Microsoft Sentinel 可在 Microsoft Defender 入口網站中與 Microsoft Defender XDR 搭配使用,或獨立使用。 它提供跨 SIEM 和 XDR 的統一體驗,以更快、更精確的威脅偵測和回應、更簡單的工作流程,以及更佳的作業效率。
本文說明如何將Microsoft Sentinel 體驗從 Azure 入口網站轉換至 Defender 入口網站。 如果您在 Azure 入口網站中使用 Microsoft Sentinel,請轉換至 Microsoft Defender 以進行統一的安全性作業和最新功能。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel ,或觀看 YouTube 播放清單。
先決條件
開始之前,請注意:
此文章適用於那些已經啟用了 Microsoft Sentinel 的現有工作區的客戶,他們希望在 Defender 入口網站上轉換其 Microsoft Sentinel 的使用體驗。 如果您是具有訂用帳戶 擁有者 或 使用者存取系統管理員許可權的新客戶,您的工作區 會自動上線至 Defender 入口網站。
某些Microsoft Sentinel 功能在Defender入口網站中有新的位置。 如需詳細資訊,請參閱 快速參考。
相關時,詳細必要條件位於每個步驟的連結文章中。
規劃和設定轉換環境
對象:安全性架構師
影片:
- 在 Microsoft Defender 中設定 Microsoft Sentinel 工作區
- 在 Microsoft Defender 中管理統一的 RBAC
檢視規劃指南、完成前置作業並開始上線
在將工作區上線至 Defender 入口網站之前,請先檢閱所有規劃指引並完成所有必要條件。 如需詳細資訊,請參閱下列文章:
在 Defender 入口網站中部署統一安全性作業。 雖然本文適用於尚未有工作區供 Microsoft Sentinel 或其他上線至 Defender 入口網站的新客戶使用,但如果您要移至 Defender 入口網站,請使用它作為參考。
將Microsoft Sentinel 連線至 Defender 入口網站。 本文列出將工作區上線至 Defender 入口網站的必要條件。 如果您打算在沒有 Defender XDR 的情況下使用 Microsoft Sentinel,您需要採取額外的步驟來觸發Microsoft Sentinel 與 Defender 入口網站之間的連線。
檢視數據儲存與隱私權之間的差異
當您使用 Azure 入口網站時,適用於數據記憶體、進程、保留和共用 Microsoft Sentinel 原則。 當您使用 Defender 入口網站時,即使是在處理 Microsoft Sentinel 資料,Microsoft Defender XDR 策略仍然適用。
下表提供其他詳細數據和連結,讓您可以比較 Azure 和 Defender 入口網站的體驗。
| 支援區域 | Azure 入口網站 | Defender 入口網站 |
|---|---|---|
| BCDR | 客戶須負責復寫其數據 | Microsoft Defender 會在控制窗格上使用 BCDR 的自動化。 |
| 資料儲存和處理 | - 數據儲存位置 - 支援的區域 |
數據儲存位置 |
| 資料保留 | 資料保留 | 資料保留 |
| 數據共用 | 數據共用 | 數據共用 |
如需詳細資訊,請參閱:
設定多工作區和多租使用者管理
Defender 透過 多承租戶入口網站支援多承租戶的一或多個工作區,作為管理事件和警示的中央位置,跨租戶追蹤威脅,並讓受控安全服務提供者(MSSP)跨客戶查看。
在多工作區案例中,多租使用者入口網站可讓您連接每個租使用者一個主要工作區和多個次要工作區。 針對每個租用戶個別將每個工作區上架到 Defender 入口網站,就像為單一租用戶上線一樣。
如需詳細資訊,請參閱:
Azure Lighthouse 文件。 Azure Lighthouse 可讓您跨上線工作區使用來自其他租用戶的 Microsoft Sentinel 資料。 例如,您可以在進階搜捕和分析規則中使用
workspace()運算符來執行跨工作區查詢。Microsoft Entra B2B。 Microsoft Entra B2B 可讓您跨租使用者存取數據。 Microsoft Sentinel 數據不支援 GDAP。
設定和檢閱您的設定和內容
對象:安全性工程師
影片: 在 Microsoft Defender 中管理連接器
確認及設定數據收集
Microsoft Sentinel 與 Microsoft Defender 整合時,數據收集和遙測流程的基本架構會保持不變。 Microsoft Sentinel 中設定的現有連接器,無論是針對 Microsoft Defender 產品或其他數據源,都繼續運作,而不會中斷。
