Udostępnij za pośrednictwem


Usługa Microsoft Sentinel w portalu usługi Microsoft Defender

W tym artykule opisano środowisko usługi Microsoft Sentinel w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz:

Nowe i ulepszone możliwości

W poniższej tabeli opisano nowe lub ulepszone funkcje dostępne w portalu usługi Defender z integracją usług Microsoft Sentinel i Defender XDR.

Możliwości opis
Zaawansowane wyszukiwanie zagrożeń Wykonywanie zapytań z jednego portalu w różnych zestawach danych w celu zwiększenia wydajności wyszukiwania zagrożeń i usunięcia konieczności przełączania kontekstu. Użyj narzędzia Copilot for Security, aby pomóc wygenerować język KQL. Wyświetlanie i wykonywanie zapytań dotyczących wszystkich danych, w tym danych z usług zabezpieczeń firmy Microsoft i usługi Microsoft Sentinel. Użyj całej istniejącej zawartości obszaru roboczego usługi Microsoft Sentinel, w tym zapytań i funkcji.

Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
- Copilot for Security in advanced hunting (Copilot for Security in advanced hunting)
Zakłócenia ataku Wdróż automatyczne zakłócenia ataków dla oprogramowania SAP zarówno za pomocą ujednoliconej platformy operacji zabezpieczeń, jak i rozwiązania Microsoft Sentinel dla aplikacji SAP. Na przykład zawierają naruszone zasoby przez zablokowanie podejrzanych użytkowników SAP w przypadku ataku manipulowania procesami finansowymi.

Możliwości zakłóceń ataków dla oprogramowania SAP są dostępne tylko w portalu usługi Defender. Aby użyć zakłóceń w ataku na oprogramowanie SAP, zaktualizuj wersję agenta łącznika danych i upewnij się, że odpowiednia rola platformy Azure jest przypisana do tożsamości agenta.

Aby uzyskać więcej informacji, zobacz Automatyczne zakłócenia ataków dla systemu SAP.
Optymalizacje SOC Uzyskaj zalecenia o wysokiej wierności i możliwości działania, aby ułatwić identyfikowanie obszarów:
- Obniżanie kosztów
- Dodawanie mechanizmów kontroli zabezpieczeń
- Dodawanie brakujących danych
Optymalizacje SOC są dostępne w witrynach Defender i Azure Portal, są dostosowane do twojego środowiska i są oparte na bieżącym zasięgu i krajobrazie zagrożeń.

Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Optymalizowanie operacji zabezpieczeń
- Dokumentacja optymalizacji SOC zaleceń
Ujednolicone jednostki Strony jednostek dla urządzeń, użytkowników, adresów IP i zasobów platformy Azure w portalu usługi Defender zawierają informacje ze źródeł danych usługi Microsoft Sentinel i Defender. Te strony jednostek zapewniają rozszerzony kontekst do badania zdarzeń i alertów w portalu usługi Defender.

Aby uzyskać więcej informacji, zobacz Badanie jednostek za pomocą stron jednostek w usłudze Microsoft Sentinel.
Ujednolicone zdarzenia Zarządzanie zdarzeniami zabezpieczeń i badanie ich w jednej lokalizacji oraz z jednej kolejki w portalu usługi Defender. Użyj narzędzia Copilot for Security, aby podsumować, odpowiedzieć i zgłosić. Zdarzenia obejmują:
- Dane z zakresu źródeł
— Narzędzia do analizy sztucznej inteligencji do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
— Narzędzia do zmniejszania ryzyka i kontekstu oferowane przez rozszerzone wykrywanie i reagowanie (XDR)

Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Reagowanie na zdarzenia w portalu usługi Microsoft Defender
- Badanie zdarzeń usługi Microsoft Sentinel w rozwiązaniu Copilot for Security

Różnice możliwości między portalami

Większość funkcji usługi Microsoft Sentinel jest dostępna zarówno w portalach platformy Azure, jak i w usłudze Defender. W portalu usługi Defender niektóre środowiska usługi Microsoft Sentinel są otwierane w witrynie Azure Portal, aby wykonać zadanie.

W tej sekcji opisano możliwości lub integracje usługi Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń, które są dostępne tylko w witrynie Azure Portal lub portalu Usługi Defender lub w innych istotnych różnicach między portalami. Wyklucza ona środowiska usługi Microsoft Sentinel, które otwierają witrynę Azure Portal z portalu usługi Defender.

Możliwość Dostępność opis
Zaawansowane wyszukiwanie zagrożeń przy użyciu zakładek Tylko witryna Azure Portal Zakładki nie są obsługiwane w zaawansowanym środowisku wyszukiwania zagrożeń w portalu usługi Microsoft Defender. W portalu usługi Defender są one obsługiwane w usłudze Microsoft Sentinel > Threat Management > Hunting.

