Łączenie Microsoft Sentinel z portalem Microsoft Defender

Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, z licencją Microsoft Defender XDR lub bez licencji E5. Korzystając z Microsoft Sentinel w portalu usługi Defender wraz z usługami Microsoft Defender XDR, ujednolicasz możliwości, takie jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia.

Ten artykuł jest odpowiedni dla klientów, których Microsoft Sentinel obszary robocze nie są jeszcze połączone z portalem usługi Defender. W wielu przypadkach klienci dołączający do Microsoft Sentinel po 1 lipca 2025 r. są automatycznie dołączane do portalu usługi Defender.

Więcej informacji można znaleźć w następujących artykułach:

• Co to są ujednolicone operacje zabezpieczeń?
• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• integracja Microsoft Defender XDR z Microsoft Sentinel

Wymagania wstępne

Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu.

• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
• Alerty, zdarzenia i korelacja w Microsoft Defender XDR
• Microsoft Sentinel automatyzacji w portalu usługi Defender

Portal Microsoft Defender obsługuje jedną dzierżawę Microsoft Entra oraz połączenie z podstawowym obszarem roboczym i wieloma pomocniczymi obszarami roboczymi. Jeśli podczas dołączania Microsoft Sentinel masz tylko jeden obszar roboczy, ten obszar roboczy jest wyznaczony jako podstawowy obszar roboczy. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną Microsoft Sentinel.

Microsoft Sentinel wymagania wstępne

Aby dołączyć i używać Microsoft Sentinel w portalu usługi Defender, musisz mieć następujące zasoby i dostęp:

• Obszar roboczy usługi Log Analytics z włączoną Microsoft Sentinel

• Konto platformy Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla Microsoft Sentinel w portalu usługi Defender. W portalu usługi Defender nie będą widoczne obszary robocze, do których nie masz wymaganych uprawnień. W poniższej tabeli przedstawiono niektóre z kluczowych ról.

  Zadanie	wymagana wbudowana rola Microsoft Entra lub azure	Zakres
  Dołączanie Microsoft Sentinel do portalu usługi Defender	Jeden z następujących elementów w Tożsamość Microsoft Entra: - właściciel subskrypcji administrator globalny AND - Administrator zabezpieczeńWłaściciel subskrypcji AND - administrator globalny I administrator dostępu użytkowników oraz współautor Microsoft Sentinel - Administrator zabezpieczeń ADMINISTRATOR DOSTĘPU UŻYTKOWNIKÓW I współautor Microsoft Sentinel	Dzierżawca
  Łączenie lub rozłączanie pomocniczego obszaru roboczego	Jedna z następujących czynności: - właściciel subskrypcji administrator globalny AND - Administrator zabezpieczeńWłaściciel subskrypcji AND - administrator globalny I administrator dostępu użytkowników oraz współautor Microsoft Sentinel - Administrator zabezpieczeń ADMINISTRATOR DOSTĘPU UŻYTKOWNIKÓW I współautor Microsoft Sentinel — Właściciel subskrypcji - Administrator dostępu użytkowników I współautor Microsoft Sentinel	— Role właściciela subskrypcji lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor
  Zmienianie podstawowego obszaru roboczego	administrator globalny lub administrator zabezpieczeń w Tożsamość Microsoft Entra	Dzierżawca
  Wyświetlanie Microsoft Sentinel w portalu usługi Defender	czytelnik Microsoft Sentinel	Subskrypcja, grupa zasobów lub zasób obszaru roboczego
  Wykonywanie zapytań Microsoft Sentinel tabel danych lub wyświetlanie zdarzeń	Microsoft Sentinel czytelnika lub rolę z następującymi akcjami: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Subskrypcja, grupa zasobów lub zasób obszaru roboczego
  Podjęcie działań dochodzeniowych w sprawie zdarzeń	Microsoft Sentinel współautora lub rolę z następującymi akcjami: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Subskrypcja, grupa zasobów lub zasób obszaru roboczego
  Tworzenie wniosku o pomoc techniczną	Właściciel, współautor lub współautor żądania pomocy technicznej lub rola niestandardowa w witrynie Microsoft.Support/*	Subskrypcja

  Po nawiązaniu połączenia Microsoft Sentinel z portalem usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają pracę z funkcjami Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami dla użytkowników Microsoft Sentinel z Azure Portal, ponieważ wszelkie zmiany rbac platformy Azure są odzwierciedlane w portalu usługi Defender.