從 Log Analytics 的觀點來看,Microsoft Sentinel 整合到 Microsoft Defender 中,不會對基礎擷取管線或數據架構造成任何變更。 儘管前端統一,Microsoft Sentinel 後端仍與 Log Analytics 完全整合,以進行數據儲存、搜尋和相互關聯。
與 Microsoft Defender for Cloud 整合
- 如果您使用適用於雲端的 Defender 租使用者型數據連接器,請務必採取動作以防止重複的事件和警示。
- 如果您使用舊版的訂閱型連接器,請務必選擇不將事件和警示同步到 Microsoft Defender。
如需詳細資訊,請參閱 Microsoft Defender 中的警示和事件。
Defender 入口網站中的數據連接器可見度
將工作區上線至 Defender 之後,下列數據連接器會用於統一安全性作業,且不會顯示在 Defender 入口網站的 [數據連接器 ] 頁面中:
- Microsoft Defender for Cloud Apps (Microsoft 雲端應用程式防護)
- Microsoft Defender 端點防護
- 適用於身分識別的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender (預覽)
- Microsoft Defender XDR
- 訂用帳戶型適用於雲端的 Microsoft Defender (舊版)
- 租用戶型適用於雲端的 Microsoft Defender (預覽)
這些數據連接器會繼續列在 Azure 入口網站的 Microsoft Sentinel 中。
設定您的生態系統
雖然 Microsoft Sentinel 的 工作區管理員 無法在 Defender 入口網站中使用,但您可以使用下列其中一個替代功能,以程式代碼的形式在跨工作區內分發內容。
從您的存放庫將內容部署為程式代碼(公開預覽)。 使用 GitHub 或 Azure DevOps 中的 YAML 或 JSON 檔案,使用統一的 CI/CD 工作流程,跨 Microsoft Sentinel 和 Defender 管理及部署組態。
多租用戶入口網站。 Microsoft Defender 多租用戶入口網站支援管理和散發多個租用戶的內容。
否則,請繼續部署解決方案套件,其中包含來自 Defender 入口網站中內容中樞的各種安全性內容。 如需詳細資訊,請參閱 探索和管理 Microsoft Sentinel 內建內容。
設定分析規則
Microsoft Sentinel 分析規則 可在 Defender 入口網站中取得 ,以進行偵測、設定和管理。 分析規則的功能保持不變,包括透過精靈、存放庫和Microsoft Sentinel API 建立、更新和管理。 事件相互關聯和多階段攻擊偵測也會繼續在Defender入口網站中運作。 在 Azure 入口網站中,由 Fusion 分析規則管理的警示關聯功能由 Defender 入口網站中的 Defender XDR 引擎處理,該引擎將所有訊號集中在一起以便於管理。
移至Defender入口網站時,請務必注意下列變更:
| 特徵 / 功能 | 說明 |
|---|---|
| 自訂偵測規則 | 如果您有偵測使用案例涉及 Defender XDR 和 Microsoft Sentinel 的數據,並且不需要將 Defender XDR 的數據保留超過 30 天,我們建議您建立自訂偵測規則,從 Microsoft Sentinel 和 Defender XDR 的數據表查詢數據。 支援時不需要將 Defender 全面偵測回應資料內嵌至 Microsoft Sentinel。 如需詳細資訊,請參閱 在 Microsoft Defender 中使用 Microsoft Sentinel 自訂函數進行進階狩獵。 |
| 警示相互關聯 | 在 Defender 入口網站中,不論警示案例為何,都會針對 Microsoft Defender 數據和 Microsoft 從 sentinel 擷取的第三方數據,自動套用相互關聯。 用來在單一事件中將警示相互關聯的準則是 Defender 入口網站專屬的內部相互關聯邏輯的一部分。 如需詳細資訊,請參閱 Defender入口網站中的警示相互關聯和事件合併。 |
| 警示群組和事件合併 | 雖然您仍然會在分析規則中看到警示群組設定, 但 Defender XDR 相互關聯引擎 會在 Defender 入口網站中在必要時完全控制警示群組和事件合併。 這可確保將多階段攻擊的相關警示結合在一起,以確保完整攻擊案例的完整檢視。 例如,設定為為每個警示生成事件的多個個別分析規則,如果符合 Defender XDR 的相互關聯邏輯,可能會導致事件合併。 |
| 警報可見度 | 如果您已Microsoft Sentinel 分析規則 設定為僅觸發警示,且事件建立已關閉,這些警示就不會顯示在Defender入口網站中。 不過,雖然 進階搜捕 查詢編輯器無法辨識 SecurityAlerts 數據表架構,但您仍然可以在查詢和分析規則中使用數據表。 |
