你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender 门户中的 Microsoft Sentinel
本文介绍 Microsoft Defender 门户中的 Microsoft Sentinel 体验。 Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅:
新增和改进的功能
下表介绍了 Defender 门户中与 Microsoft Sentinel 和 Defender XDR 的集成提供的新功能或改进的功能。
Capabilities | 说明 |
---|---|
高级追寻 | 从跨不同数据集的单个门户进行查询,使搜寻更高效,并消除对上下文切换的需求。 使用 Microsoft 安全 Copilot 来帮助生成 KQL。 查看和查询所有数据,包括来自 Microsoft 安全服务和 Microsoft Sentinel 的数据。 使用所有现有的 Microsoft Sentinel 工作区内容,包括查询和函数。 有关详细信息,请参阅以下文章: - Microsoft Defender 门户中的高级搜寻 - 使用 Microsoft 安全 Copilot 进行高级搜寻 |
攻击中断 | 使用统一的安全操作平台和适用于 SAP 的 Microsoft Sentinel 解决方案为 SAP 部署自动攻击中断。 例如,如果发生财务过程操作攻击,请锁定可疑的 SAP 用户,从而包含泄露的资产。 SAP 攻击中断功能仅在 Defender 门户中可用。 若要对 SAP 使用攻击中断,请更新数据连接器代理版本,并确保将相关的 Azure 角色分配给代理的标识。 有关详细信息,请参阅 SAP 自动攻击中断。 |
SOC 优化 | 获取高保真度和可操作的建议,帮助你确定需要改进的领域: - 降低成本 - 增加安全控制 - 添加缺少数据 SOC 优化在 Defender 和 Azure 门户中提供,是根据你的环境量身定制的,并基于你当前的覆盖范围和威胁环境。 有关详细信息,请参阅以下文章: - 优化安全运营 - SOC 优化建议参考 |
统一实体 | Defender 门户中设备、用户、IP 地址和 Azure 资源的实体页显示来自 Microsoft Sentinel 和 Defender 数据源的信息。 这些实体页提供了扩展上下文,用于调查 Defender 门户中的事件和警报。 有关实体页的详细信息,请参阅使用 Microsoft Sentinel 中的实体页调查实体。 |
统一事件 | 在 Defender 门户中的单个位置和单个队列中管理和调查安全事件。 使用 Microsoft 安全 Copilot 汇总、响应和报告。 事件包括: - 来自源广度的数据 - 安全信息和事件管理的 AI 分析工具 (SIEM) - 扩展检测和响应提供的上下文和缓解工具 (XDR) 有关详细信息,请参阅以下文章: - Microsoft Defender 门户中的事件响应 - 调查 Microsoft 安全 Copilot 中的 Microsoft Sentinel 事件 |
门户之间的功能差异
Azure 和 Defender 门户中提供了大多数 Microsoft Sentinel 功能。 在 Defender 门户中,一些 Microsoft Sentinel 体验会打开到 Azure 门户,以便完成任务。
本部分介绍仅在 Azure 门户或 Defender 门户中可用的统一安全操作平台中的 Microsoft Sentinel 功能或集成,或者这些门户之间其他重大区别。 它不包括从 Defender 门户打开 Azure 门户的 Microsoft Sentinel 体验。
功能 | 可用性 | 说明 |
---|---|---|
使用书签进行高级搜寻 | 仅 Azure 门户 | Microsoft Defender 门户中的高级搜寻体验不支持书签。 在 Defender 门户中,“Microsoft Sentinel”>“威胁管理”>“搜寻”支持它们。 有关详细信息,请参阅在搜寻过程中使用 Microsoft Sentinel 跟踪数据。 |
SAP 的攻击中断 | 仅 Defender 门户 | 此功能在 Azure 门户中不可用。 有关详细信息,请参阅 Microsoft Defender 门户中的自动攻击中断。 |
自动化 | 某些自动化过程仅在 Azure 门户中可用。 Defender 和 Azure 门户中的其他自动化过程相同,但 Azure 门户中载入到统一安全操作平台的工作区与未加入的工作区之间有所不同。 |
有关详细信息,请参阅使用统一安全运营平台实现自动化。 |
数据连接器:统一安全运营平台使用的连接器的可见性 | 仅 Azure 门户 | 在 Defender 门户中,载入 Microsoft Sentinel 后,统一安全操作平台中包含的以下数据连接器不会显示在“数据连接器”页面中: 在 Azure 门户中,这些数据连接器仍随 Microsoft Sentinel 中已安装的数据连接器一起列出。 |
实体:将实体添加到事件的威胁情报 | 仅 Azure 门户 | 此功能在统一安全运营平台中不可用。 有关详细信息,请参阅将实体添加到威胁指示器。 |
Fusion:高级多阶段攻击检测 | 仅 Azure 门户 | 将 Microsoft Sentinel 载入统一安全操作平台时,会禁用 Fusion 分析规则,该规则基于 Fusion 相关性引擎创建的警报相关性来创建事件。 统一安全操作平台使用 Microsoft Defender XDR 的事件创建和关联功能来替换 Fusion 引擎的这些功能。 有关详细信息,请参阅 Microsoft Sentinel 中的高级多阶段攻击检测 |
