Microsoft Defender portalında Microsoft Sentinel (önizleme)
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için bkz.
- Microsoft Sentinel ve Defender XDR ile birleşik güvenlik operasyonları platformu
- Microsoft Sentinel'i Microsoft Defender XDR'ye Bağlan
Bu makalede, Microsoft Defender portalındaki Microsoft Sentinel deneyimi açıklanmaktadır.
Önemli
Bu makaledeki bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen bir yayın öncesi ürünle ilgilidir. Burada verilen bilgilerle ilgili olarak Microsoft açık veya zımni hiçbir garanti vermez.
Yeni ve geliştirilmiş özellikler
Aşağıdaki tabloda, Microsoft Sentinel ve Defender XDR tümleştirmesiyle Defender portalında sağlanan yeni veya geliştirilmiş özellikler açıklanmaktadır.
| Özellikler | Açıklama |
|---|---|
| Gelişmiş avcılık | Avcılığı daha verimli hale getirmek ve bağlam değiştirme gereksinimini ortadan kaldırmak için farklı veri kümeleri arasında tek bir portaldan sorgu yapın. Microsoft güvenlik hizmetleri ve Microsoft Sentinel verileri de dahil olmak üzere tüm verileri görüntüleyin ve sorgular. Sorgular ve işlevler de dahil olmak üzere mevcut tüm Microsoft Sentinel çalışma alanı içeriğinizi kullanın. Daha fazla bilgi için bkz . Microsoft Defender portalında gelişmiş avcılık. |
| Saldırının kesintiye uğraması | Hem birleşik güvenlik operasyonları platformu hem de SAP uygulamaları için Microsoft Sentinel çözümüyle SAP için otomatik saldırı kesintisi dağıtın. Örneğin, finansal işlem düzenleme saldırısı durumunda şüpheli SAP kullanıcılarını kilitleyerek güvenliği aşılmış varlıkları içerir. SAP için saldırı kesintisi özellikleri yalnızca Defender portalında kullanılabilir. SAP için saldırı kesintisini kullanmak için veri bağlayıcısı aracı sürümünüzü güncelleştirin ve ilgili Azure rolünün aracınızın kimliğine atandığından emin olun. Daha fazla bilgi için bkz . SAP için otomatik saldırı kesintisi (Önizleme). |
| Birleşik varlıklar | Defender portalında cihazlar, kullanıcılar, IP adresleri ve Azure kaynakları için varlık sayfaları Microsoft Sentinel ve Defender veri kaynaklarından gelen bilgileri görüntüler. Bu varlık sayfaları, Defender portalında olay ve uyarı araştırmalarınız için genişletilmiş bir bağlam sağlar. Daha fazla bilgi için bkz . Microsoft Sentinel'de varlık sayfalarıyla varlıkları araştırma. |
| Birleşik olaylar | Defender portalında tek bir konumda ve tek bir kuyruktan güvenlik olaylarını yönetin ve araştırın. Olaylar şunlardır: - Kaynakların genişliğine ait veriler - Güvenlik bilgileri ve olay yönetimi (SIEM) için yapay zeka analiz araçları - Genişletilmiş algılama ve yanıt (XDR) tarafından sunulan bağlam ve azaltma araçları Daha fazla bilgi için bkz . Microsoft Defender portalında olay yanıtı. |
Portallar arasındaki yetenek farklılıkları
Microsoft Sentinel özelliklerinin çoğu hem Azure hem de Defender portallarında kullanılabilir. Defender portalında, bir görevi tamamlamanız için azure portalında bazı Microsoft Sentinel deneyimleri açılır.