Aby uzyskać więcej informacji, zobacz Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel.
Zakłócenia ataków dla oprogramowania SAP Tylko portal usługi Defender Ta funkcja jest niedostępna w witrynie Azure Portal.

Aby uzyskać więcej informacji, zobacz Automatyczne zakłócenia ataków w portalu usługi Microsoft Defender.
Automation Niektóre procedury automatyzacji są dostępne tylko w witrynie Azure Portal.

Inne procedury automatyzacji są takie same w witrynach Defender i Azure Portal, ale różnią się w witrynie Azure Portal między obszarami roboczymi dołączonymi do ujednoliconej platformy operacji zabezpieczeń i obszarów roboczych, które nie są.


Aby uzyskać więcej informacji, zobacz Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń.
Łączniki danych: widoczność łączników używanych przez ujednoliconą platformę operacji zabezpieczeń Tylko witryna Azure Portal W portalu usługi Defender po dołączeniu usługi Microsoft Sentinel następujące łączniki danych będące częścią ujednoliconej platformy operacji zabezpieczeń nie są wyświetlane na stronie Łączniki danych:
  • Microsoft Defender for Cloud Apps
  • Usługa Microsoft Defender dla punktu końcowego
  • Microsoft Defender for Identity
  • Ochrona usługi Office 365 w usłudze Microsoft Defender (wersja zapoznawcza)
  • Microsoft Defender XDR
  • Microsoft Defender dla Chmury oparte na subskrypcji (starsza wersja)
  • Microsoft Defender dla Chmury oparte na dzierżawie (wersja zapoznawcza)

    W witrynie Azure Portal te łączniki danych są nadal wyświetlane z zainstalowanymi łącznikami danych w usłudze Microsoft Sentinel.
  • Jednostki: dodawanie jednostek do analizy zagrożeń ze zdarzeń Tylko witryna Azure Portal Ta funkcja jest niedostępna na ujednoliconej platformie operacji zabezpieczeń.

    Aby uzyskać więcej informacji, zobacz Dodawanie jednostki do wskaźników zagrożeń.
    Łączenie: Zaawansowane wieloestowe wykrywanie ataków Tylko witryna Azure Portal Reguła analizy fusion, która tworzy zdarzenia na podstawie korelacji alertów dokonanych przez aparat korelacji fusion, jest wyłączona podczas dołączania usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń.

    Ujednolicona platforma operacji zabezpieczeń używa funkcji tworzenia i korelacji zdarzeń usługi Microsoft Defender XDR, aby zastąpić funkcje aparatu Fusion.

    Aby uzyskać więcej informacji, zobacz Advanced multistage attack detection in Microsoft Sentinel (Zaawansowane wykrywanie ataków wieloestanowych w usłudze Microsoft Sentinel)
    Zdarzenia: dodawanie alertów do zdarzeń /
    Usuwanie alertów ze zdarzeń
    Tylko portal usługi Defender Po dołączeniu usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń nie można już dodawać alertów ani usuwać alertów ze zdarzeń w witrynie Azure Portal.

    Alert można usunąć ze zdarzenia w portalu usługi Defender, ale tylko przez połączenie alertu z innym incydentem (istniejącym lub nowym).
    Zdarzenia: edytowanie komentarzy Tylko witryna Azure Portal Po dołączeniu usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń można dodawać komentarze do zdarzeń w obu portalach, ale nie można edytować istniejących komentarzy.

    Zmiany wprowadzone w komentarzach w witrynie Azure Portal nie są synchronizowane z ujednoliconą platformą operacji zabezpieczeń.
    Zdarzenia: Programowe i ręczne tworzenie zdarzeń Tylko witryna Azure Portal Zdarzenia utworzone w usłudze Microsoft Sentinel za pośrednictwem interfejsu API, podręcznika aplikacji logiki lub ręcznie z witryny Azure Portal, nie są synchronizowane z ujednoliconą platformą operacji zabezpieczeń. Te zdarzenia są nadal obsługiwane w witrynie Azure Portal i interfejsie API. Zobacz Ręczne tworzenie własnych zdarzeń w usłudze Microsoft Sentinel.
    Zdarzenia: Ponowne otwieranie zamkniętych zdarzeń Tylko witryna Azure Portal Na ujednoliconej platformie operacji zabezpieczeń nie można ustawić grupowania alertów w regułach analizy usługi Microsoft Sentinel w celu ponownego otwarcia zamkniętych zdarzeń w przypadku dodania nowych alertów.
    Zamknięte zdarzenia nie są ponownie otwierane w tym przypadku, a nowe alerty wyzwalają nowe zdarzenia.
    Zdarzenia: zadania Tylko witryna Azure Portal Zadania są niedostępne na ujednoliconej platformie operacji zabezpieczeń.