  Aby uzyskać więcej informacji, zobacz Role i uprawnienia w Microsoft Sentinel i Zarządzanie dostępem do Microsoft Sentinel danych według zasobu.

  Ważna

  Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Wymagania wstępne dotyczące ujednoliconych operacji zabezpieczeń

Aby ujednolicić operacje zabezpieczeń Microsoft Defender XDR i Microsoft Sentinel w portalu usługi Defender, musisz mieć następujące zasoby i dostęp:

• Licencjonowanie Defender XDR zgodnie z opisem w temacie Microsoft Defender XDR wymagania wstępne
• Konto Defender XDR jest członkiem tej samej dzierżawy Microsoft Entra, z którą jest skojarzony Microsoft Sentinel
• Dostęp do Microsoft Defender XDR w portalu usługi Defender zgodnie z opisem w temacie Microsoft Defender XDR wymagania wstępne

Jeśli ma to zastosowanie, wykonaj następujące wymagania wstępne:

Usługa	Wymagania wstępne
Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview	Jeśli Organizacja używa Zarządzanie ryzykiem wewnętrznym w Microsoft Purview, zintegruj te dane, włączając łącznik danych Microsoft 365 Insider Risk Management w podstawowym obszarze roboczym dla Microsoft Sentinel. Wyłącz ten łącznik we wszystkich pomocniczych obszarach roboczych dla Microsoft Sentinel, które planujesz dołączyć do portalu usługi Defender. — Zainstaluj rozwiązanie Zarządzanie ryzykiem wewnętrznym w Microsoft Purview z centrum zawartości w podstawowym obszarze roboczym. — Skonfiguruj łącznik danych. Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.
Microsoft Defender for Cloud	Aby przesyłać strumieniowo zdarzenia usługi Defender for Cloud, które są skorelowane we wszystkich subskrypcjach dzierżawy z podstawowym obszarem roboczym dla Microsoft Sentinel: — Łączenie łącznika danych Microsoft Defender dla chmury (wersja zapoznawcza) opartego na dzierżawie w podstawowym obszarze roboczym. — Odłącz łącznik alertów usługi Microsoft Defender for Cloud (Starsza wersja) oparty na subskrypcji ze wszystkich obszarów roboczych w dzierżawie. Jeśli nie chcesz przesyłać strumieniowo skorelowanych danych dzierżawy usługi Defender for Cloud do podstawowego obszaru roboczego, w obszarach roboczych nadal używaj łącznika Microsoft Defender for Cloud (Starsza wersja) opartego na subskrypcji. Aby uzyskać więcej informacji, zobacz Pozyskiwanie Microsoft Defender dla zdarzeń w chmurze z integracją Microsoft Defender XDR.

Dołączanie Microsoft Sentinel

Aby połączyć obszar roboczy Microsoft Sentinel z portalem usługi Defender, wykonaj następujące kroki. Jeśli dołączasz Microsoft Sentinel bez Defender XDR, możesz wyzwolić połączenie za pomocą Microsoft Sentinel i portalu usługi Defender.

1. Przejdź do portalu Microsoft Defender i zaloguj się.
2. Aby dołączyć Microsoft Sentinel bez Defender XDR w portalu usługi Defender:
   1. Aby wyzwolić połączenie z Microsoft Sentinel, wybierz pozycję Badanie zdarzeń & odpowiedzi>.
   2. Poczekaj kilka minut na zakończenie połączenia.
3. W portalu usługi Defender wybierz pozycję Przegląd.
4. Wybierz pozycję Połącz obszar roboczy.
5. Wybierz obszary robocze, z którymi chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.
6. Wybierz podstawowy obszar roboczy.
7. Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi.
8. Wybierz pozycję Połącz.

