Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR
Usługa Microsoft Sentinel jest ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Gdy dołączasz usługę Microsoft Sentinel do portalu usługi Defender, ujednolicasz możliwości za pomocą usługi Microsoft Defender XDR, takie jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia. Więcej informacji można znaleźć w następujących artykułach:
- Wpis w blogu: Ogólna dostępność platformy ujednoliconych operacji zabezpieczeń firmy Microsoft
- Wpis w blogu: często zadawane pytania dotyczące ujednoliconej platformy operacji zabezpieczeń
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Integracja usługi Microsoft Defender XDR z usługą Microsoft Sentinel
Wymagania wstępne
Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu:
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
- Alerty, zdarzenia i korelacja w usłudze Microsoft Defender XDR
- Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń
Portal usługi Microsoft Defender obsługuje pojedynczą dzierżawę usługi Microsoft Entra i połączenie z jednym obszarem roboczym jednocześnie. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną usługą Microsoft Sentinel.
Aby dołączyć usługę Microsoft Sentinel i korzystać z niej w portalu usługi Microsoft Defender, musisz mieć następujące zasoby i dostęp:
Obszar roboczy usługi Log Analytics z włączoną usługą Microsoft Sentinel
Łącznik danych dla usługi Microsoft Defender XDR (wcześniej o nazwie Microsoft 365 Defender) włączony w usłudze Microsoft Sentinel na potrzeby zdarzeń i alertów. Aby uzyskać więcej informacji, zobacz Łączenie danych z usługi Microsoft Defender XDR do usługi Microsoft Sentinel.
Dostęp do usługi Microsoft Defender XDR w portalu usługi Defender
Usługa Microsoft Defender XDR dołączona do dzierżawy usługi Microsoft Entra
Konto platformy Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla usługi Microsoft Sentinel w portalu usługi Defender. W poniższej tabeli przedstawiono niektóre z kluczowych ról.
Zadanie Wymagana rola wbudowana platformy Azure Zakres Łączenie lub rozłączanie obszaru roboczego z włączoną usługą Microsoft Sentinel Właściciel lub
administrator dostępu użytkowników i współautor usługi Microsoft Sentinel— Subskrypcja dla ról
właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla współautora usługi Microsoft SentinelWyświetlanie usługi Microsoft Sentinel w portalu usługi Defender Czytelnik usługi Microsoft Sentinel Subskrypcja, grupa zasobów lub zasób obszaru roboczego Wykonywanie zapytań dotyczących tabel danych usługi Sentinel lub wyświetlanie zdarzeń Czytelnik usługi Microsoft Sentinel lub rola z następującymi akcjami:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readSubskrypcja, grupa zasobów lub zasób obszaru roboczego Podjęcie działań dochodzeniowych w sprawie zdarzeń Współautor usługi Microsoft Sentinel lub rola z następującymi akcjami:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeSubskrypcja, grupa zasobów lub zasób obszaru roboczego Tworzenie wniosku o pomoc techniczną Właściciel, współautor lub
współautor żądania pomocy technicznej lub
rola niestandardowa w witrynie Microsoft.Support/*Subskrypcja Po połączeniu usługi Microsoft Sentinel z portalem Usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają pracę z funkcjami usługi Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami użytkowników usługi Microsoft Sentinel w witrynie Azure Portal. Wszelkie zmiany rbac platformy Azure są odzwierciedlane w portalu usługi Defender. Aby uzyskać więcej informacji na temat uprawnień usługi Microsoft Sentinel, zobacz Role i uprawnienia w usłudze Microsoft Sentinel | Microsoft Learn i zarządzanie dostępem do danych usługi Microsoft Sentinel według zasobów | Microsoft Learn.
Dołączanie usługi Microsoft Sentinel
Aby połączyć obszar roboczy z włączoną usługą Microsoft Sentinel z usługą Defender XDR, wykonaj następujące kroki:
Przejdź do portalu usługi Microsoft Defender i zaloguj się.
W usłudze Microsoft Defender XDR wybierz pozycję Przegląd.
Wybierz pozycję Połącz obszar roboczy.
Wybierz obszar roboczy, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.
Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi. Zmiany te obejmują:
- Tabele dzienników, zapytania i funkcje w obszarze roboczym usługi Microsoft Sentinel są również dostępne w zaawansowanym wyszukiwaniu w usłudze Defender XDR.
- Rola Współautor usługi Microsoft Sentinel jest przypisywana do aplikacji Microsoft Threat Protection i WindowsDefenderATP w ramach subskrypcji.
- Aktywne reguły tworzenia zdarzeń zabezpieczeń firmy Microsoft są dezaktywowane, aby uniknąć zduplikowanych zdarzeń. Ta zmiana dotyczy tylko reguł tworzenia zdarzeń dla alertów firmy Microsoft, a nie innych reguł analizy.
- Wszystkie alerty związane z produktami Defender XDR są przesyłane strumieniowo bezpośrednio z głównego łącznika danych XDR usługi Defender w celu zapewnienia spójności. Upewnij się, że w obszarze roboczym włączono zdarzenia i alerty z tego łącznika.
Wybierz pozycję Połącz.
Po nawiązaniu połączenia z obszarem roboczym baner na stronie Przegląd pokazuje, że ujednolicone informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM) oraz rozszerzone wykrywanie i reagowanie (XDR) są gotowe. Strona Przegląd została zaktualizowana o nowe sekcje, które zawierają metryki z usługi Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.
Eksplorowanie funkcji usługi Microsoft Sentinel w portalu usługi Defender
Po połączeniu obszaru roboczego z portalem usługi Defender usługa Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Strony takie jak Przegląd, Zdarzenia i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z usług Microsoft Sentinel i Defender XDR. Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wiele istniejących funkcji usługi Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między usługą Microsoft Sentinel w witrynie Azure Portal a portalem usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z usługą Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender , a nie witryna Azure Portal.
- Szukać
- Zarządzanie zagrożeniami
- Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
- Przeprowadzanie kompleksowego wyszukiwania zagrożeń za pomocą polowań
- Używanie zakładek wyszukiwania zagrożeń do badania danych
- Wykrywanie zagrożeń za pomocą transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
- Zbiorcze dodawanie wskaźników do analizy zagrożeń usługi Microsoft Sentinel z pliku CSV lub JSON
- Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel
- Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK
- Zarządzanie zawartością
- Konfiguracja
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń
- Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel
- Tworzenie list obserwowanych
- Zarządzanie listami obserwowanych w usłudze Microsoft Sentinel
- Tworzenie reguł automatyzacji
- Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości
Znajdź ustawienia usługi Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.
Odłączanie usługi Microsoft Sentinel
Jednocześnie z portalem usługi Defender może być połączony tylko jeden obszar roboczy. Jeśli chcesz nawiązać połączenie z innym obszarem roboczym z włączoną usługą Microsoft Sentinel, odłącz bieżący obszar roboczy i połącz inny obszar roboczy.
Przejdź do portalu usługi Microsoft Defender i zaloguj się.
W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>usługi Microsoft Sentinel.
Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.
Podaj powód rozłączania obszaru roboczego.
Potwierdź wybór.
Po rozłączeniu obszaru roboczego sekcja usługi Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z usługi Microsoft Sentinel nie są już uwzględniane na stronie Przegląd.
Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.