Bu bölüm, yalnızca Azure portalında veya Defender portalında kullanılabilen birleşik güvenlik işlemleri platformundaki Microsoft Sentinel özelliklerini veya tümleştirmelerini ya da portallar arasındaki diğer önemli farkları kapsar. Azure portalını açan Microsoft Sentinel deneyimlerini Defender portalından dışlar.
| Özellik | Kullanılabilirlik | Açıklama |
|---|---|---|
| Yer işaretlerini kullanarak gelişmiş tehdit avcılığı | Yalnızca Azure portalı | Yer işaretleri, Microsoft Defender portalındaki gelişmiş tehdit avcılığı deneyiminde desteklenmez. Defender portalında bunlar Microsoft Sentinel > Tehdit Yönetimi > Tehdit Avcılığı'nda desteklenir. Daha fazla bilgi için bkz . Microsoft Sentinel ile avlanma sırasında verileri izleme. |
| SAP için saldırı kesintisi | Yalnızca Defender portalı | Bu işlev Azure portalında kullanılamaz. Daha fazla bilgi için bkz . Microsoft Defender portalında otomatik saldırı kesintisi. |
| Otomasyon | Bazı otomasyon yordamları yalnızca Azure portalında kullanılabilir. Diğer otomasyon yordamları Defender ve Azure portallarında aynıdır, ancak Azure portalında birleşik güvenlik işlemleri platformuna eklenen çalışma alanları ile olmayan çalışma alanları arasında farklılık gösterir. |
Daha fazla bilgi için bkz . Birleşik güvenlik operasyonları platformu ile otomasyon. |
| Veri bağlayıcıları: Birleşik güvenlik işlemleri platformu tarafından kullanılan bağlayıcıların görünürlüğü | Yalnızca Azure portalı | Defender portalında, Microsoft Sentinel'i ekledikten sonra, birleşik güvenlik işlemleri platformunun parçası olan aşağıdaki veri bağlayıcıları Veri bağlayıcıları sayfasında gösterilmez: Azure portalında bu veri bağlayıcıları, Microsoft Sentinel'de yüklü veri bağlayıcılarıyla birlikte listelenmeye devam eder. |
| Varlıklar: Olaylara ait tehdit bilgilerine varlık ekleme | Yalnızca Azure portalı | Bu işlev birleşik güvenlik işlemleri platformunda kullanılamaz. Daha fazla bilgi için bkz . Tehdit göstergelerine varlık ekleme. |
| Fusion: Gelişmiş çok aşamalı saldırı algılama | Yalnızca Azure portalı | Fusion bağıntı altyapısı tarafından yapılan uyarı bağıntılarını temel alarak olaylar oluşturan Fusion analiz kuralı, Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna eklediğinizde devre dışı bırakılır. Birleşik güvenlik operasyonları platformu, Fusion altyapısının olay oluşturma ve bağıntı işlevlerini kullanarak Microsoft Defender XDR'nin işlevlerini kullanır. Daha fazla bilgi için bkz . Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama |
| Olaylar: Olaylara uyarı ekleme / Olaylardan uyarıları kaldırma |
Yalnızca Defender portalı | Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna ekledikten sonra artık Azure portalındaki olaylara uyarı ekleyemez veya bu güvenlik olaylarından uyarı kaldırasınız. Defender portalındaki bir olaydan uyarıyı kaldırabilirsiniz, ancak yalnızca uyarıyı başka bir olaya (var olan veya yeni) bağlayarak kaldırabilirsiniz. |
| Olaylar: açıklamaları düzenleme | Yalnızca Azure portalı | Microsoft Sentinel'i birleşik güvenlik operasyonları platformuna ekledikten sonra, her iki portalda da olaylara açıklama ekleyebilirsiniz, ancak mevcut açıklamaları düzenleyemezsiniz. Azure portalında açıklamalarda yapılan düzenlemeler birleşik güvenlik işlemleri platformuyla eşitlenmez. |
| Olaylar: Program aracılığıyla ve el ile olay oluşturma | Yalnızca Azure portalı | Microsoft Sentinel'de API aracılığıyla, Mantıksal Uygulama playbook'u veya Azure portalından el ile oluşturulan olaylar birleşik güvenlik işlemleri platformuyla eşitlenmez. Bu olaylar Azure portalında ve API'de hala desteklenmektedir. Bkz . Microsoft Sentinel'de kendi olaylarınızı el ile oluşturma. |
| Olaylar: Kapatılan olayları yeniden açma | Yalnızca Azure portalı | Birleşik güvenlik operasyonları platformunda, yeni uyarılar eklenirse kapatılan olayları yeniden açmak için Microsoft Sentinel analiz kurallarında uyarı gruplandırma ayarlayamazsınız. Kapatılan olaylar bu durumda yeniden açılmaz ve yeni uyarılar yeni olayları tetikler. |
| Olaylar: Görevler | Yalnızca Azure portalı | Görevler birleşik güvenlik işlemleri platformunda kullanılamaz. Daha fazla bilgi için bkz . Microsoft Sentinel'de olayları yönetmek için görevleri kullanma. |
Hızlı başvuru
Birleşik olay kuyruğu gibi bazı Microsoft Sentinel özellikleri, birleşik güvenlik işlemleri platformunda Microsoft Defender XDR ile tümleştirilir. Diğer birçok Microsoft Sentinel özelliği, Defender portalının Microsoft Sentinel bölümünde bulunur.
