Usługa Microsoft Sentinel w portalu usługi Microsoft Defender (wersja zapoznawcza)
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz:
- Ujednolicona platforma operacji zabezpieczeń z usługami Microsoft Sentinel i Defender XDR
- Połączenie usługi Microsoft Sentinel do usługi Microsoft Defender XDR
W tym artykule opisano środowisko usługi Microsoft Sentinel w portalu usługi Microsoft Defender.
Ważne
Informacje zawarte w tym artykule odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed jego wydaniem komercyjnie. Firma Microsoft nie udziela żadnych gwarancji, jawnych lub domniemanych, w odniesieniu do informacji podanych w tym miejscu.
Nowe i ulepszone możliwości
W poniższej tabeli opisano nowe lub ulepszone funkcje dostępne w portalu usługi Defender z integracją usług Microsoft Sentinel i Defender XDR.
| Możliwości | opis |
|---|---|
| Zaawansowane wyszukiwanie zagrożeń | Wykonywanie zapytań z jednego portalu w różnych zestawach danych w celu zwiększenia wydajności wyszukiwania zagrożeń i usunięcia konieczności przełączania kontekstu. Wyświetlanie i wykonywanie zapytań dotyczących wszystkich danych, w tym danych z usług zabezpieczeń firmy Microsoft i usługi Microsoft Sentinel. Użyj całej istniejącej zawartości obszaru roboczego usługi Microsoft Sentinel, w tym zapytań i funkcji. Aby uzyskać więcej informacji, zobacz Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender. |
| Zakłócenia ataku | Wdróż automatyczne zakłócenia ataków dla oprogramowania SAP zarówno za pomocą ujednoliconej platformy operacji zabezpieczeń, jak i rozwiązania Microsoft Sentinel dla aplikacji SAP. Na przykład zawierają naruszone zasoby przez zablokowanie podejrzanych użytkowników SAP w przypadku ataku manipulowania procesami finansowymi. Możliwości zakłóceń ataków dla oprogramowania SAP są dostępne tylko w portalu usługi Defender. Aby użyć zakłóceń w ataku na oprogramowanie SAP, zaktualizuj wersję agenta łącznika danych i upewnij się, że odpowiednia rola platformy Azure jest przypisana do tożsamości agenta. Aby uzyskać więcej informacji, zobacz Automatyczne zakłócenia ataków dla oprogramowania SAP (wersja zapoznawcza). |
| Ujednolicone jednostki | Strony jednostek dla urządzeń, użytkowników, adresów IP i zasobów platformy Azure w portalu usługi Defender zawierają informacje ze źródeł danych usługi Microsoft Sentinel i Defender. Te strony jednostek zapewniają rozszerzony kontekst do badania zdarzeń i alertów w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Badanie jednostek za pomocą stron jednostek w usłudze Microsoft Sentinel. |
| Ujednolicone zdarzenia | Zarządzanie zdarzeniami zabezpieczeń i badanie ich w jednej lokalizacji oraz z jednej kolejki w portalu usługi Defender. Zdarzenia obejmują: - Dane z zakresu źródeł — Narzędzia do analizy sztucznej inteligencji do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) — Narzędzia do zmniejszania ryzyka i kontekstu oferowane przez rozszerzone wykrywanie i reagowanie (XDR) Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia w portalu usługi Microsoft Defender. |
Różnice możliwości między portalami
Większość funkcji usługi Microsoft Sentinel jest dostępna zarówno w portalach platformy Azure, jak i w usłudze Defender. W portalu usługi Defender niektóre środowiska usługi Microsoft Sentinel są otwierane w witrynie Azure Portal, aby wykonać zadanie.