| 警示微調 | Microsoft Sentinel 工作區上線至 Defender 之後,Defender XDR 引擎會產生所有事件,包括來自Microsoft Sentinel 分析規則的事件。 因此,Defender 入口網站中先前僅適用於 Defender XDR 警示的 警示微調功能 ,現在可以套用至來自 Microsoft Sentinel 的警示。 這項功能可讓您將常見警示的解決自動化、減少誤判,以及將雜訊降到最低,以簡化事件回應,讓分析師可以優先處理重要的安全性事件。 |
| 融合:進階多階段攻擊偵測 | 在 Azure 入口網站中,融合分析規則會根據融合相互關聯引擎所建立的警示相互關聯來建立事件,且會在您將 Microsoft Sentinel 上線至 Defender 入口網站時停用。 您不會遺失警示相互關聯功能,因為 Defender 入口網站會使用 Microsoft Defender XDR 的事件建立和相互關聯功能來取代 Fusion 引擎的事件建立和相互關聯功能。 如需詳細資訊,請參閱 Microsoft Sentinel 中的進階多階段攻擊偵測 |
設定自動化規則和劇本
在Microsoft Sentinel 中,劇本是以 Azure Logic Apps 內建的工作流程為基礎,此雲端服務可協助您在整個企業中排程、自動化及協調整個系統的工作和工作流程。
在 Defender 入口網站中工作時,下列限制適用於 Microsoft Sentinel 自動化規則和劇本。 進行轉換時,您可能需要在環境中進行一些變更。
| 功能性 | 說明 |
|---|---|
| 具有警示觸發程式的自動化規則 | 在 Defender 入口網站中,具有警示觸發程序的自動化規則僅適用於 Microsoft Sentinel 警示。 如需詳細資訊,請參閱警示建立觸發程序。 |
| 具有事件觸發器的自動化規則 | 在 Azure 入口網站和 Defender 入口網站中, 會移除事件提供者 條件屬性,因為所有事件 都Microsoft XDR 作為事件提供者( ProviderName 欄位中的值)。 此時,任何現有的自動化規則都會在Microsoft Sentinel 和 Microsoft Defender XDR 事件上執行,包括 事件提供者 條件設定為僅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 不過,指定特定分析規則名稱的自動化規則只會在包含指定分析規則所建立警示的事件上執行。 這表示您可以將 [分析規則名稱] 條件屬性定義為只存在於 Microsoft Sentinel 中的分析規則,以將您的規則限制為只在 Microsoft Sentinel 中執行。 如需詳細資訊,請參閱 事件觸發條件。 |
| 劇本觸發程序中的延遲 | Microsoft Defender 的事件可能最多需要 5 分鐘 才會出現在 Microsoft Sentinel 中。 如果存在此延遲,則劇本觸發也會延遲。 |
| 現有事件名稱的變更 | Defender 入口網站會使用唯一引擎來將事件和警示相互關聯。 將工作區上線至 Defender 入口網站時,如果套用了相互關聯,可能會變更現有的事件名稱。 若要確保自動化規則一律正確執行,因此建議您避免使用事件標題作為自動化規則中的條件準則,並建議改用已建立事件內含警示的任何分析規則名稱,並在需要更具體時使用標籤。 |
| 依欄位更新 | 如需詳細資訊,請參閱 事件更新觸發程式。 |
| 新增事件工作的自動化規則 | 如果自動化規則新增事件工作,則工作只會顯示在 Azure 入口網站中。 |
| 直接從事件建立自動化規則 | 只有在 Azure 入口網站中才支援直接從事件建立自動化規則。 如果您是在 Defender 入口網站中工作,請從 [自動化] 頁面從頭開始建立 您的自動化 規則。 |
| Microsoft事件建立規則 | 在 Defender 入口網站中不支援 Microsoft 事件建立規則。 如需詳細資訊,請參閱 Microsoft Defender XDR 事件和Microsoft事件建立規則。 |
| 從 Defender 入口網站執行自動化規則 | 最多可能需要 10 分鐘的時間,觸發才會警示,並且當執行自動化規則時,在 Defender 入口網站中建立或更新事件。 這個時間延遲是因為事件是在 Defender 入口網站中建立,然後轉送至 Microsoft Defender 進行自動化規則。 |
| [使用中的劇本] 索引標籤 | 上線至 Defender 入口網站之後,根據預設,[作用中劇本] 索引標籤會顯示預先定義的篩選,其中包含已上線工作區的訂用帳戶。 在 Azure 入口網站中,使用訂用帳戶篩選來新增其他訂用帳戶的資料。 如需詳細資訊,請參閱 從範本建立及自訂 Microsoft Sentinel 劇本。 |
