Aracılığıyla paylaş


Microsoft Defender portalında Microsoft Sentinel

Bu makalede, Microsoft Defender portalındaki Microsoft Sentinel deneyimi açıklanmaktadır. Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için bkz.

Yeni ve geliştirilmiş özellikler

Aşağıdaki tabloda, Microsoft Sentinel ve Defender XDR tümleştirmesiyle Defender portalında sağlanan yeni veya geliştirilmiş özellikler açıklanmaktadır.

Özellikler Açıklama
Gelişmiş avcılık Avcılığı daha verimli hale getirmek ve bağlam değiştirme gereksinimini ortadan kaldırmak için farklı veri kümeleri arasında tek bir portaldan sorgu yapın. KQL'nizi oluşturmanıza yardımcı olması için Güvenlik için Copilot'ı kullanın. Microsoft güvenlik hizmetleri ve Microsoft Sentinel verileri de dahil olmak üzere tüm verileri görüntüleyin ve sorgular. Sorgular ve işlevler de dahil olmak üzere mevcut tüm Microsoft Sentinel çalışma alanı içeriğinizi kullanın.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Defender portalında gelişmiş avlanma
- Gelişmiş avcılıkta Güvenlik için Copilot
Saldırının kesintiye uğraması Hem birleşik güvenlik operasyonları platformu hem de SAP uygulamaları için Microsoft Sentinel çözümüyle SAP için otomatik saldırı kesintisi dağıtın. Örneğin, finansal işlem düzenleme saldırısı durumunda şüpheli SAP kullanıcılarını kilitleyerek güvenliği aşılmış varlıkları içerir.

SAP için saldırı kesintisi özellikleri yalnızca Defender portalında kullanılabilir. SAP için saldırı kesintisini kullanmak için veri bağlayıcısı aracı sürümünüzü güncelleştirin ve ilgili Azure rolünün aracınızın kimliğine atandığından emin olun.

Daha fazla bilgi için bkz . SAP için otomatik saldırı kesintisi.
SOC iyileştirmeleri Şu alanları belirlemenize yardımcı olacak yüksek aslına uygunluk ve eyleme dönüştürülebilir öneriler alın:
- Maliyetleri azaltma
- Güvenlik denetimleri ekleme
- Eksik verileri ekleme
SOC iyileştirmeleri Defender ve Azure portallarında kullanılabilir, ortamınıza uyarlanır ve geçerli kapsamınıza ve tehdit ortamınıza dayanır.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Güvenlik işlemlerinizi iyileştirme
- Önerilerin SOC iyileştirme başvurusu
Birleşik varlıklar Defender portalında cihazlar, kullanıcılar, IP adresleri ve Azure kaynakları için varlık sayfaları Microsoft Sentinel ve Defender veri kaynaklarından gelen bilgileri görüntüler. Bu varlık sayfaları, Defender portalında olay ve uyarı araştırmalarınız için genişletilmiş bir bağlam sağlar.

Daha fazla bilgi için bkz . Microsoft Sentinel'de varlık sayfalarıyla varlıkları araştırma.
Birleşik olaylar Defender portalında tek bir konumda ve tek bir kuyruktan güvenlik olaylarını yönetin ve araştırın. Özetlemek, yanıtlamak ve raporlamak için Güvenlik için Copilot kullanın. Olaylar şunlardır:
- Kaynakların genişliğine ait veriler
- Güvenlik bilgileri ve olay yönetimi (SIEM) için yapay zeka analiz araçları
- Genişletilmiş algılama ve yanıt (XDR) tarafından sunulan bağlam ve azaltma araçları

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Defender portalında olay yanıtı
- Güvenlik için Copilot'ta Microsoft Sentinel olaylarını araştırma

Portallar arasındaki yetenek farklılıkları

Microsoft Sentinel özelliklerinin çoğu hem Azure hem de Defender portallarında kullanılabilir. Defender portalında, bir görevi tamamlamanız için azure portalında bazı Microsoft Sentinel deneyimleri açılır.

Bu bölüm, yalnızca Azure portalında veya Defender portalında kullanılabilen birleşik güvenlik işlemleri platformundaki Microsoft Sentinel özelliklerini veya tümleştirmelerini ya da portallar arasındaki diğer önemli farkları kapsar. Azure portalını açan Microsoft Sentinel deneyimlerini Defender portalından dışlar.