Aşağıdaki görüntüde Defender portalında Microsoft Sentinel menüsü gösterilmektedir:
Aşağıdaki bölümlerde, Defender portalında Microsoft Sentinel özelliklerinin nerede bulunacağı açıklanmaktadır. Bölümler, Microsoft Sentinel Azure portalında olduğu gibi düzenlenir.
Genel
Aşağıdaki tabloda, Azure portalındaki Genel bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.
| Azure portal | Defender portalı |
|---|---|
| Genel Bakış | Genel Bakış |
| Günlükler | Araştırma ve yanıt > Avcılığı > Gelişmiş avcılık |
| Haberler ve kılavuzlar | Kullanılamaz |
| Arama yap | Microsoft Sentinel > Araması |
Tehdit yönetimi
Aşağıdaki tabloda, Azure portalındaki Tehdit yönetimi bölümü için Azure ile Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.
| Azure portal | Defender portalı |
|---|---|
| Olaylar | Araştırma ve yanıt > Olayları ve uyarılar > Olaylar |
| Çalışma Kitapları | Microsoft Sentinel > Tehdit Yönetimi> Çalışma Kitapları |
| Avlanma | Microsoft Sentinel > Tehdit Yönetimi > Avcılığı |
| Notebooks | Microsoft Sentinel > Tehdit yönetimi > Not Defterleri |
| Varlık davranışı | Kullanıcı varlığı sayfası: Varlık Kimlikleri >>{user}> Sentinel olayları Cihaz varlığı sayfası: Varlık > Cihazları >{device}> Sentinel olayları Ayrıca, olaylar ve uyarılar görüntülenirken kullanıcı, cihaz, IP ve Azure kaynak varlık türlerinin varlık sayfalarını bulun. |
| Tehdit bilgileri | Microsoft Sentinel > Tehdit yönetimi > Tehdit bilgileri |
| MITRE ATT&CK | Microsoft Sentinel > Tehdit yönetimi > MITRE ATT&CK |
İçerik yönetimi
Aşağıdaki tabloda, Azure portalındaki İçerik yönetimi bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.
| Azure portal | Defender portalı |
|---|---|
| İçerik hub'ı | Microsoft Sentinel > İçerik yönetimi > İçerik hub'ı |
| Depolar | Microsoft Sentinel > İçerik yönetimi > Depoları |
| Topluluk | Microsoft Sentinel > İçerik yönetimi > Topluluğu |
Yapılandırma
Aşağıdaki tabloda, Azure portalındaki Yapılandırma bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelemektedir.
| Azure portal | Defender portalı |
|---|---|
| Çalışma alanı yöneticisi | Kullanılamaz |
| Veri bağlayıcıları | Microsoft Sentinel > Yapılandırma > Verileri bağlayıcıları |
| Analiz | Microsoft Sentinel > Yapılandırma > Analizi |
| İzleme Listeleri | Microsoft Sentinel > Yapılandırma > İzleme Listeleri |
| Otomasyon | Microsoft Sentinel > Yapılandırma > Otomasyonu |
| Ayarlar | Sistem > Ayarlar > Microsoft Sentinel |