Po nawiązaniu połączenia z obszarem roboczym baner na stronie Przegląd pokazuje, że środowisko jest gotowe. Strona Przegląd została zaktualizowana o nowe sekcje, które zawierają metryki z Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.

Eksplorowanie funkcji Microsoft Sentinel w portalu usługi Defender

Po połączeniu obszaru roboczego z portalem usługi Defender Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Jeśli masz włączoną Defender XDR, strony takie jak Przegląd, Zdarzenia i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z podstawowego obszaru roboczego dla Microsoft Sentinel i Defender XDR. Jeśli nie masz włączonego Defender XDR, te strony zawierają tylko dane z Microsoft Sentinel. Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu Microsoft Defender.

Wiele istniejących funkcji Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między Microsoft Sentinel w Azure Portal i portalu usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender, a nie Azure Portal.

• Szukać
  • Wyszukiwanie w długich przedziałach czasu w dużych zestawach danych
  • Przywracanie zarchiwizowanych dzienników z wyszukiwania
• Zarządzanie zagrożeniami
  • Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
  • Przeprowadzanie kompleksowego wyszukiwania zagrożeń za pomocą polowań
  • Używanie zakładek wyszukiwania zagrożeń do badania danych
  • Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w Microsoft Sentinel
  • Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
  • Zbiorcze dodawanie wskaźników w celu Microsoft Sentinel analizy zagrożeń z pliku CSV lub JSON
  • Praca ze wskaźnikami zagrożeń w Microsoft Sentinel
  • Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK
• Zarządzanie zawartością
  • Odnajdywanie zawartości Microsoft Sentinel i zarządzanie nią
  • Microsoft Sentinel katalogu centrum zawartości
  • Wdrażanie zawartości niestandardowej z repozytorium
• Konfiguracja
  • Znajdowanie łącznika danych Microsoft Sentinel
  • Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń
  • Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w Microsoft Sentinel
  • Tworzenie list obserwowanych
  • Zarządzanie listami obserwowanych w Microsoft Sentinel
  • Tworzenie reguł automatyzacji
  • Tworzenie i dostosowywanie podręczników Microsoft Sentinel na podstawie szablonów zawartości

Znajdź ustawienia Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.

Zmienianie podstawowego obszaru roboczego

Jednocześnie z portalem usługi Defender może być połączony tylko jeden podstawowy obszar roboczy. Można jednak zmienić podstawowy obszar roboczy.

1. W portalu usługi Defender przejdź do pozycjiUstawienia>systemu>Microsoft Sentinel>Przestępcje robocze.
2. Wybierz nazwę obszaru roboczego, który chcesz utworzyć jako podstawowy.
3. Wybierz pozycję Ustaw jako podstawowy.
4. Przeczytaj i zrozum zmiany produktu związane ze zmianą podstawowego obszaru roboczego.
5. Wybierz pozycję Potwierdź i kontynuuj.

Po przełączeniu podstawowego obszaru roboczego dla Microsoft Sentinel łącznik Defender XDR jest połączony z nowym podstawowym i automatycznie odłączony od poprzedniego. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender.

Microsoft Sentinel odłączanie

Jeśli zdecydujesz się na odłączenie obszaru roboczego z portalu usługi Defender, odłącz obszar roboczy od ustawień Microsoft Sentinel.

1. Przejdź do portalu Microsoft Defender i zaloguj się.

2. W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>Microsoft Sentinel.

3. Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.

4. Podaj powód rozłączania obszaru roboczego.

5. Potwierdź wybór.

   Po rozłączeniu obszaru roboczego sekcja Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z Microsoft Sentinel nie są już uwzględniane na stronie Przegląd.

Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.

Zawartość pokrewna

• Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
• Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
• Automatyczne zakłócenie ataku w Microsoft Defender XDR
• Badanie zdarzeń w portalu Microsoft Defender
• Optymalizowanie operacji zabezpieczeń