Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama

• Şunlara uygulanır:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel olarak kullanılabilir. Microsoft Sentinel'i Defender portalına eklediğinizde, Microsoft Defender XDR ile olay yönetimi ve gelişmiş avcılık gibi özellikleri bir arada sunarsınız. Araç değiştirme işlemini azaltın ve olay yanıtını hızlandıran ve ihlalleri daha hızlı durduran bağlam odaklı bir araştırma oluşturun. Daha fazla bilgi için bkz.:

• Blog gönderisi: Microsoft birleşik güvenlik operasyonları platformunun genel kullanılabilirliği
• Blog gönderisi: Birleşik güvenlik operasyonları platformu hakkında sık sorulan sorular
• Microsoft Defender portalında Microsoft Sentinel
• Microsoft Sentinel ile Microsoft Defender XDR tümleştirmesi

Önkoşullar

Başlamadan önce, ürün değişikliklerini ve sınırlamalarını anlamak için özellik belgelerini gözden geçirin:

• Microsoft Defender portalında Microsoft Sentinel
• Microsoft Defender portalında gelişmiş avcılık
• Microsoft Defender XDR'de uyarılar, olaylar ve bağıntı
• Birleşik güvenlik operasyonları platformu ile otomasyon

Microsoft Defender portalı, tek bir Microsoft Entra kiracısını ve aynı anda tek bir çalışma alanı bağlantısını destekler. Bu makale bağlamında çalışma alanı, Microsoft Sentinel'in etkinleştirildiği bir Log Analytics çalışma alanıdır.

Microsoft Defender portalında Microsoft Sentinel'i eklemek ve kullanmak için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:

• Microsoft Sentinel'in etkinleştirildiği bir Log Analytics çalışma alanı

• Microsoft Sentinel'de olaylar ve uyarılar için etkinleştirilen Microsoft Defender XDR (eski adıYla Microsoft 365 Defender) için veri bağlayıcısı. Daha fazla bilgi için bkz. Microsoft Defender XDR'den Microsoft Sentinel'e veri bağlama.

• Defender portalında Microsoft Defender XDR'ye erişim

• Microsoft Entra kiracısına eklenen Microsoft Defender XDR

• Defender portalında Microsoft Sentinel'i eklemek, kullanmak ve oluşturmak için uygun rollere sahip bir Azure hesabı. Aşağıdaki tabloda, gereken bazı önemli roller vurgulanmıştır.

  Görev	Azure yerleşik rolü gerekli	Kapsam
  Microsoft Sentinel etkinken çalışma alanını bağlama veya bağlantısını kesme	Sahip veya Kullanıcı Erişimi Yöneticisi ve Microsoft Sentinel Katkıda Bulunanı	- Sahip veya Kullanıcı Erişimi Yöneticisi rolleri için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı
  Microsoft Sentinel'i Defender portalında görüntüleme	Microsoft Sentinel Reader	Abonelik, kaynak grubu veya çalışma alanı kaynağı
  Sentinel veri tablolarını sorgulama veya olayları görüntüleme	Microsoft Sentinel Okuyucusu veya şu eylemleri içeren bir rol: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonelik, kaynak grubu veya çalışma alanı kaynağı
  Olaylarla ilgili araştırma eylemleri gerçekleştirme	Microsoft Sentinel Katkıda Bulunanı veya şu eylemleri içeren bir rol: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft... SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonelik, kaynak grubu veya çalışma alanı kaynağı
  Destek isteği oluşturma	Microsoft.Support /* ile Sahip veya Katkıda Bulunan veya Destek isteği katkıda bulunanı veya özel bir rol	Abonelik

  Microsoft Sentinel'i Defender portalına bağladıktan sonra, mevcut Azure rol tabanlı erişim denetimi (RBAC) izinleriniz, erişiminiz olan Microsoft Sentinel özellikleriyle çalışmanıza olanak sağlar. Azure portalından Microsoft Sentinel kullanıcılarınızın rollerini ve izinlerini yönetmeye devam edin. Tüm Azure RBAC değişiklikleri Defender portalına yansıtılır. Microsoft Sentinel izinleri hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler | Microsoft Learn ve Kaynağa göre Microsoft Sentinel verilerine erişimi yönetme | Microsoft Learn.

Microsoft Sentinel'i ekleme

Microsoft Sentinel'in etkinleştirildiği bir çalışma alanını Defender XDR'ye bağlamak için aşağıdaki adımları tamamlayın:

1. Microsoft Defender portalına gidin ve oturum açın.

2. Microsoft Defender XDR'de Genel Bakış'ı seçin.

3. Çalışma alanına bağlan'ı seçin.

4. Bağlanmak istediğiniz çalışma alanını seçin ve İleri'yi seçin.

5. Çalışma alanınızı bağlamayla ilişkili ürün değişikliklerini okuyun ve anlayın. Bu değişiklikler şunlardır:

   • Microsoft Sentinel çalışma alanında bulunan günlük tabloları, sorgular ve işlevler, Defender XDR'de gelişmiş avcılıkta da kullanılabilir.
   • Microsoft Sentinel Katkıda Bulunanı rolü, abonelik içindeki Microsoft Tehdit Koruması ve WindowsDefenderATP uygulamalarına atanır.
   • Yinelenen olayları önlemek için etkin Microsoft güvenlik olayı oluşturma kuralları devre dışı bırakılır. Bu değişiklik, diğer analiz kuralları için değil yalnızca Microsoft uyarıları için olay oluşturma kuralları için geçerlidir.
   • Defender XDR ürünleriyle ilgili tüm uyarılar, tutarlılığı sağlamak için doğrudan ana Defender XDR veri bağlayıcısından akışa alınır. Çalışma alanında bu bağlayıcıdan gelen olayların ve uyarıların açık olduğundan emin olun.

