Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama (önizleme)
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformu için genel önizleme kapsamında sağlanır. Microsoft Sentinel'i Microsoft Defender portalına eklediğinizde, olay yönetimi ve gelişmiş avcılık gibi Microsoft Defender XDR özellikleri bir arada sunarsınız. Araç değiştirme işlemini azaltın ve olay yanıtını hızlandıran ve ihlalleri daha hızlı durduran bağlam odaklı bir araştırma oluşturun. Daha fazla bilgi için bkz.:
- Microsoft Defender portalında Microsoft Sentinel
- Microsoft Sentinel ve Defender XDR ile birleşik güvenlik operasyonları platformu
Önemli
Bu makaledeki bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen bir yayın öncesi ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Önkoşullar
Başlamadan önce, ürün değişikliklerini ve sınırlamalarını anlamak için özellik belgelerini gözden geçirin:
- Microsoft Defender portalında Microsoft Sentinel
- Microsoft Defender portalında gelişmiş avcılık
- Birleşik güvenlik operasyonları platformu ile otomasyon
Microsoft Defender portalı tek bir Microsoft Entra kiracısını ve aynı anda tek bir çalışma alanına bağlantıyı destekler. Bu makale bağlamında çalışma alanı, Microsoft Sentinel'in etkinleştirildiği bir Log Analytics çalışma alanıdır.
Microsoft Defender portalında Microsoft Sentinel'i eklemek ve kullanmak için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:
Microsoft Sentinel'in etkinleştirildiği bir Log Analytics çalışma alanı
Olaylar ve uyarılar için Microsoft Sentinel'de etkinleştirilen Microsoft Defender XDR (eski adı Microsoft 365 Defender) için veri bağlayıcısı
Defender portalında Microsoft Defender XDR erişim
Microsoft Entra kiracıya eklenen Microsoft Defender XDR
Defender portalında Microsoft Sentinel'i eklemek, kullanmak ve oluşturmak için uygun rollere sahip bir Azure hesabı. Aşağıdaki tabloda, gereken bazı önemli roller vurgulanmıştır.
Görev Azure yerleşik rolü gerekli Kapsam Microsoft Sentinel etkinken çalışma alanını bağlama veya bağlantısını kesme Sahip veya Kullanıcı Erişimi Yöneticisi ve Microsoft Sentinel Katkıda Bulunanı - Sahip veya Kullanıcı Erişimi Yöneticisi rolleri için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı Microsoft Sentinel'i Defender portalında görüntüleme Microsoft Sentinel Reader Abonelik, kaynak grubu veya çalışma alanı kaynağı Sentinel veri tablolarını sorgulama veya olayları görüntüleme Microsoft Sentinel Okuyucusu veya şu eylemleri içeren bir rol:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Abonelik, kaynak grubu veya çalışma alanı kaynağı Olaylarla ilgili araştırma eylemleri gerçekleştirme Microsoft Sentinel Katkıda Bulunanı veya şu eylemleri içeren bir rol:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft... SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write Abonelik, kaynak grubu veya çalışma alanı kaynağı Destek isteği İçerik Oluşturucu Microsoft.Support /* ile Sahip veya Katkıda Bulunan veya Destek isteği katkıda bulunanı veya özel bir rol Abonelik Microsoft Sentinel'i Defender portalına bağladıktan sonra, mevcut Azure rol tabanlı erişim denetimi (RBAC) izinleriniz, erişiminiz olan Microsoft Sentinel özellikleriyle çalışmanıza olanak sağlar. Azure portal Microsoft Sentinel kullanıcılarınız için rolleri ve izinleri yönetmeye devam edin. Tüm Azure RBAC değişiklikleri Defender portalına yansıtılır. Microsoft Sentinel izinleri hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler | Microsoft Learn ve Kaynağa göre Microsoft Sentinel verilerine erişimi yönetme | Microsoft Learn.
Microsoft Sentinel'i ekleme
Microsoft Sentinel'in etkinleştirildiği bir çalışma alanını Defender XDR bağlamak için aşağıdaki adımları tamamlayın:
Microsoft Defender portalına gidin ve oturum açın.
Microsoft Defender XDR'da Genel Bakış'ı seçin.
Çalışma alanına bağlan'ı seçin.
Bağlanmak istediğiniz çalışma alanını seçin ve İleri'yi seçin.
Çalışma alanınızı bağlamayla ilişkili ürün değişikliklerini okuyun ve anlayın. Bu değişiklikler şunlardır:
- Microsoft Sentinel çalışma alanında günlük tabloları, sorgular ve işlevler de Defender XDR içinde gelişmiş avcılıkta kullanılabilir.
- Microsoft Sentinel Katkıda Bulunanı rolü, abonelik içindeki Microsoft Tehdit Koruması ve WindowsDefenderATP uygulamalarına atanır.
