens van Microsoft Sentinel, zoals het aantal gegevensconnectors en automatiseringsregels.

Verken Microsoft Sentinel functies in de Defender-portal

Nadat u uw werkruimte hebt verbonden met de Defender-portal, bevindt Microsoft Sentinel zich in het navigatiedeelvenster aan de linkerkant. Als u Defender XDR hebt ingeschakeld, bevatten pagina's zoals Start, Incidenten en Geavanceerde opsporing geïntegreerde gegevens uit de primaire werkruimte voor Microsoft Sentinel en Defender XDR. Als u Defender XDR niet hebt ingeschakeld, bevatten deze pagina's alleen gegevens van Microsoft Sentinel. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie over de geïntegreerde mogelijkheden en verschillen tussen portals.

Veel van de bestaande Microsoft Sentinel-functies zijn geïntegreerd in de Defender-portal. Voor deze functies ziet u dat de ervaring tussen Microsoft Sentinel in de Azure Portal en Defender-portal vergelijkbaar is. Gebruik de volgende artikelen om aan de slag te gaan met Microsoft Sentinel in de Defender-portal. Wanneer u deze artikelen gebruikt, moet u er rekening mee houden dat het uitgangspunt in deze context de Defender-portal is in plaats van de Azure Portal.

Functiecategorie	Koppelingen
Zoeken	- Zoeken in lange tijdsperioden in grote gegevenssets - Gearchiveerde logboeken herstellen vanuit zoeken
Risicobeheer	- Uw gegevens visualiseren en bewaken met behulp van werkmappen - End-to-end opsporing van bedreigingen uitvoeren met Hunts - Opsporingsbladwijzers gebruiken voor gegevensonderzoek - Opsporings livestream in Microsoft Sentinel gebruiken om bedreigingen te detecteren - Beveiligingsrisico's opsporen met Jupyter-notebooks - Indicatoren bulksgewijs toevoegen aan Microsoft Sentinel bedreigingsinformatie uit een CSV- of JSON-bestand - Werken met bedreigingsindicatoren in Microsoft Sentinel - Informatie over beveiligingsdekking door het MITRE ATT&CK-framework
Inhoudsbeheer	- Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren - Microsoft Sentinel inhoudshubcatalogus - Aangepaste inhoud implementeren vanuit uw opslagplaats
Configuratie	- Uw Microsoft Sentinel-gegevensconnector zoeken - Aangepaste analyseregels maken om bedreigingen te detecteren - Werken met nrt-detectieanalyseregels (near-real-time) in Microsoft Sentinel - Volglijsten maken - Volglijsten beheren in Microsoft Sentinel - Automatiseringsregels maken - Microsoft Sentinel playbooks maken en aanpassen vanuit inhoudssjablonen

Zoek Microsoft Sentinel instellingen in de Defender-portal onderSysteeminstellingen>>Microsoft Sentinel.

De primaire werkruimte wijzigen

U kunt slechts één primaire werkruimte tegelijk verbinden met de Defender-portal. Maar u kunt de primaire werkruimte wijzigen.

1. Ga in de Defender-portal naar Systeeminstellingen>>Microsoft Sentinel>Werkruimten.
2. Selecteer de naam van de werkruimte die u als primaire werkruimte wilt maken.
3. Selecteer Instellen als primair.
4. Lees en begrijp de productwijzigingen die zijn gekoppeld aan het wijzigen van de primaire werkruimte.
5. Selecteer Bevestigen en doorgaan.

Wanneer u de primaire werkruimte voor Microsoft Sentinel overschakelt, wordt de Defender XDR-connector automatisch verbonden met de nieuwe primaire en wordt de verbinding met de vorige connector automatisch verbroken. Zie Meerdere Microsoft Sentinel werkruimten in de Defender-portal voor meer informatie.

Offboard Microsoft Sentinel

Als u besluit een werkruimte te offboarden vanuit de Defender-portal, koppelt u de werkruimte los van de instellingen voor Microsoft Sentinel.

Als in uw werkruimte de Microsoft Defender XDR-connector is geconfigureerd, wordt de verbinding met de Microsoft Defender XDR-connector ook verbroken als u de werkruimte vanuit de Defender-portal offboardt.

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Selecteer in de Defender-portal onder Systeemde optie Instellingen>Microsoft Sentinel.

3. Selecteer op de pagina Werkruimten de verbonden werkruimte en Werkruimte loskoppelen.

4. Geef een reden op waarom u de verbinding met de werkruimte verbreekt.

5. Bevestig uw selectie.

   Wanneer de verbinding met uw werkruimte is verbroken, wordt de sectie Microsoft Sentinel verwijderd uit de navigatie aan de linkerkant van de Defender-portal. Gegevens van Microsoft Sentinel worden niet meer opgenomen op de startpagina.

Als u verbinding wilt maken met een andere werkruimte, selecteert u op de pagina Werkruimten de werkruimte en verbindt u een werkruimte.

Verwante onderwerpen

• Microsoft Sentinel in de Microsoft Defender-portal
• Geavanceerde opsporing in de Microsoft Defender-portal
• Automatische aanvalsonderbreking in Microsoft Defender XDR
• Incidenten onderzoeken in Microsoft Defender portal
• Uw beveiligingsbewerkingen optimaliseren