Özellik Kullanılabilirlik Açıklama
Yer işaretlerini kullanarak gelişmiş tehdit avcılığı Yalnızca Azure portalı Yer işaretleri, Microsoft Defender portalındaki gelişmiş tehdit avcılığı deneyiminde desteklenmez. Defender portalında bunlar Microsoft Sentinel > Tehdit Yönetimi > Tehdit Avcılığı'nda desteklenir.

Daha fazla bilgi için bkz . Microsoft Sentinel ile avlanma sırasında verileri izleme.
SAP için saldırı kesintisi Yalnızca Defender portalı Bu işlev Azure portalında kullanılamaz.

Daha fazla bilgi için bkz . Microsoft Defender portalında otomatik saldırı kesintisi.
Otomasyon Bazı otomasyon yordamları yalnızca Azure portalında kullanılabilir.

Diğer otomasyon yordamları Defender ve Azure portallarında aynıdır, ancak Azure portalında birleşik güvenlik işlemleri platformuna eklenen çalışma alanları ile olmayan çalışma alanları arasında farklılık gösterir.


Daha fazla bilgi için bkz . Birleşik güvenlik operasyonları platformu ile otomasyon.
Veri bağlayıcıları: Birleşik güvenlik işlemleri platformu tarafından kullanılan bağlayıcıların görünürlüğü Yalnızca Azure portalı Defender portalında, Microsoft Sentinel'i ekledikten sonra, birleşik güvenlik işlemleri platformunun parçası olan aşağıdaki veri bağlayıcıları Veri bağlayıcıları sayfasında gösterilmez:
  • Microsoft Defender for Cloud Apps
  • Uç nokta için Microsoft Defender
  • Kimlik için Microsoft Defender
  • Office 365 için Microsoft Defender (Önizleme)
  • Microsoft Defender XDR
  • Abonelik tabanlı Bulut için Microsoft Defender (Eski)
  • Kiracı tabanlı Bulut için Microsoft Defender (Önizleme)

    Azure portalında bu veri bağlayıcıları, Microsoft Sentinel'de yüklü veri bağlayıcılarıyla birlikte listelenmeye devam eder.
  • Varlıklar: Olaylara ait tehdit bilgilerine varlık ekleme Yalnızca Azure portalı Bu işlev birleşik güvenlik işlemleri platformunda kullanılamaz.

    Daha fazla bilgi için bkz . Tehdit göstergelerine varlık ekleme.
    Fusion: Gelişmiş çok aşamalı saldırı algılama Yalnızca Azure portalı Fusion bağıntı altyapısı tarafından yapılan uyarı bağıntılarını temel alarak olaylar oluşturan Fusion analiz kuralı, Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna eklediğinizde devre dışı bırakılır.

    Birleşik güvenlik operasyonları platformu, Fusion altyapısının olay oluşturma ve bağıntı işlevlerini kullanarak Microsoft Defender XDR'nin işlevlerini kullanır.

    Daha fazla bilgi için bkz . Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama
    Olaylar: Olaylara uyarı ekleme /
    Olaylardan uyarıları kaldırma
    Yalnızca Defender portalı Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna ekledikten sonra artık Azure portalındaki olaylara uyarı ekleyemez veya bu güvenlik olaylarından uyarı kaldırasınız.

    Defender portalındaki bir olaydan uyarıyı kaldırabilirsiniz, ancak yalnızca uyarıyı başka bir olaya (var olan veya yeni) bağlayarak kaldırabilirsiniz.
    Olaylar: açıklamaları düzenleme Yalnızca Azure portalı Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna ekledikten sonra, her iki portalda da olaylara açıklama ekleyebilirsiniz, ancak mevcut açıklamaları düzenleyemezsiniz.

    Azure portalında açıklamalarda yapılan düzenlemeler birleşik güvenlik işlemleri platformuyla eşitlenmez.
    Olaylar: Program aracılığıyla ve el ile olay oluşturma Yalnızca Azure portalı Microsoft Sentinel'de API aracılığıyla, Mantıksal Uygulama playbook'u veya Azure portalından el ile oluşturulan olaylar birleşik güvenlik işlemleri platformuyla eşitlenmez. Bu olaylar Azure portalında ve API'de hala desteklenmektedir. Bkz . Microsoft Sentinel'de kendi olaylarınızı el ile oluşturma.
    Olaylar: Kapatılan olayları yeniden açma Yalnızca Azure portalı Birleşik güvenlik operasyonları platformunda, yeni uyarılar eklenirse kapatılan olayları yeniden açmak için Microsoft Sentinel analiz kurallarında uyarı gruplandırma ayarlayamazsınız.
    Kapatılan olaylar bu durumda yeniden açılmaz ve yeni uyarılar yeni olayları tetikler.
    Olaylar: Görevler Yalnızca Azure portalı Görevler birleşik güvenlik işlemleri platformunda kullanılamaz.