| 視需要手動執行劇本 | Defender 入口網站目前不支援下列程序: |
| 在事件上執行劇本需要 Microsoft Sentinel 同步處理 | 如果您嘗試從 Defender 入口網站對事件執行劇本,並看到訊息「無法存取與此動作相關的數據。請在幾分鐘內重新整理畫面。」這表示事件尚未同步至 Microsoft Sentinel。 在事件同步處理之後重新整理事件頁面,以順利執行劇本。 |
| 事件:將警示新增至事件 / 從事件中移除警示 |
將工作區上線至 Defender 入口網站之後,由於不支援將警示新增至事件或從事件中移除,因此劇本內也不支援這些動作。 如需詳細資訊,請參閱 瞭解在 Defender 入口網站中,警示如何相互關聯並合併事件。 |
| 多個工作區中的 Microsoft Defender 全面偵測回應整合 | 如果您已將 XDR 數據整合到單一租戶中的多個工作區,則數據現在只會匯入到 Defender 介面中的主要工作區。 將自動化規則傳送至相關的工作區,使其保持執行。 |
| 自動化和相互關聯引擎 | 相互關聯引擎可以將多個訊號的警示合併成單一事件,這可能會導致自動化接收您未預期的數據。 建議您檢閱自動化規則,以確保您看到預期的結果。 |
設定 API
Defender 入口網站中的整合體驗引進了來自 API 的事件和警示值得注意的變更。 它支援以 Microsoft Graph REST API v1.0 為基礎的 API 呼叫,其可用於與警示、事件、進階搜捕等相關的自動化。
Microsoft Sentinel API 會繼續支持針對Microsoft Sentinel 資源的動作,例如分析規則、自動化規則等等。 若要與統一事件和警示互動,建議您使用 Microsoft Graph REST API。
如果您使用 Microsoft Sentinel SecurityInsights API 來與 Microsoft Sentinel 事件互動,則因為回應本文中的變更,您可能需要更新自動化條件和觸發準則。
下表列出回應代碼段中很重要的欄位,並跨 Azure 和 Defender 入口網站加以比較:
| 功能性 | Azure 入口網站 | Defender 入口網站 |
|---|---|---|
| 事件的連結 | incidentUrl:Microsoft Sentinel 入口網站中事件的直接 URL |
providerIncidentUrl :此額外欄位提供事件的直接連結,可用來將此資訊與 ServiceNow 之類的第三方票證系統進行同步處理。 incidentUrl 仍然可用,但指向Microsoft Sentinel 入口網站。 |
| 觸發偵測並發佈警示的來源 | alertProductNames |
alertProductNames:需要新增 ?$expand=alerts 至 GET。 例如, https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| 警示提供者的名稱 | providerName = “Azure Sentinel” |
providerName = “Microsoft XDR” |
| 建立警示的服務或產品 | Azure 入口網站中不存在 | serviceSource 例如,“microsoftDefenderForCloudApps” |
| 識別值得注意元件或活動的偵測技術或感測器 | Azure 入口網站中不存在 | detectionSource 例如,“cloudAppSecurity” |
| 發佈此警示的產品名稱 | Azure 入口網站中不存在 | productName 例如,“Microsoft Defender for Cloud Apps” |
在 Defender 入口網站中執行作業
受眾:安全性分析師
影片:
- 在 Microsoft Defender 中發掘和管理 Microsoft Sentinel 內容和威脅情報
- 在 Microsoft Defender 中建立自動化程序及工作簿
- Microsoft Defender 中的警報關聯
- Microsoft Defender 中的事件調查
- Microsoft Defender 中的案例管理
- Microsoft Defender 中的進階搜捕
- Microsoft Defender 中的 SOC 優化
更新 Defender 入口網站的事件分級程式
如果您在 Azure 入口網站中使用 Microsoft Sentinel,您會在 Defender 入口網站中注意到顯著的使用者體驗增強功能。 雖然您可能需要更新 SOC 程式並重新定型分析師,但設計會將所有相關信息合併在單一位置,以提供更精簡且更有效率的工作流程。
Defender 入口網站中的整合事件佇列會將產品間的所有事件合併成單一檢視,影響分析師如何分級現在包含多個跨安全性網域警示的事件。 例如:
