将 Microsoft Sentinel 连接到 Microsoft Defender XDR

• 适用于:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 在 Microsoft Defender 门户中的Microsoft统一安全操作平台中正式发布。 将 Microsoft Sentinel 载入 Defender 门户时，可以通过Microsoft Defender XDR（如事件管理和高级搜寻）统一功能。 减少工具切换，并构建更注重上下文的调查，以加快事件响应并更快地阻止违规。 有关更多信息，请参阅：

• 博客文章： Microsoft统一安全操作平台的正式发布
• 博客文章： 有关统一安全操作平台的常见问题
• Microsoft Defender 门户中的 Microsoft Sentinel
• Microsoft Defender XDR 与 Microsoft Sentinel 集成

先决条件

在开始之前，请查看功能文档以了解产品更改和限制：

• Microsoft Defender 门户中的 Microsoft Sentinel
• Microsoft Defender 门户中的高级搜寻
• Microsoft Defender XDR 中的警报、事件和关联
• 使用统一安全操作平台实现自动化

Microsoft Defender 门户支持单个Microsoft Entra 租户以及一次连接到一个工作区。 在本文中，工作区是启用了 Microsoft Sentinel 的 Log Analytics 工作区。

若要在 Microsoft Defender 门户中载入和使用 Microsoft Sentinel，必须具有以下资源和访问权限：

• 已启用 Sentinel Microsoft的 Log Analytics 工作区

• Microsoft Defender XDR 的数据连接器 (以前名为 Microsoft 365 Defender) 在 Microsoft Sentinel 中为事件和警报启用。 有关详细信息，请参阅 将数据从 Microsoft Defender XDR 连接到 Microsoft Sentinel。

• 在 Defender 门户中访问 Microsoft Defender XDR

• Microsoft载入到 Microsoft Entra 租户的 Defender XDR

• 具有适当角色的 Azure 帐户，可在 Defender 门户中加入、使用和创建 Microsoft Sentinel 支持请求。 下表突出显示了所需的一些关键角色。

  任务	需要 Azure 内置角色	范围
  连接或断开启用了 Microsoft Sentinel 的工作区	所有者 或 用户访问管理员 和 Microsoft Sentinel 参与者	- 所有者或用户访问管理员角色 的订阅 - Microsoft Sentinel 参与者的订阅、资源组或工作区资源
  在 Defender 门户中查看Microsoft Sentinel	Microsoft Sentinel 读取器	订阅、资源组或工作区资源
  查询 Sentinel 数据表或查看事件	Microsoft Sentinel Reader 或具有以下操作的角色： - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	订阅、资源组或工作区资源
  对事件采取调查措施	Microsoft Sentinel 参与者 或具有以下操作的角色： - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	订阅、资源组或工作区资源
  创建支持请求	所有者 、 参与者 或 支持请求参与者 或具有 Microsoft.Support/* 的自定义角色	订阅

  将 Microsoft Sentinel 连接到 Defender 门户后，现有的 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的 Microsoft Sentinel 功能。 继续从 Azure 门户管理 Microsoft Sentinel 用户的角色和权限。 任何 Azure RBAC 更改都反映在 Defender 门户中。 有关Microsoft Sentinel 权限的详细信息，请参阅 Microsoft Sentinel 中的角色和权限 |Microsoft学习和管理对按资源Microsoft Sentinel 数据的访问权限 |Microsoft Learn。

载入 Microsoft Sentinel

若要将已启用 Microsoft Sentinel 的工作区连接到 Defender XDR，请完成以下步骤：

1. 转到 Microsoft Defender 门户 并登录。

2. 在“Microsoft Defender XDR”中，选择“ 概述”。

3. 选择“ 连接工作区”。

4. 选择要连接的工作区，然后选择“ 下一步”。

5. 阅读并了解与连接工作区相关的产品更改。 这些更改包括：

   • Microsoft Sentinel 工作区中的日志表、查询和函数也可在 Defender XDR 中的高级搜寻中使用。
   • Microsoft Sentinel 参与者角色分配给订阅中的 Microsoft Threat Protection 和 WindowsDefenderATP 应用。
   • 停用活动 Microsoft安全事件创建规则 ，以避免重复事件。 此更改仅适用于Microsoft警报的事件创建规则，不适用于其他分析规则。
   • 与 Defender XDR 产品相关的所有警报都直接从主 Defender XDR 数据连接器流式传输，以确保一致性。 请确保工作区中已打开来自此连接器的事件和警报。