    Daha fazla bilgi için bkz . Microsoft Sentinel'de olayları yönetmek için görevleri kullanma.
    Microsoft Sentinel için birden çok çalışma alanı yönetimi Defender portalı: Kiracı başına bir Microsoft Sentinel çalışma alanıyla sınırlıdır

    Azure portalı: Kiracılar için birden çok Microsoft Sentinel çalışma alanını merkezi olarak yönetme
    Birleşik güvenlik işlemleri platformunda kiracı başına yalnızca bir Microsoft Sentinel çalışma alanı desteklenmektedir. Bu nedenle, Microsoft Defender çok kiracılı yönetimi kiracı başına bir Microsoft Sentinel çalışma alanını destekler.

    Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
    - Defender portalı: Microsoft Defender çok kiracılı yönetimi
    - Azure portalı: Çalışma alanı yöneticisiyle birden çok Microsoft Sentinel çalışma alanını yönetme

    Hızlı başvuru

    Birleşik olay kuyruğu gibi bazı Microsoft Sentinel özellikleri, birleşik güvenlik işlemleri platformunda Microsoft Defender XDR ile tümleştirilir. Diğer birçok Microsoft Sentinel özelliği, Defender portalının Microsoft Sentinel bölümünde bulunur.

    Aşağıdaki görüntüde Defender portalında Microsoft Sentinel menüsü gösterilmektedir:

    Microsoft Sentinel bölümüyle Defender portalı sol gezintisinin ekran görüntüsü.

    Aşağıdaki bölümlerde, Defender portalında Microsoft Sentinel özelliklerinin nerede bulunacağı açıklanmaktadır. Bölümler, Microsoft Sentinel Azure portalında olduğu gibi düzenlenir.

    Genel

    Aşağıdaki tabloda, Azure portalındaki Genel bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.

    Azure portal Defender portalı
    Genel Bakış Genel Bakış
    Günlükler Araştırma ve yanıt > Avcılığı > Gelişmiş avcılık
    Haberler ve kılavuzlar Kullanılamaz
    Arama yap Microsoft Sentinel > Araması

    Tehdit yönetimi

    Aşağıdaki tabloda, Azure portalındaki Tehdit yönetimi bölümü için Azure ile Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.

    Azure portal Defender portalı
    Olaylar Araştırma ve yanıt > Olayları ve uyarılar > Olaylar
    Çalışma Kitapları Microsoft Sentinel > Tehdit Yönetimi> Çalışma Kitapları
    Avlanma Microsoft Sentinel > Tehdit Yönetimi > Avcılığı
    Notebooks Microsoft Sentinel > Tehdit yönetimi > Not Defterleri
    Varlık davranışı Kullanıcı varlığı sayfası: Varlık Kimlikleri >>{user}> Sentinel olayları
    Cihaz varlığı sayfası: Varlık > Cihazları >{device}> Sentinel olayları

    Ayrıca, olaylar ve uyarılar görüntülenirken kullanıcı, cihaz, IP ve Azure kaynak varlık türlerinin varlık sayfalarını bulun.
    Tehdit bilgileri Microsoft Sentinel > Tehdit yönetimi > Tehdit bilgileri
    MITRE ATT&CK Microsoft Sentinel > Tehdit yönetimi > MITRE ATT&CK

    İçerik yönetimi

    Aşağıdaki tabloda, Azure portalındaki İçerik yönetimi bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.

    Azure portal Defender portalı
    İçerik hub'ı Microsoft Sentinel > İçerik yönetimi > İçerik hub'ı
    Depolar Microsoft Sentinel > İçerik yönetimi > Depoları
    Topluluk Microsoft Sentinel > İçerik yönetimi > Topluluğu

    Yapılandırma

    Aşağıdaki tabloda, Azure portalındaki Yapılandırma bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelemektedir.

    Azure portal Defender portalı
    Çalışma alanı yöneticisi Kullanılamaz
    Veri bağlayıcıları Microsoft Sentinel > Yapılandırma > Verileri bağlayıcıları
    Analiz Microsoft Sentinel > Yapılandırma > Analizi
    İzleme Listeleri Microsoft Sentinel > Yapılandırma > İzleme Listeleri
    Otomasyon Microsoft Sentinel > Yapılandırma > Otomasyonu
    Ayarlar Sistem > Ayarları > Microsoft Sentinel