Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama (önizleme)

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformu için genel önizleme kapsamında sağlanır. Microsoft Sentinel'i Microsoft Defender portalına eklediğinizde, olay yönetimi ve gelişmiş avcılık gibi Microsoft Defender XDR özellikleri bir arada sunarsınız. Araç değiştirme işlemini azaltın ve olay yanıtını hızlandıran ve ihlalleri daha hızlı durduran bağlam odaklı bir araştırma oluşturun. Daha fazla bilgi için bkz.:

Önemli

Bu makaledeki bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen bir yayın öncesi ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Önkoşullar

Başlamadan önce, ürün değişikliklerini ve sınırlamalarını anlamak için özellik belgelerini gözden geçirin:

Microsoft Defender portalı tek bir Microsoft Entra kiracısını ve aynı anda tek bir çalışma alanına bağlantıyı destekler. Bu makale bağlamında çalışma alanı, Microsoft Sentinel'in etkinleştirildiği bir Log Analytics çalışma alanıdır.

Microsoft Defender portalında Microsoft Sentinel'i eklemek ve kullanmak için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:

  • Microsoft Sentinel'in etkinleştirildiği bir Log Analytics çalışma alanı

  • Olaylar ve uyarılar için Microsoft Sentinel'de etkinleştirilen Microsoft Defender XDR (eski adı Microsoft 365 Defender) için veri bağlayıcısı

  • Defender portalında Microsoft Defender XDR erişim

  • Microsoft Entra kiracıya eklenen Microsoft Defender XDR

  • Defender portalında Microsoft Sentinel'i eklemek, kullanmak ve oluşturmak için uygun rollere sahip bir Azure hesabı. Aşağıdaki tabloda, gereken bazı önemli roller vurgulanmıştır.

    Görev Azure yerleşik rolü gerekli Kapsam
    Microsoft Sentinel etkinken çalışma alanını bağlama veya bağlantısını kesme Sahip veya
    Kullanıcı Erişimi Yöneticisi ve Microsoft Sentinel Katkıda Bulunanı    		 - Sahip veya Kullanıcı Erişimi Yöneticisi rolleri

    için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı
    Microsoft Sentinel'i Defender portalında görüntüleme Microsoft Sentinel Reader Abonelik, kaynak grubu veya çalışma alanı kaynağı
    Sentinel veri tablolarını sorgulama veya olayları görüntüleme Microsoft Sentinel Okuyucusu veya şu eylemleri içeren bir rol:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 Abonelik, kaynak grubu veya çalışma alanı kaynağı
    Olaylarla ilgili araştırma eylemleri gerçekleştirme Microsoft Sentinel Katkıda Bulunanı veya şu eylemleri içeren bir rol:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft... SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 Abonelik, kaynak grubu veya çalışma alanı kaynağı
    Destek isteği İçerik Oluşturucu Microsoft.Support /* ile Sahip veya
    Katkıda Bulunan veya
    Destek isteği katkıda bulunanı veya özel bir rol    		 Abonelik

    Microsoft Sentinel'i Defender portalına bağladıktan sonra, mevcut Azure rol tabanlı erişim denetimi (RBAC) izinleriniz, erişiminiz olan Microsoft Sentinel özellikleriyle çalışmanıza olanak sağlar. Azure portal Microsoft Sentinel kullanıcılarınız için rolleri ve izinleri yönetmeye devam edin. Tüm Azure RBAC değişiklikleri Defender portalına yansıtılır. Microsoft Sentinel izinleri hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler | Microsoft Learn ve Kaynağa göre Microsoft Sentinel verilerine erişimi yönetme | Microsoft Learn.

Microsoft Sentinel'i ekleme

Microsoft Sentinel'in etkinleştirildiği bir çalışma alanını Defender XDR bağlamak için aşağıdaki adımları tamamlayın:

  1. Microsoft Defender portalına gidin ve oturum açın.

  2. Microsoft Defender XDR'da Genel Bakış'ı seçin.

  3. Çalışma alanına bağlan'ı seçin.