W tej sekcji opisano możliwości lub integracje usługi Microsoft Sentinel na ujednoliconej platformie operacji zabezpieczeń, które są dostępne tylko w witrynie Azure Portal lub portalu Usługi Defender lub w innych istotnych różnicach między portalami. Wyklucza ona środowiska usługi Microsoft Sentinel, które otwierają witrynę Azure Portal z portalu usługi Defender.
| Możliwość | Dostępność | opis |
|---|---|---|
| Zaawansowane wyszukiwanie zagrożeń przy użyciu zakładek | Tylko witryna Azure Portal | Zakładki nie są obsługiwane w zaawansowanym środowisku wyszukiwania zagrożeń w portalu usługi Microsoft Defender. W portalu usługi Defender są one obsługiwane w usłudze Microsoft Sentinel > Threat Management > Hunting. Aby uzyskać więcej informacji, zobacz Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel. |
| Zakłócenia ataków dla oprogramowania SAP | Tylko portal usługi Defender | Ta funkcja jest niedostępna w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Automatyczne zakłócenia ataków w portalu usługi Microsoft Defender. |
| Automation | Niektóre procedury automatyzacji są dostępne tylko w witrynie Azure Portal. Inne procedury automatyzacji są takie same w witrynach Defender i Azure Portal, ale różnią się w witrynie Azure Portal między obszarami roboczymi dołączonymi do ujednoliconej platformy operacji zabezpieczeń i obszarów roboczych, które nie są. |
Aby uzyskać więcej informacji, zobacz Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń. |
| Łączniki danych: widoczność łączników używanych przez ujednoliconą platformę operacji zabezpieczeń | Tylko witryna Azure Portal | W portalu usługi Defender po dołączeniu usługi Microsoft Sentinel następujące łączniki danych będące częścią ujednoliconej platformy operacji zabezpieczeń nie są wyświetlane na stronie Łączniki danych: W witrynie Azure Portal te łączniki danych są nadal wyświetlane z zainstalowanymi łącznikami danych w usłudze Microsoft Sentinel. |
| Jednostki: dodawanie jednostek do analizy zagrożeń ze zdarzeń | Tylko witryna Azure Portal | Ta funkcja jest niedostępna na ujednoliconej platformie operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Dodawanie jednostki do wskaźników zagrożeń. |
| Łączenie: Zaawansowane wieloestowe wykrywanie ataków | Tylko witryna Azure Portal | Reguła analizy fusion, która tworzy zdarzenia na podstawie korelacji alertów dokonanych przez aparat korelacji fusion, jest wyłączona podczas dołączania usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń. Ujednolicona platforma operacji zabezpieczeń używa funkcji tworzenia i korelacji zdarzeń usługi Microsoft Defender XDR, aby zastąpić funkcje aparatu Fusion. Aby uzyskać więcej informacji, zobacz Advanced multistage attack detection in Microsoft Sentinel (Zaawansowane wykrywanie ataków wieloestanowych w usłudze Microsoft Sentinel) |
| Zdarzenia: dodawanie alertów do zdarzeń / Usuwanie alertów ze zdarzeń |
Tylko portal usługi Defender | Po dołączeniu usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń nie można już dodawać alertów ani usuwać alertów ze zdarzeń w witrynie Azure Portal. Alert można usunąć ze zdarzenia w portalu usługi Defender, ale tylko przez połączenie alertu z innym incydentem (istniejącym lub nowym). |
| Zdarzenia: edytowanie komentarzy | Tylko witryna Azure Portal | Po dołączeniu usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń można dodawać komentarze do zdarzeń w obu portalach, ale nie można edytować istniejących komentarzy. Zmiany wprowadzone w komentarzach w witrynie Azure Portal nie są synchronizowane z ujednoliconą platformą operacji zabezpieczeń. |
| Zdarzenia: Programowe i ręczne tworzenie zdarzeń | Tylko witryna Azure Portal | Zdarzenia utworzone w usłudze Microsoft Sentinel za pośrednictwem interfejsu API, podręcznika aplikacji logiki lub ręcznie z witryny Azure Portal, nie są synchronizowane z ujednoliconą platformą operacji zabezpieczeń. Te zdarzenia są nadal obsługiwane w witrynie Azure Portal i interfejsie API. Zobacz Ręczne tworzenie własnych zdarzeń w usłudze Microsoft Sentinel. |
| Zdarzenia: Ponowne otwieranie zamkniętych zdarzeń | Tylko witryna Azure Portal | Na ujednoliconej platformie operacji zabezpieczeń nie można ustawić grupowania alertów w regułach analizy usługi Microsoft Sentinel w celu ponownego otwarcia zamkniętych zdarzeń w przypadku dodania nowych alertów. Zamknięte zdarzenia nie są ponownie otwierane w tym przypadku, a nowe alerty wyzwalają nowe zdarzenia. |
| Zdarzenia: zadania | Tylko witryna Azure Portal | Zadania są niedostępne na ujednoliconej platformie operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Używanie zadań do zarządzania zdarzeniami w usłudze Microsoft Sentinel. |
Krótki przewodnik
Niektóre funkcje usługi Microsoft Sentinel, takie jak ujednolicona kolejka zdarzeń, są zintegrowane z usługą Microsoft Defender XDR na ujednoliconej platformie operacji zabezpieczeń. Wiele innych funkcji usługi Microsoft Sentinel jest dostępnych w sekcji Microsoft Sentinel w portalu usługi Defender.
