你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn 。
Microsoft Defender 门户中的 Microsoft Sentinel
项目 2025/01/08
5 个参与者
适用于:
Microsoft Sentinel in the Microsoft Defender portal
反馈
本文内容
新增和改进的功能
门户之间的功能差异
受限或不可用的功能
快速参考
相关内容
本文介绍 Microsoft Defender 门户中的 Microsoft Sentinel 体验。 Microsoft Sentinel 已在带有 Microsoft Defender XDR 的 Microsoft Defender 门户中的 Microsoft 统一安全操作平台中正式发布。 有关详细信息,请参阅:
对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。
下表介绍了 Defender 门户中与 Microsoft Sentinel 的集成提供的新功能或改进的功能。 Microsoft 继续通过可能是 Defender 门户独有的功能在这一新体验上进行创新。
展开表
下表介绍了 Defender 门户中提供的附加功能,该功能集成了 Microsoft Sentinel 和 Microsoft Defender XDR,是 Microsoft 统一安全操作平台的一部分。
展开表
Capabilities
说明
攻击中断
使用 Defender 门户和适用于 SAP 的 Microsoft Sentinel 解决方案应用程序为 SAP 部署自动攻击中断。 例如,如果发生财务过程操作攻击,请锁定可疑的 SAP 用户,从而包含泄露的资产。 SAP 攻击中断功能仅在 Defender 门户中可用。 若要对 SAP 使用攻击中断,请更新数据连接器代理版本,并确保将相关的 Azure 角色分配给代理的标识。 有关详细信息,请参阅 SAP 自动攻击中断 。
统一实体
Defender 门户中设备、用户、IP 地址和 Azure 资源的实体页显示来自 Microsoft Sentinel 和 Defender 数据源的信息。 这些实体页提供了扩展上下文,用于调查 Defender 门户中的事件和警报。 有关实体页的详细信息,请参阅使用 Microsoft Sentinel 中的实体页调查实体 。
统一事件
在 Defender 门户中的单个位置和单个队列中管理和调查安全事件。 使用 Security Copilot 进行汇总、响应和报告。 事件包括: - 来自源广度的数据 - 安全信息和事件管理的 AI 分析工具 (SIEM) - 扩展检测和响应提供的上下文和缓解工具 (XDR) 有关详细信息,请参阅以下文章:
-
Microsoft Defender 门户中的事件响应
-
在 Security Copilot 中调查 Microsoft Sentinel 事件
Microsoft Defender 中的 Microsoft Copilot
使用与 Defender XDR 集成的 Microsoft Sentinel 调查事件时,
-
使用引导式响应对事件进行分类和调查
-
汇总设备信息
-
汇总身份信息 汇总影响环境的相关威胁,根据暴露程度确定解决威胁的优先级,或通过使用威胁情报中的 Security Copilot 查找可能针对你所在行业的威胁行动者。 有关详细信息,请参阅使用 Microsoft Security Copilot 处理威胁情报 。
Azure 和 Defender 门户中提供了大多数 Microsoft Sentinel 功能。 在 Defender 门户中,一些 Microsoft Sentinel 体验会打开到 Azure 门户,以便完成任务。
本部分介绍仅在 Azure 门户或 Defender 门户中可用的 Microsoft Sentinel 功能或集成,或门户之间的其他重大差异。 它不包括从 Defender 门户打开 Azure 门户的 Microsoft Sentinel 体验。
展开表
功能
可用性
说明
使用书签进行高级搜寻
仅 Azure 门户
Microsoft Defender 门户中的高级搜寻体验不支持书签。 在 Defender 门户中,“Microsoft Sentinel”>“威胁管理”>“搜寻” 支持它们。 有关详细信息,请参阅在搜寻过程中使用 Microsoft Sentinel 跟踪数据 。
SAP 的攻击中断
Defender 门户仅适用于 Defender XDR