6. 选择“连接”。

连接工作区后， “概述 ”页上的横幅显示统一的安全信息和事件管理 (SIEM) 以及 XDR) 准备就绪 (扩展的检测和响应。 “ 概述 ”页更新了包含来自 Microsoft Sentinel 的指标（例如数据连接器数量和自动化规则）的新部分。

在 Defender 门户中探索Microsoft Sentinel 功能

将工作区连接到 Defender 门户后， Microsoft Sentinel 位于左侧导航窗格中。 概述、事件和高级搜寻等页面具有来自 Microsoft Sentinel 和 Defender XDR 的统一数据。 有关门户之间的统一功能和差异的详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

许多现有的 Microsoft Sentinel 功能已集成到 Defender 门户中。 对于这些功能，请注意 Azure 门户中的 Microsoft Sentinel 与 Defender 门户中的体验相似。 使用以下文章帮助你开始在 Defender 门户中使用 Microsoft Sentinel。 使用这些文章时，请记住，此上下文中的起点是 Defender 门户 ，而不是 Azure 门户。

• 搜索
  • 在大型数据集中跨度较长的时间跨度搜索
  • 从搜索还原存档的日志
• 威胁管理
  • 使用工作簿可视化和监视数据
  • 使用 Hunts 进行端到端威胁搜寻
  • 使用搜寻书签进行数据调查
  • 在 Microsoft Sentinel 中使用搜寻 Livestream 来检测威胁
  • 使用 Jupyter 笔记本搜寻安全威胁
  • 批量添加指示器以从 CSV 或 JSON 文件Microsoft Sentinel 威胁情报
  • 使用 Microsoft Sentinel 中的威胁指标
  • 了解 MITRE ATT&CK 框架的安全覆盖范围
• 内容管理
  • 发现和管理Microsoft Sentinel 现装内容
  • Microsoft Sentinel 内容中心目录
  • 从存储库部署自定义内容
• 配置
  • 查找Microsoft Sentinel 数据连接器
  • 创建自定义分析规则以检测威胁
  • 使用 Microsoft Sentinel 中的准实时 (NRT) 检测分析规则
  • 创建监视列表
  • 管理 Microsoft Sentinel 中的监视列表
  • 创建自动化规则
  • 从内容模板创建和自定义Microsoft Sentinel playbook

在 Defender 门户中的“系统>设置Microsoft Sentinel”下查找Microsoft Sentinel 设置>。

Offboard Microsoft Sentinel

一次只能有一个工作区连接到 Defender 门户。 如果要连接到启用了 Sentinel Microsoft 的其他工作区，请断开当前工作区的连接并连接其他工作区。

1. 转到 Microsoft Defender 门户 并登录。

2. 在 Defender 门户中的 “系统”下，选择 “设置>Microsoft Sentinel”。

3. 在 “工作区” 页上，选择“连接的工作区”和“ 断开连接工作区”。

4. 提供断开工作区连接的原因。

5. 确认你的选择。

   工作区断开连接时，将从 Defender 门户的左侧导航栏中删除 Microsoft Sentinel 部分。 来自 Microsoft Sentinel 的数据不再包含在“概述”页上。

如果要连接到其他工作区，请在“ 工作区” 页中选择工作区并 连接工作区。

相关内容

• Microsoft Defender 门户中的 Microsoft Sentinel
• Microsoft Defender 门户中的高级搜寻
• Microsoft Defender XDR 中的自动攻击中断
• 在 Microsoft Defender XDR 中调查事件
• 优化安全操作