Na poniższej ilustracji przedstawiono menu usługi Microsoft Sentinel w portalu usługi Defender:
W poniższych sekcjach opisano, gdzie znaleźć funkcje usługi Microsoft Sentinel w portalu usługi Defender. Sekcje są zorganizowane, ponieważ usługa Microsoft Sentinel znajduje się w witrynie Azure Portal.
Ogólne
W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portals dla sekcji Ogólne w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Omówienie | Omówienie |
| Dzienniki | Badanie i wyszukiwanie odpowiedzi > Zaawansowane > wyszukiwanie zagrożeń |
| Wiadomości i przewodniki | Niedostępny |
| Search | Wyszukiwanie w usłudze Microsoft Sentinel > |
Zarządzanie zagrożeniami
W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portals w sekcji Zarządzanie zagrożeniami w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Zdarzenia | Zdarzenia i alerty > dotyczące badania i reagowania > |
| Skoroszyty | Skoroszyty zarządzania zagrożeniami> w usłudze Microsoft Sentinel > |
| Wyszukiwanie zagrożeń | Wyszukiwanie zagrożeń w usłudze > Microsoft Sentinel > |
| Notesy | Notesy zarządzania zagrożeniami > w usłudze Microsoft Sentinel > |
| Zachowanie jednostki | Strona jednostki użytkownika: Tożsamości >zasobów > {user}> Zdarzenia usługi Sentinel Strona jednostki urządzenia: Urządzenia zawartości >>{device}> Zdarzenia usługi Sentinel Ponadto znajdź strony jednostek dla użytkowników, urządzeń, adresów IP i typów jednostek zasobów platformy Azure z incydentów i alertów w miarę ich wyświetlania. |
| Analiza zagrożeń | Analiza zagrożeń zarządzania zagrożeniami > w usłudze Microsoft Sentinel > |
| MITRE ATT&CK | Zarządzanie zagrożeniami > w usłudze Microsoft Sentinel > MITRE ATT&CK |
Zarządzanie zawartością
W poniższej tabeli wymieniono zmiany nawigacji między portalami platformy Azure i usługi Defender dla sekcji Zarządzanie zawartością w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Centrum zawartości | Centrum zawartości zarządzania zawartością > usługi Microsoft Sentinel > |
| Repozytoria | Repozytoria zarządzania zawartością > usługi Microsoft Sentinel > |
| Społeczność | Niedostępny |
Konfigurowanie
W poniższej tabeli wymieniono zmiany w nawigacji między witrynami Azure i Defender Portal dla sekcji Konfiguracja w witrynie Azure Portal.
| Azure Portal | Portal usługi Defender |
|---|---|
| Menedżer obszaru roboczego | Niedostępny |
| Łączniki danych | Łączniki danych konfiguracji > usługi Microsoft Sentinel > |
| Analiza | Analiza konfiguracji > usługi Microsoft Sentinel > |
| Listy do obejrzenia | Lista obserwowanych konfiguracji > usługi Microsoft Sentinel > |
| Automation | Automatyzacja konfiguracji > usługi Microsoft Sentinel > |
| Ustawienia | System > Ustawienia > Microsoft Sentinel |