事件:向事件添加警报 / 移除事件中的警报 |
仅 Defender 门户 | 将 Microsoft Sentinel 载入到统一安全操作平台后,不能再在 Azure 门户中向事件添加警报或删除事件中的警报。 可以在 Defender 门户中从事件中删除警报,但只能通过将警报链接到另一个事件(现有事件或新事件)来完成。 |
事件:编辑注释 | 仅 Azure 门户 | 将 Microsoft Sentinel 载入统一安全操作平台后,可以在任一门户中向事件添加注释,但无法编辑现有注释。 对 Azure 门户中的注释所做的编辑不会同步到统一安全运营平台。 |
事件:以编程和手动方式创建事件 | 仅 Azure 门户 | 通过 API 在 Microsoft Sentinel 中创建的事件(由逻辑应用 playbook 或从 Azure 门户手动创建)不会同步到统一安全运营平台。 Azure 门户和 API 仍支持这些事件。 请参阅在 Microsoft Sentinel 中手动创建自己的事件。 |
事件:重新打开已关闭的事件 | 仅 Azure 门户 | 在统一安全操作平台中,如果添加了新警报,则无法在 Microsoft Sentinel 分析规则中设置警报分组来重新打开已关闭的事件。 在这种情况下,不会重新打开已关闭的事件,新警报会触发新事件。 |
事件:任务 | 仅 Azure 门户 | 任务在统一安全运营平台中不可用。 有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件。 |
Microsoft Sentinel 多工作管理 | Defender 门户:限制为每个租户一个 Microsoft Sentinel 工作区 Azure 门户:为租户集中管理多个 Microsoft Sentinel 工作区 |
统一安全运营平台目前仅支持每个租户一个 Microsoft Sentinel 工作区。 因此,Microsoft Defender 多租户管理支持每个租户一个 Microsoft Sentinel 工作区。 有关详细信息,请参阅以下文章: - Defender 门户:Microsoft Defender 多租户管理 - Azure 门户:使用工作区管理器管理多个 Microsoft Sentinel 工作区 |
快速参考
某些 Microsoft Sentinel 功能(如统一事件队列)与统一安全操作平台中的 Microsoft Defender XDR 集成。 Defender 门户的 Microsoft Sentinel 部分中提供了许多其他 Microsoft Sentinel 功能。
下图显示了 Defender 门户中的 Microsoft Sentinel 菜单:
以下部分介绍在 Defender 门户中查找 Microsoft Sentinel 功能的位置。 这些部分在 Azure 门户中组织为 Microsoft Sentinel。
常规
下表列出了 Azure 门户中的“常规”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
概述 | 概述 |
日志 | 调查和响应 > 搜寻> 高级搜寻 |
资讯与指南 | 不可用 |
Search | Microsoft Sentinel > 搜索 |
威胁管理
下表列出了 Azure 门户中的“威胁管理”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
事故 | 调查和响应 > 事件和警报 > 事件 |
工作簿 | Microsoft Sentinel > 威胁管理 > 工作簿 |
搜寻 | Microsoft Sentinel > 威胁管理 > 搜寻 |
笔记本 | Microsoft Sentinel > 威胁管理 > 笔记本 |
实体行为 | 用户实体页:资产 > 标识 >{user}> Sentinel 事件 设备实体页: 资产 > 设备 >{device}> Sentinel 事件 此外,在事件和警报出现时,从中查找用户、设备、IP 和 Azure 资源实体类型的实体页。 |
威胁情报 | Microsoft Sentinel > 威胁管理 > 威胁情报 |
MITRE ATT&CK | Microsoft Sentinel > 威胁管理 > MITRE ATT&CK |
内容管理
下表列出了 Azure 门户中的“内容管理”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
内容中心 | Microsoft Sentinel > 内容管理 > 内容中心 |
存储库 | Microsoft Sentinel > 内容管理 > 存储库 |
Community | Microsoft Sentinel > 内容管理 > 社区 |
配置
下表列出了 Azure 门户中的“配置”部分在 Azure 门户与 Defender 门户之间导航的更改。
Azure 门户 | Defender 门户 |
---|---|
工作区管理器 | 不可用 |
数据连接器 | Microsoft Sentinel > 配置 > 数据连接器 |
分析 | Microsoft Sentinel > 配置 > 分析 |
播放列表 | Microsoft Sentinel > 配置 > 监视列表 |
自动化 | Microsoft Sentinel > 配置 > 自动化 |
设置 | 系统 > 设置 > Microsoft Sentinel |