此功能在 Azure 门户中不可用。 有关详细信息,请参阅 Microsoft Defender 门户中的自动攻击中断 。
自动化
某些自动化过程仅在 Azure 门户中可用。 Defender 和 Azure 门户中的其他自动化过程相同,但 Azure 门户中加入到 Defender 门户的工作区与未加入的工作区之间有所不同。
有关详细信息,请参阅使用统一安全运营平台实现自动化 。
数据连接器:统一安全运营平台使用的连接器的可见性
仅 Azure 门户
在 Defender 门户中,载入 Microsoft Sentinel 后,统一安全操作平台中包含的以下数据连接器不会显示在“数据连接器”页面中:Microsoft Defender for Cloud Apps 用于终结点的 Microsoft Defender Microsoft Defender for Identity Microsoft Defender for Office 365(预览版) Microsoft Defender XDR 基于订阅的 Microsoft Defender for Cloud(旧版) 基于租户的 Microsoft Defender for Cloud(预览版) 在 Azure 门户中,这些数据连接器仍随 Microsoft Sentinel 中已安装的数据连接器一起列出。
实体:将实体添加到事件的威胁情报
仅 Azure 门户
此功能在 Defender 门户中不可用。 有关详细信息,请参阅将实体添加到威胁指示器 。
Fusion:高级多阶段攻击检测
仅 Azure 门户
将 Microsoft Sentinel 加入 Defender 门户时,会禁用 Fusion 分析规则,该规则基于 Fusion 相关性引擎创建的警报相关性来创建事件。 Defender 门户使用 Microsoft Defender XDR 的事件创建和关联功能来替换 Fusion 引擎的这些功能。 有关详细信息,请参阅 Microsoft Sentinel 中的高级多阶段攻击检测
事件:向事件添加警报 / 移除事件中的警报
仅 Defender 门户
将 Microsoft Sentinel 加入 Defender 门户后,不能再在 Azure 门户中向事件添加警报或删除事件中的警报。 可以在 Defender 门户中从事件中删除警报,但只能通过将警报链接到另一个事件(现有事件或新事件)来完成。
事件:创建
加入 Defender 门户后:事件由 Microsoft Defender 门户中的关联引擎创建。
在 Defender 门户中为 Microsoft Sentinel 生成的警报创建的事件具有“事件提供程序名称” = “Microsoft Defender XDR”。 任何活动的 Microsoft 安全事件创建规则都会被停用,以避免创建重复事件。 其他类型的分析规则中的事件创建设置保持不变,但这些设置在 Defender 门户中实现,而不是在 Microsoft Sentinel 中实现。 Microsoft Defender 事件可能需要长达 5 分钟才能显示在Microsoft Sentinel 中。 这不会影响 Microsoft Defender 提供的直接功能,例如自动攻击中断。 有关详细信息,请参阅以下文章:
-
Microsoft Defender 门户中的事件和警报
-
Microsoft Defender 门户中的警报关联和事件合并
事件:编辑注释
仅 Azure 门户
将 Microsoft Sentinel 加入 Defender 门户后,可以在任一门户中向事件添加注释,但无法编辑现有注释。 对 Azure 门户中的注释所做的编辑不会同步到 Defender 门户。
事件:以编程和手动方式创建事件
仅 Azure 门户
通过 API 在 Microsoft Sentinel 中创建的事件(由逻辑应用 playbook 或从 Azure 门户手动创建)不会同步到 Defender 门户。 Azure 门户和 API 仍支持这些事件。 请参阅在 Microsoft Sentinel 中手动创建自己的事件 。
事件:重新打开已关闭的事件
仅 Azure 门户
在 Defender 门户中,如果添加了新警报,则无法在 Microsoft Sentinel 分析规则中设置警报分组来重新打开已关闭的事件。 在这种情况下,不会重新打开已关闭的事件,新警报会触发新事件。
事件:任务
仅 Azure 门户
任务在 Defender 门户中不可用。 有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件 。