  4. Bağlanmak istediğiniz çalışma alanını seçin ve İleri'yi seçin.

  5. Çalışma alanınızı bağlamayla ilişkili ürün değişikliklerini okuyun ve anlayın. Bu değişiklikler şunlardır:

    • Microsoft Sentinel çalışma alanında günlük tabloları, sorgular ve işlevler de Defender XDR içinde gelişmiş avcılıkta kullanılabilir.
    • Microsoft Sentinel Katkıda Bulunanı rolü, abonelik içindeki Microsoft Tehdit Koruması ve WindowsDefenderATP uygulamalarına atanır.
    • Yinelenen olayları önlemek için etkin Microsoft güvenlik olayı oluşturma kuralları devre dışı bırakılır. Bu değişiklik, diğer analiz kuralları için değil yalnızca Microsoft uyarıları için olay oluşturma kuralları için geçerlidir.
    • tutarlılığı sağlamak için Defender XDR ürünleriyle ilgili tüm uyarılar doğrudan ana Defender XDR veri bağlayıcısından akışla aktarılır. Çalışma alanında bu bağlayıcıdan gelen olayların ve uyarıların açık olduğundan emin olun.

  6. Bağlan'ı seçin.

Çalışma alanınız bağlandıktan sonra , Genel Bakış sayfasındaki başlıkta birleşik güvenlik bilgilerinizin ve olay yönetiminizin (SIEM) ve genişletilmiş algılama ve yanıtın (XDR) hazır olduğu gösterilir. Genel Bakış sayfası, Veri bağlayıcılarının sayısı ve otomasyon kuralları gibi Microsoft Sentinel ölçümlerini içeren yeni bölümlerle güncelleştirilir.

Defender portalında Microsoft Sentinel özelliklerini keşfetme

Çalışma alanınızı Defender portalına bağladıktan sonra , Microsoft Sentinel sol taraftaki gezinti bölmesindedir. Genel Bakış, Olaylar ve Gelişmiş Tehdit Avcılığı gibi sayfalarda Microsoft Sentinel ve Defender XDR birleştirilmiş veriler bulunur. Portallar arasındaki birleşik özellikler ve farklar hakkında daha fazla bilgi için Microsoft Defender portalında Microsoft Sentinel'e bakın.

Mevcut Microsoft Sentinel özelliklerinin çoğu Defender portalıyla tümleştirilmiştir. Bu özellikler için Azure portal ve Defender portalında Microsoft Sentinel arasındaki deneyimin benzer olduğuna dikkat edin. Defender portalında Microsoft Sentinel ile çalışmaya başlamanıza yardımcı olması için aşağıdaki makaleleri kullanın. Bu makaleleri kullanırken, bu bağlamda başlangıç noktanızın Azure portal yerine Defender portalı olduğunu unutmayın.

Microsoft Sentinel ayarlarını Defender portalında Sistem>Ayarları>Microsoft Sentinel altında bulabilirsiniz.

Microsoft Sentinel'i çıkarma

Defender portalına aynı anda yalnızca bir çalışma alanı bağlı olabilir. Microsoft Sentinel'in etkinleştirildiği farklı bir çalışma alanına bağlanmak istiyorsanız, geçerli çalışma alanının bağlantısını kesin ve diğer çalışma alanını bağlayın.

  1. Microsoft Defender portalına gidin ve oturum açın.

  2. Defender portalında , Sistem'in altında Ayarlar>Microsoft Sentinel'i seçin.

  3. Çalışma Alanları sayfasında bağlı çalışma alanını ve Çalışma alanının bağlantısını kes'i seçin.

  4. Seçiminizi onaylayın.

    Çalışma alanınızın bağlantısı kesildiğinde , Microsoft Sentinel bölümü Defender portalının sol tarafındaki gezinti bölmesinden kaldırılır. Microsoft Sentinel'den gelen veriler artık Genel Bakış sayfasına dahil değildir.

Farklı bir çalışma alanına bağlanmak istiyorsanız , Çalışma Alanları sayfasından çalışma alanını seçin ve Çalışma alanına bağlan'ı seçin.

İlgili içerik