    Aby uzyskać więcej informacji, zobacz Używanie zadań do zarządzania zdarzeniami w usłudze Microsoft Sentinel.
    Zarządzanie wieloma obszarami roboczymi dla usługi Microsoft Sentinel Portal usługi Defender: ograniczony do jednego obszaru roboczego usługi Microsoft Sentinel na dzierżawę

    Witryna Azure Portal: centralnie zarządzaj wieloma obszarami roboczymi usługi Microsoft Sentinel dla dzierżaw
    W ujednoliconej platformie operacji zabezpieczeń jest obecnie obsługiwany tylko jeden obszar roboczy usługi Microsoft Sentinel na dzierżawę. Dlatego wielodostępne zarządzanie usługą Microsoft Defender obsługuje jeden obszar roboczy usługi Microsoft Sentinel na dzierżawę.

    Aby uzyskać więcej informacji, zobacz następujące artykuły:
    — Portal usługi Defender: zarządzanie wielodostępne w usłudze Microsoft Defender
    — Witryna Azure Portal: zarządzanie wieloma obszarami roboczymi usługi Microsoft Sentinel za pomocą menedżera obszaru roboczego

    Krótki przewodnik

    Niektóre funkcje usługi Microsoft Sentinel, takie jak ujednolicona kolejka zdarzeń, są zintegrowane z usługą Microsoft Defender XDR na ujednoliconej platformie operacji zabezpieczeń. Wiele innych funkcji usługi Microsoft Sentinel jest dostępnych w sekcji Microsoft Sentinel w portalu usługi Defender.

    Na poniższej ilustracji przedstawiono menu usługi Microsoft Sentinel w portalu usługi Defender:

    Zrzut ekranu przedstawiający lewą nawigację w portalu defender z sekcją Microsoft Sentinel.

    W poniższych sekcjach opisano, gdzie znaleźć funkcje usługi Microsoft Sentinel w portalu usługi Defender. Sekcje są zorganizowane, ponieważ usługa Microsoft Sentinel znajduje się w witrynie Azure Portal.

    Ogólne

    W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portals dla sekcji Ogólne w witrynie Azure Portal.

    Azure Portal Portal usługi Defender
    Omówienie Omówienie
    Dzienniki Badanie i wyszukiwanie odpowiedzi > Zaawansowane > wyszukiwanie zagrożeń
    Wiadomości i przewodniki Niedostępny
    Search Wyszukiwanie w usłudze Microsoft Sentinel >

    Zarządzanie zagrożeniami

    W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portals w sekcji Zarządzanie zagrożeniami w witrynie Azure Portal.

    Azure Portal Portal usługi Defender
    Zdarzenia Zdarzenia i alerty > dotyczące badania i reagowania >
    Skoroszyty Skoroszyty zarządzania zagrożeniami> w usłudze Microsoft Sentinel >
    Wyszukiwanie zagrożeń Wyszukiwanie zagrożeń w usłudze > Microsoft Sentinel >
    Notesy Notesy zarządzania zagrożeniami > w usłudze Microsoft Sentinel >
    Zachowanie jednostki Strona jednostki użytkownika: Tożsamości >zasobów > {user}> Zdarzenia usługi Sentinel
    Strona jednostki urządzenia: Urządzenia zawartości > >{device}> Zdarzenia usługi Sentinel

    Ponadto znajdź strony jednostek dla użytkowników, urządzeń, adresów IP i typów jednostek zasobów platformy Azure z incydentów i alertów w miarę ich wyświetlania.
    Analiza zagrożeń Analiza zagrożeń zarządzania zagrożeniami > w usłudze Microsoft Sentinel >
    MITRE ATT&CK Zarządzanie zagrożeniami > w usłudze Microsoft Sentinel > MITRE ATT&CK

    Zarządzanie zawartością

    W poniższej tabeli wymieniono zmiany nawigacji między portalami platformy Azure i usługi Defender dla sekcji Zarządzanie zawartością w witrynie Azure Portal.

    Azure Portal Portal usługi Defender
    Centrum zawartości Centrum zawartości zarządzania zawartością > usługi Microsoft Sentinel >
    Repozytoria Repozytoria zarządzania zawartością > usługi Microsoft Sentinel >
    Społeczność Społeczność zarządzania zawartością > usługi Microsoft Sentinel >

    Konfigurowanie

    W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portal dla sekcji Konfiguracja w witrynie Azure Portal.

    Azure Portal Portal usługi Defender
    Menedżer obszaru roboczego Niedostępny
    Łączniki danych Łączniki danych konfiguracji > usługi Microsoft Sentinel >
    Analiza Analiza konfiguracji > usługi Microsoft Sentinel >
    Listy do obejrzenia Lista obserwowanych konfiguracji > usługi Microsoft Sentinel >
    Automation Automatyzacja konfiguracji > usługi Microsoft Sentinel >
    Ustawienia Ustawienia > systemowe > usługi Microsoft Sentinel