Microsoft Sentinel 多工作管理
Defender 门户:限制为每个租户一个 Microsoft Sentinel 工作区 Azure 门户:为租户集中管理多个 Microsoft Sentinel 工作区
Defender 门户目前仅支持每个租户一个 Microsoft Sentinel 工作区。 因此,Microsoft Defender 多租户管理支持每个租户一个 Microsoft Sentinel 工作区。 有关详细信息,请参阅以下文章: - Defender 门户:Microsoft Defender 多租户管理 - Azure 门户:使用工作区管理器管理多个 Microsoft Sentinel 工作区
将 Microsoft Sentinel 加入未启用 Defender XDR 或其他服务的 Defender 门户时,Defender 门户中显示的以下功能当前受到限制或不可用。
展开表
以下限制也适用于未启用 Defender XDR 或其他服务的 Defender 门户中的 Microsoft Sentinel:
新的 Microsoft Sentinel 客户没有资格加入在以色列区域创建的 Log Analytics 工作区。 若要加入 Defender 门户,请在其他区域为 Microsoft Sentinel 创建另一个工作区。 此附加工作区不需要包含任何数据。
使用 Microsoft Sentinel 用户和实体行为分析 (UEBA) 的客户可获得 IdentityInfo 表 的受限版本。
某些 Microsoft Sentinel 功能(如统一事件队列)与 Microsoft 的统一安全操作平台中的 Microsoft Defender XDR 集成。 Defender 门户的 Microsoft Sentinel 部分中提供了许多其他 Microsoft Sentinel 功能。
下图显示了 Defender 门户中的 Microsoft Sentinel 菜单:
以下部分介绍在 Defender 门户中查找 Microsoft Sentinel 功能的位置。 这些部分在 Azure 门户中组织为 Microsoft Sentinel。
下表列出了 Azure 门户中的“常规” 部分在 Azure 门户与 Defender 门户之间导航的更改。
展开表
Azure 门户
Defender 门户
概述
概述
日志
调查和响应 > 搜寻> 高级搜寻
资讯与指南
不可用
Search
Microsoft Sentinel > 搜索
下表列出了 Azure 门户中的“威胁管理” 部分在 Azure 门户与 Defender 门户之间导航的更改。
展开表
Azure 门户
Defender 门户
事故
调查和响应 > 事件和警报 > 事件
工作簿
Microsoft Sentinel > 威胁管理 > 工作簿
搜寻
Microsoft Sentinel > 威胁管理 > 搜寻
笔记本
Microsoft Sentinel > 威胁管理 > 笔记本
实体行为
用户实体页: 资产 > 标识 >{user} > Sentinel 事件 设备实体页: 资产 > 设备 >{device} > Sentinel 事件 此外,在事件和警报出现时,从中查找用户、设备、IP 和 Azure 资源实体类型的实体页。
威胁情报
Microsoft Sentinel > 威胁管理 > 威胁情报
MITRE ATT&CK
Microsoft Sentinel > 威胁管理 > MITRE ATT&CK
下表列出了 Azure 门户中的“内容管理” 部分在 Azure 门户与 Defender 门户之间导航的更改。
展开表
Azure 门户
Defender 门户
内容中心
Microsoft Sentinel > 内容管理 > 内容中心
存储库
Microsoft Sentinel > 内容管理 > 存储库
Community
Microsoft Sentinel > 内容管理 > 社区
下表列出了 Azure 门户中的“配置” 部分在 Azure 门户与 Defender 门户之间导航的更改。
展开表
Azure 门户
Defender 门户
工作区管理器
不可用
数据连接器
Microsoft Sentinel > 配置 > 数据连接器
分析
Microsoft Sentinel > 配置 > 分析
播放列表
Microsoft Sentinel > 配置 > 监视列表
自动化
Microsoft Sentinel > 配置 > 自动化
设置
系统 > 设置 > Microsoft Sentinel