6. Bağlan'ı seçin.

Çalışma alanınız bağlandıktan sonra , Genel Bakış sayfasındaki başlıkta birleşik güvenlik bilgilerinizin ve olay yönetiminizin (SIEM) ve genişletilmiş algılama ve yanıtın (XDR) hazır olduğu gösterilir. Genel Bakış sayfası, Veri bağlayıcılarının sayısı ve otomasyon kuralları gibi Microsoft Sentinel ölçümlerini içeren yeni bölümlerle güncelleştirilir.

Defender portalında Microsoft Sentinel özelliklerini keşfetme

Çalışma alanınızı Defender portalına bağladıktan sonra , Microsoft Sentinel sol taraftaki gezinti bölmesindedir. Genel Bakış, Olaylar ve Gelişmiş Tehdit Avcılığı gibi sayfalarda Microsoft Sentinel ve Defender XDR'den birleştirilmiş veriler bulunur. Portallar arasındaki birleşik özellikler ve farklar hakkında daha fazla bilgi için bkz. Microsoft Defender portalında Microsoft Sentinel.

Mevcut Microsoft Sentinel özelliklerinin çoğu Defender portalıyla tümleştirilmiştir. Bu özellikler için Azure portalında Microsoft Sentinel ile Defender portalı arasındaki deneyimin benzer olduğuna dikkat edin. Defender portalında Microsoft Sentinel ile çalışmaya başlamanıza yardımcı olması için aşağıdaki makaleleri kullanın. Bu makaleleri kullanırken, bu bağlamda başlangıç noktanızın Azure portalı yerine Defender portalı olduğunu unutmayın.

• Aramak
  • Büyük veri kümelerinde uzun zaman aralıklarında arama
  • Arşivlenmiş günlükleri aramadan geri yükleme
• Tehdit yönetimi
  • Çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme
  • Avlarla uçtan uca tehdit avcılığı gerçekleştirme
  • Veri araştırmaları için tehdit avcılığı yer işaretlerini kullanma
  • Tehdit algılamak için Microsoft Sentinel'de avlanma Livestream'i kullanma
  • Jupyter not defterleriyle güvenlik tehditlerini avlama
  • Csv veya JSON dosyasından Microsoft Sentinel tehdit bilgilerine toplu olarak gösterge ekleme
  • Microsoft Sentinel'de tehdit göstergeleriyle çalışma
  • MITRE ATT&CK çerçevesinin güvenlik kapsamını anlama
• İçerik yönetimi
  • Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme
  • Microsoft Sentinel içerik hub'ı kataloğu
  • Deponuzdan özel içerik dağıtma
• Yapılandırma
  • Microsoft Sentinel veri bağlayıcınızı bulma
  • Tehditleri algılamak için özel analiz kuralları oluşturma
  • Microsoft Sentinel'de neredeyse gerçek zamanlı (NRT) algılama analizi kurallarıyla çalışma
  • İzleme listeleri oluşturma
  • Microsoft Sentinel'de izleme listelerini yönetme
  • Otomasyon kuralları oluşturma
  • İçerik şablonlarından Microsoft Sentinel playbook'ları oluşturma ve özelleştirme

Microsoft Sentinel ayarlarını Defender portalında Sistem>Ayarları>Microsoft Sentinel altında bulabilirsiniz.

Microsoft Sentinel'i çıkarma

Defender portalına aynı anda yalnızca bir çalışma alanı bağlı olabilir. Microsoft Sentinel'in etkinleştirildiği farklı bir çalışma alanına bağlanmak istiyorsanız, geçerli çalışma alanının bağlantısını kesin ve diğer çalışma alanını bağlayın.

1. Microsoft Defender portalına gidin ve oturum açın.

2. Defender portalında , Sistem'in altında Ayarlar>Microsoft Sentinel'i seçin.

3. Çalışma Alanları sayfasında bağlı çalışma alanını ve Çalışma alanının bağlantısını kes'i seçin.

4. Çalışma alanının bağlantısını kesme nedeniniz için bir neden sağlayın.

5. Seçiminizi onaylayın.

   Çalışma alanınızın bağlantısı kesildiğinde , Microsoft Sentinel bölümü Defender portalının sol tarafındaki gezinti bölmesinden kaldırılır. Microsoft Sentinel'den gelen veriler artık Genel Bakış sayfasına dahil değildir.

Farklı bir çalışma alanına bağlanmak istiyorsanız , Çalışma Alanları sayfasından çalışma alanını seçin ve Çalışma alanına bağlan'ı seçin.

İlgili içerik

• Microsoft Defender portalında Microsoft Sentinel
• Microsoft Defender portalında gelişmiş avcılık
• Microsoft Defender XDR'de otomatik saldırı kesintisi
• Microsoft Defender XDR'de olayları araştırma
• Güvenlik işlemlerinizi iyileştirme