将 Microsoft Sentinel 连接到 Microsoft Defender XDR
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全操作平台的一部分提供。 现在支持在生产中使用 Defender 门户中的 Microsoft Sentinel。 将 Microsoft Sentinel 载入 Microsoft Defender 门户时,可以通过 Microsoft Defender XDR 统一功能,例如事件管理和高级搜寻。 减少工具切换,并构建更注重上下文的调查,以加快事件响应并更快地阻止违规。 有关更多信息,请参阅:
先决条件
在开始之前,请查看功能文档以了解产品更改和限制:
Microsoft Defender 门户支持单个 Microsoft Entra 租户以及一次连接到一个工作区。 在本文的上下文中,工作区是启用了 Microsoft Sentinel 的 Log Analytics 工作区。
若要在 Microsoft Defender 门户中加入和使用 Microsoft Sentinel,必须具有以下资源和访问权限:
已启用 Microsoft Sentinel 的 Log Analytics 工作区
Microsoft Sentinel 中为事件和警报启用的 Microsoft Defender XDR (以前名为 Microsoft 365 Defender 的数据连接器)
在 Defender 门户中访问 Microsoft Defender XDR
载入到 Microsoft Entra 租户的 Microsoft Defender XDR
具有适当角色的 Azure 帐户,可在 Defender 门户中加入、使用和创建 Microsoft Sentinel 支持请求。 下表突出显示了所需的一些关键角色。
任务 需要 Azure 内置角色 范围 连接或断开已启用 Microsoft Sentinel 的工作区 所有者 或 用户访问管理员 和 Microsoft Sentinel 参与者 - 所有者或用户访问管理员角色 的订阅 - Microsoft Sentinel 参与者的订阅、资源组或工作区资源 在 Defender 门户中查看 Microsoft Sentinel Microsoft Sentinel Reader 订阅、资源组或工作区资源 查询 Sentinel 数据表或查看事件 Microsoft Sentinel Reader 或具有以下操作的角色:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read 订阅、资源组或工作区资源 对事件采取调查措施 Microsoft Sentinel 参与者 或具有以下操作的角色:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft. SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write 订阅、资源组或工作区资源 创建支持请求 所有者 或 参与者 或 支持请求参与者 或自定义角色与 Microsoft.Support/* 订阅 将 Microsoft Sentinel 连接到 Defender 门户后,现有 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的 Microsoft Sentinel 功能。 继续从 Azure 门户管理 Microsoft Sentinel 用户的角色和权限。 任何 Azure RBAC 更改都反映在 Defender 门户中。 有关 Microsoft Sentinel 权限的详细信息,请参阅 Microsoft Sentinel 中的角色和权限 |Microsoft Learn 并 按资源管理对 Microsoft Sentinel 数据的访问权限 |Microsoft Learn。
载入 Microsoft Sentinel
若要将已启用 Microsoft Sentinel 的工作区连接到 Defender XDR,请完成以下步骤:
转到 Microsoft Defender 门户 并登录。
在 Microsoft Defender XDR 中,选择“ 概述”。
选择“ 连接工作区”。
选择要连接的工作区,然后选择“ 下一步”。
阅读并了解与连接工作区相关的产品更改。 这些更改包括:
- Microsoft Sentinel 工作区中的日志表、查询和函数也可用于 Defender XDR 中的高级搜寻。
- Microsoft Sentinel 参与者角色分配给订阅中的 Microsoft 威胁防护和 WindowsDefenderATP 应用。
- 停用活动 Microsoft 安全事件创建规则 ,以避免重复事件。 此更改仅适用于 Microsoft 警报的事件创建规则,不适用于其他分析规则。
- 与 Defender XDR 产品相关的所有警报都直接从主 Defender XDR 数据连接器流式传输,以确保一致性。 请确保工作区中已打开来自此连接器的事件和警报。
选择“连接”。
连接工作区后, “概述 ”页上的横幅显示统一的安全信息和事件管理 (SIEM) 以及 XDR) 准备就绪 (扩展的检测和响应。 “ 概述 ”页更新了包含来自 Microsoft Sentinel 的指标(例如数据连接器数量和自动化规则)的新部分。
在 Defender 门户中探索 Microsoft Sentinel 功能
将工作区连接到 Defender 门户后, Microsoft Sentinel 位于左侧导航窗格中。 概述、事件和高级搜寻等页面包含来自 Microsoft Sentinel 和 Defender XDR 的统一数据。 有关门户之间的统一功能和差异的详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
许多现有的 Microsoft Sentinel 功能已集成到 Defender 门户中。 对于这些功能,请注意,Azure 门户中的 Microsoft Sentinel 与 Defender 门户中的体验相似。 使用以下文章帮助你开始在 Defender 门户中使用 Microsoft Sentinel。 使用这些文章时,请记住,此上下文中的起点是 Defender 门户 ,而不是 Azure 门户。
- 搜索
- 威胁管理
- 内容管理
- 配置
在 Defender 门户中的“系统>设置”“MicrosoftSentinel”下查找 Microsoft Sentinel 设置>。
卸载 Microsoft Sentinel
一次只能有一个工作区连接到 Defender 门户。 如果要连接到启用了 Microsoft Sentinel 的其他工作区,请断开当前工作区的连接并连接其他工作区。
转到 Microsoft Defender 门户 并登录。
在 Defender 门户中的 “系统”下,选择 “设置>Microsoft Sentinel”。
在 “工作区” 页上,选择“连接的工作区”和“ 断开连接工作区”。
确认你的选择。
当工作区断开连接时, Microsoft Sentinel 部分将从 Defender 门户的左侧导航栏中删除。 Microsoft Sentinel 中的数据不再包含在“概述”页上。
如果要连接到其他工作区,请在“ 工作区” 页中选择工作区并 连接工作区。
相关内容
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