- Yinelenen olayları önlemek için etkin Microsoft güvenlik olayı oluşturma kuralları devre dışı bırakılır. Bu değişiklik, diğer analiz kuralları için değil yalnızca Microsoft uyarıları için olay oluşturma kuralları için geçerlidir.
- tutarlılığı sağlamak için Defender XDR ürünleriyle ilgili tüm uyarılar doğrudan ana Defender XDR veri bağlayıcısından akışla aktarılır. Çalışma alanında bu bağlayıcıdan gelen olayların ve uyarıların açık olduğundan emin olun.
Bağlan'ı seçin.
Çalışma alanınız bağlandıktan sonra , Genel Bakış sayfasındaki başlıkta birleşik güvenlik bilgilerinizin ve olay yönetiminizin (SIEM) ve genişletilmiş algılama ve yanıtın (XDR) hazır olduğu gösterilir. Genel Bakış sayfası, Veri bağlayıcılarının sayısı ve otomasyon kuralları gibi Microsoft Sentinel ölçümlerini içeren yeni bölümlerle güncelleştirilir.
Defender portalında Microsoft Sentinel özelliklerini keşfetme
Çalışma alanınızı Defender portalına bağladıktan sonra , Microsoft Sentinel sol taraftaki gezinti bölmesindedir. Genel Bakış, Olaylar ve Gelişmiş Tehdit Avcılığı gibi sayfalarda Microsoft Sentinel ve Defender XDR birleştirilmiş veriler bulunur. Portallar arasındaki birleşik özellikler ve farklar hakkında daha fazla bilgi için Microsoft Defender portalında Microsoft Sentinel'e bakın.
Mevcut Microsoft Sentinel özelliklerinin çoğu Defender portalıyla tümleştirilmiştir. Bu özellikler için Azure portal ve Defender portalında Microsoft Sentinel arasındaki deneyimin benzer olduğuna dikkat edin. Defender portalında Microsoft Sentinel ile çalışmaya başlamanıza yardımcı olması için aşağıdaki makaleleri kullanın. Bu makaleleri kullanırken, bu bağlamda başlangıç noktanızın Azure portal yerine Defender portalı olduğunu unutmayın.
- Arama
- Tehdit yönetimi
- Çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme
- Avlarla uçtan uca tehdit avcılığı gerçekleştirme
- Veri araştırmaları için tehdit avcılığı yer işaretlerini kullanma
- Tehdit algılamak için Microsoft Sentinel'de avlanma Livestream'i kullanma
- Jupyter not defterleriyle güvenlik tehditlerini avlama
- Csv veya JSON dosyasından Microsoft Sentinel tehdit bilgilerine toplu olarak gösterge ekleme
- Microsoft Sentinel'de tehdit göstergeleriyle çalışma
- MITRE ATT&CK çerçevesinin güvenlik kapsamını anlama
- İçerik yönetimi
- Yapılandırma
- Microsoft Sentinel veri bağlayıcınızı bulma
- Tehditleri algılamak için özel analiz kurallarını İçerik Oluşturucu
- Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) algılama analizi kurallarıyla çalışma
- İçerik Oluşturucu izleme listeleri
- Microsoft Sentinel'de izleme listelerini yönetme
- otomasyon kurallarını İçerik Oluşturucu
- İçerik şablonlarından Microsoft Sentinel playbook'larını İçerik Oluşturucu ve özelleştirme
Microsoft Sentinel ayarlarını Defender portalında Sistem>Ayarları>Microsoft Sentinel altında bulabilirsiniz.
Microsoft Sentinel'i çıkarma
Defender portalına aynı anda yalnızca bir çalışma alanı bağlı olabilir. Microsoft Sentinel'in etkinleştirildiği farklı bir çalışma alanına bağlanmak istiyorsanız, geçerli çalışma alanının bağlantısını kesin ve diğer çalışma alanını bağlayın.
Microsoft Defender portalına gidin ve oturum açın.
Defender portalında , Sistem'in altında Ayarlar>Microsoft Sentinel'i seçin.
Çalışma Alanları sayfasında bağlı çalışma alanını ve Çalışma alanının bağlantısını kes'i seçin.
Seçiminizi onaylayın.
Çalışma alanınızın bağlantısı kesildiğinde , Microsoft Sentinel bölümü Defender portalının sol tarafındaki gezinti bölmesinden kaldırılır. Microsoft Sentinel'den gelen veriler artık Genel Bakış sayfasına dahil değildir.
Farklı bir çalışma alanına bağlanmak istiyorsanız , Çalışma Alanları sayfasından çalışma alanını seçin ve Çalışma alanına bağlan'ı seçin.
İlgili içerik
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin