Microsoft Sentinel Microsoft Defender portalına bağlama

Şunlara uygulanır: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansıyla veya Microsoft Defender portalında genel olarak kullanılabilir. Defender portalındaki Microsoft Sentinel Microsoft Defender XDR hizmetleriyle birlikte kullanarak, olay yönetimi ve gelişmiş avcılık gibi özellikleri birleştirirsiniz. Araç değiştirme işlemini azaltın ve olay yanıtını hızlandıran ve ihlalleri daha hızlı durduran bağlam odaklı bir araştırma oluşturun.

Bu makale, Microsoft Sentinel çalışma alanları henüz Defender portalına bağlı olmayan müşteriler için geçerlidir. Çoğu durumda, 1 Temmuz 2025'in ardından Microsoft Sentinel eklenen müşteriler otomatik olarak Defender portalına eklenir.

Daha fazla bilgi için bkz.:

Önkoşullar

Başlamadan önce, ürün değişikliklerini ve sınırlamalarını anlamak için özellik belgelerini gözden geçirin.

Microsoft Defender portalı, tek bir Microsoft Entra kiracısını ve birincil çalışma alanıyla birden çok ikincil çalışma alanı arasındaki bağlantıyı destekler. Microsoft Sentinel eklediğinizde yalnızca bir çalışma alanınız varsa, bu çalışma alanı birincil çalışma alanı olarak belirlenir. Daha fazla bilgi için bkz. Defender portalında birden çok Microsoft Sentinel çalışma alanı. Bu makale bağlamında çalışma alanı, Microsoft Sentinel etkin bir Log Analytics çalışma alanıdır.

Microsoft Sentinel önkoşulları

Defender portalında Microsoft Sentinel eklemek ve kullanmak için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:

Microsoft Sentinel etkin bir Log Analytics çalışma alanı

Defender portalında Microsoft Sentinel eklemek, kullanmak ve oluşturmak için uygun rollere sahip bir Azure hesabı. Gerekli izinlere sahip olmadığınız defender portalında eklenen çalışma alanlarını görmezsiniz. Aşağıdaki tabloda, gereken bazı önemli roller vurgulanmıştır.

Görev	yerleşik rolü Microsoft Entra veya Azure gerekir	Kapsam
Microsoft Sentinel Defender portalına ekleme	Microsoft Entra ID'da güvenlik yöneticisi veya üzeri VE Sahip veya Kullanıcı Erişimi Yöneticisi VE Microsoft Sentinel Katkıda Bulunanı	Kiracı - Sahip veya Kullanıcı Erişimi Yöneticisi rolleri için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı
İkincil çalışma alanına bağlanma veya bağlantısını kesme	Sahip veya Kullanıcı Erişimi Yöneticisi VE Microsoft Sentinel Katkıda Bulunanı	Kiracı - Sahip veya Kullanıcı Erişimi Yöneticisi rolleri için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı
Birincil çalışma alanını değiştirme	Microsoft Entra ID'da güvenlik yöneticisi veya üzeri VE Sahip veya Kullanıcı Erişimi Yöneticisi VE Microsoft Sentinel Katkıda Bulunanı	Kiracı - Sahip veya Kullanıcı Erişimi Yöneticisi rolleri için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı
Defender portalında Microsoft Sentinel görüntüleme	Microsoft Sentinel Okuyucu	Abonelik, kaynak grubu veya çalışma alanı kaynağı
Veri tablolarını Microsoft Sentinel sorgulama veya olayları görüntüleme	Microsoft Sentinel Okuyucusu veya şu eylemleri içeren bir rol: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonelik, kaynak grubu veya çalışma alanı kaynağı
Olaylarla ilgili araştırma eylemleri gerçekleştirme	Microsoft Sentinel Katkıda Bulunanı veya şu eylemleri içeren bir rol: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonelik, kaynak grubu veya çalışma alanı kaynağı
Destek isteği oluşturma	Microsoft.Support /* ile Sahip veya Katkıda Bulunan veya Destek isteği katkıda bulunanı veya özel bir rol	Abonelik

Birden çok kiracıyla çalışıyorsanız, Azure Lighthouse ile ayrıntılı yönetici ayrıcalıklarının (GDAP) Defender portalındaki Microsoft Sentinel veriler için desteklenmediğini unutmayın. Bunun yerine B2B kimlik doğrulaması Microsoft Entra kullanın. Daha fazla bilgi için bkz. Microsoft Defender çok kiracılı yönetimi ayarlama.

Microsoft Sentinel Defender portalına bağladıktan sonra, mevcut Azure rol tabanlı erişim denetimi (RBAC) izinleriniz, erişiminiz olan Microsoft Sentinel özellikleriyle çalışmanıza olanak sağlar. Azure RBAC değişiklikleri Defender portalına yansıtıldığından, Microsoft Sentinel kullanıcılarınız için rolleri ve izinleri Azure portal yönetmeye devam edin.

Daha fazla bilgi için bkz. Microsoft Sentinel'deki roller ve izinler ve Kaynağa göre Microsoft Sentinel verilere erişimi yönetme.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu, kuruluşunuzun güvenliğini artırmaya yardımcı olur.

Birleşik güvenlik işlemleri önkoşulları

Defender portalında Microsoft Defender XDR ve Microsoft Sentinel güvenlik işlemlerini birleştirmek için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:

Microsoft Defender XDR önkoşullarında açıklandığı gibi Defender XDR için lisanslama
Defender XDR hesabı, Microsoft Sentinel ilişkilendirildiği aynı Microsoft Entra kiracısının üyesidir
Microsoft Defender XDR önkoşullarında açıklandığı gibi Defender portalında Microsoft Defender XDR erişim

Varsa şu önkoşulları tamamlayın:

Hizmet	Önkoşul
Microsoft Purview İçeriden Risk Yönetimi	Kuruluşunuz Microsoft Purview İçeriden Risk Yönetimi kullanıyorsa, Microsoft Sentinel için birincil çalışma alanınızda Microsoft 365 Insider Risk Management veri bağlayıcısını etkinleştirerek bu verileri tümleştirin. Defender portalına eklemeyi planladığınız Microsoft Sentinel için bu bağlayıcıyı tüm ikincil çalışma alanlarında devre dışı bırakın. - birincil çalışma alanındaki İçerik hub'ından Microsoft Purview İçeriden Risk Yönetimi çözümünü yükleyin. - Veri bağlayıcısını yapılandırın. Daha fazla bilgi için bkz. kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme.
Bulut için Microsoft Defender	Kiracının tüm abonelikleri arasında ilişkili Bulut için Defender olaylarının akışını Microsoft Sentinel için birincil çalışma alanıyla yapmak için: - Birincil çalışma alanında Bulut için Kiracı tabanlı Microsoft Defender (Önizleme) veri bağlayıcısını bağlayın. - Bulut için Abonelik tabanlı Microsoft Defender (Eski) uyarılar bağlayıcısının kiracıdaki tüm çalışma alanlarından bağlantısını kesin. Bulut için Defender'ın ilişkili kiracı verilerini birincil çalışma alanına akışla aktarmak istemiyorsanız, çalışma alanlarınızda Bulut için Abonelik tabanlı Microsoft Defender (Eski) bağlayıcısını kullanmaya devam edin. Daha fazla bilgi için bkz. Microsoft Defender XDR tümleştirmesi ile Bulut olayları için Microsoft Defender alma.

Hizmet

Önkoşul

Microsoft Purview İçeriden Risk Yönetimi

Kuruluşunuz Microsoft Purview İçeriden Risk Yönetimi kullanıyorsa, Microsoft Sentinel için birincil çalışma alanınızda Microsoft 365 Insider Risk Management veri bağlayıcısını etkinleştirerek bu verileri tümleştirin. Defender portalına eklemeyi planladığınız Microsoft Sentinel için bu bağlayıcıyı tüm ikincil çalışma alanlarında devre dışı bırakın.

- birincil çalışma alanındaki İçerik hub'ından Microsoft Purview İçeriden Risk Yönetimi çözümünü yükleyin.
- Veri bağlayıcısını yapılandırın.

Daha fazla bilgi için bkz. kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme.

Bulut için Microsoft Defender

Kiracının tüm abonelikleri arasında ilişkili Bulut için Defender olaylarının akışını Microsoft Sentinel için birincil çalışma alanıyla yapmak için:

- Birincil çalışma alanında Bulut için Kiracı tabanlı Microsoft Defender (Önizleme) veri bağlayıcısını bağlayın.
- Bulut için Abonelik tabanlı Microsoft Defender (Eski) uyarılar bağlayıcısının kiracıdaki tüm çalışma alanlarından bağlantısını kesin.

Bulut için Defender'ın ilişkili kiracı verilerini birincil çalışma alanına akışla aktarmak istemiyorsanız, çalışma alanlarınızda Bulut için Abonelik tabanlı Microsoft Defender (Eski) bağlayıcısını kullanmaya devam edin. Daha fazla bilgi için bkz. Microsoft Defender XDR tümleştirmesi ile Bulut olayları için Microsoft Defender alma.

Ekleme Microsoft Sentinel

Bu yordamda, Microsoft Sentinel etkin bir çalışma alanının Defender portalına nasıl ekileceği açıklanır.

Microsoft Defender portalına gidin ve oturum açın.
Sistem>Ayarları>Microsoft Sentinel>Çalışma alanına bağlan'ı seçin.
Bağlanmak istediğiniz çalışma alanlarını seçin ve İleri'yi seçin.
Birincil çalışma alanını seçin.
Çalışma alanınızı bağlamayla ilişkili ürün değişikliklerini okuyun ve anlayın.
Bağlan'ı seçin.

Çalışma alanınız bağlandıktan sonra , Giriş sayfasındaki başlık ortamınızın hazır olduğunu gösterir. Giriş sayfası, veri bağlayıcılarının sayısı ve otomasyon kuralları gibi Microsoft Sentinel ölçümlerini içeren yeni bölümlerle güncelleştirilir.

Defender portalında Microsoft Sentinel özellikleri keşfetme

Çalışma alanınızı Defender portalına bağladıktan sonra Microsoft Sentinel sol taraftaki gezinti bölmesindedir. Defender XDR etkinleştirdiyseniz, Giriş, Olaylar ve Gelişmiş Tehdit Avcılığı gibi sayfalar, birincil çalışma alanından Microsoft Sentinel ve Defender XDR için birleştirilmiş verilere sahiptir. etkin Defender XDR yoksa, bu sayfalar yalnızca Microsoft Sentinel verileri içerir. Portallar arasındaki birleşik özellikler ve farklar hakkında daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.

Mevcut Microsoft Sentinel özelliklerinin çoğu Defender portalıyla tümleştirilmiştir. Bu özellikler için, Azure portal ve Defender portalındaki Microsoft Sentinel arasındaki deneyimin benzer olduğuna dikkat edin. Defender portalında Microsoft Sentinel ile çalışmaya başlamanıza yardımcı olması için aşağıdaki makaleleri kullanın. Bu makaleleri kullanırken, bu bağlamda başlangıç noktanızın Azure portal yerine Defender portalı olduğunu unutmayın.

Özellik kategorisi	Bağlantılar
Arama	- Büyük veri kümelerinde uzun zaman aralıklarında arama - Arşivlenmiş günlükleri aramadan geri yükleme
Tehdit yönetimi	- Çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme - Avlarla uçtan uca tehdit avcılığı gerçekleştirme - Veri araştırmaları için tehdit avcılığı yer işaretlerini kullanma - Tehdit algılamak için Microsoft Sentinel'de avlanma Livestream'i kullanma - Jupyter not defterleriyle güvenlik tehditlerini avlama - CSV veya JSON dosyasından tehdit bilgilerini Microsoft Sentinel için göstergeleri toplu olarak ekleme - Microsoft Sentinel'da tehdit göstergeleriyle çalışma - MITRE ATT&CK çerçevesinin güvenlik kapsamını anlama
İçerik yönetimi	- kullanıma Microsoft Sentinel içeriği bulma ve yönetme - İçerik hub'ı kataloğunu Microsoft Sentinel - Deponuzdan özel içerik dağıtma
Yapılandırma	- Microsoft Sentinel veri bağlayıcınızı bulma - Tehditleri algılamak için özel analiz kuralları oluşturma - Microsoft Sentinel'da neredeyse gerçek zamanlı (NRT) algılama analizi kurallarıyla çalışma - İzleme listeleri oluşturma - Microsoft Sentinel'da izleme listelerini yönetme - Otomasyon kuralları oluşturma - İçerik şablonlarından Microsoft Sentinel playbook'ları oluşturma ve özelleştirme

SistemAyarları> Microsoft Sentinel altındaki> Defender portalında Microsoft Sentinel ayarlarını bulun.

Birincil çalışma alanını değiştirme

Defender portalına aynı anda yalnızca bir birincil çalışma alanı bağlı olabilir. Ancak birincil çalışma alanını değiştirebilirsiniz.

Defender portalındaSistem>Ayarları>Microsoft Sentinel>Çalısma alanları'na gidin.
Birincil yapmak istediğiniz çalışma alanının adını seçin.
Birincil olarak ayarla'yı seçin.
Birincil çalışma alanını değiştirmeyle ilişkili ürün değişikliklerini okuyun ve anlayın.
Onayla'yı seçin ve devam edin.

Microsoft Sentinel için birincil çalışma alanını değiştirdiğinizde, Defender XDR bağlayıcısı yeni birincile bağlanır ve öncekiyle bağlantısı otomatik olarak kesilir. Daha fazla bilgi için bkz. Defender portalında birden çok Microsoft Sentinel çalışma alanı.

Çıkarma Microsoft Sentinel

Çalışma alanını Defender portalından çıkarma kararı alırsanız, çalışma alanının Microsoft Sentinel ayarlarıyla bağlantısını kesin.

Çalışma alanınızda yapılandırılmış Microsoft Defender XDR bağlayıcısı varsa, çalışma alanını Defender portalından çıkarma işlemi de Microsoft Defender XDR bağlayıcısının bağlantısını keser.

Microsoft Defender portalına gidin ve oturum açın.
Defender portalında Sistem'in altında Ayarlar>Microsoft Sentinel'ı seçin.
Çalışma Alanları sayfasında bağlı çalışma alanını ve Çalışma alanının bağlantısını kes'i seçin.
Çalışma alanının bağlantısını kesme nedeniniz için bir neden sağlayın.
Seçiminizi onaylayın.

Çalışma alanınızın bağlantısı kesildiğinde, Microsoft Sentinel bölümü Defender portalının sol tarafındaki gezinti bölmesinden kaldırılır. Microsoft Sentinel verileri artık Giriş sayfasına eklenmez.

Farklı bir çalışma alanına bağlanmak istiyorsanız , Çalışma Alanları sayfasından çalışma alanını seçin ve Çalışma alanına bağlan'ı seçin.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-12-11