- 傳統上,分析師會根據特定安全性網域或專業知識來分級事件,通常會處理每個實體的票證,例如使用者或主機。 這種方法可能會造成盲點,而統一體驗的目的是旨在解決這些盲點。
- 當攻擊者橫向移動時,相關警報可能會因不同的安全領域而成為不同的事件。 統一體驗可藉由提供全面檢視來消除此問題,確保所有相關警示相互關聯且一致地進行管理。
分析師也可以在Defender入口網站中檢視偵測來源和產品名稱,並套用和共享篩選,以取得更有效率的事件和警示分級。
統一分級程式可協助減少分析師工作負載,甚至可能結合第 1 層和第 2 層分析師的角色。 不過,統一分級程式也需要更廣泛且更深入的分析師知識。 建議您對新的入口網站介面進行培訓,以確保順利轉換。
如需詳細資訊,請參閱 Microsoft Defender 入口網站中的事件和警示。
了解警示如何相互關聯,以及在 Defender 入口網站中合併事件
Defender 的相互關聯引擎會在辨識個別事件中警示之間的常見元素時合併事件。 當新的警示符合相互關聯準則時,Microsoft Defender 會匯總,並將它與來自所有偵測來源的其他相關警示相互關聯到新的事件。 將Microsoft Sentinel 上線至 Defender 入口網站之後,統一事件佇列會顯示更全面的攻擊,讓分析師更有效率,並提供完整的攻擊案例。
在多工作區案例中,只有來自主要工作區的警示會與 Microsoft Defender XDR 數據相互關聯。 此外也有不合併事件的特定案例。
將Microsoft Sentinel 上線至 Defender 入口網站之後,下列變更適用於事件和警示:
| 特徵 / 功能 | 說明 |
|---|---|
| 在上線工作區之後延遲 | Microsoft Defender 事件可能需要 5 分鐘的時間,才能與 Microsoft Sentinel 完全整合。 這不會影響 Microsoft Defender 直接提供的功能,例如自動攻擊阻斷。 |
| 安全性事件建立規則 | 為避免建立重複的事件,會停用任何啟用中的Microsoft 安全性事件建立規則。 其他類型的分析規則中的事件建立設定會保持原狀,而且可在 Defender 入口網站中設定。 |
| 事件提供者名稱 | 在 Defender 入口網站中, 事件提供者名稱 一律Microsoft XDR。 |
| 新增/移除事件中的警示 | 僅在 Defender 入口網站中支援新增 Microsoft Sentinel 警示至事件或從事件中移除。 若要從 Defender 入口網站中的事件中移除警示,您必須 將警示新增至另一個事件。 |
| 編輯批注 | 在 Defender 或 Azure 入口網站中將批注新增至事件,但在 Defender 入口網站中不支援編輯現有的批注。 在 Azure 入口網站中對批注所做的編輯不會同步處理至 Defender 入口網站。 |
| 以程式設計方式和手動方式建立事件 | 使用邏輯應用程式劇本或從 Azure 入口網站手動透過 API 在 Microsoft Sentinel 中建立的事件不會同步至 Defender 入口網站。 Azure 入口網站和 API 仍支援這些事件。 請參閱 在 Microsoft Sentinel 中手動建立您自己的事件。 |
| 重新開啟已關閉的事件 | 在 Defender 入口網站中,您無法在 Microsoft Sentinel 分析規則中設定警示群組,以在新增警示時重新開啟已關閉的事件。 在此情況下,不會重新開啟已關閉的事件,而新的警示會觸發新的事件。 |
| 任務 | 在 Defender 入口網站中無法使用事件工作。 如需詳細資訊,請參閱使用工作來管理 Microsoft Sentinel 中的事件。 |
如需詳細資訊,請參閱 Microsoft Defender 入口網站中的事件和警示 ,以及 Microsoft Defender 入口網站 中的警示相互關聯和事件合併。
注意使用進階搜捕進行調查的變更
將Microsoft Sentinel 上線至 Defender 入口網站之後,請在 [ 進階搜捕 ] 頁面中存取並使用您所有現有的 Kusto 查詢語言 (KQL) 查詢和函式。
存在一些差異,例如:
- 進階搜尋不支援書籤。 相反地,在 Defender 入口網站中的 [Microsoft Sentinel] > [威脅管理] > [搜捕] 下支援書籤。
- 雖然 SecurityAlert 資料表不會列於 進階偵查>架構 的數據表清單中,但查詢中仍支援它。
如需詳細資訊,請參閱 使用 Microsoft Defender 中的 Microsoft Sentinel 數據進行進階搜捕,特別是 已知問題清單,以及在使用 Microsoft Sentinel 搜捕期間追蹤數據。
使用 Defender 入口網站中的實體進行調查
在 Microsoft Defender 入口網站中,實體通常是 資產,例如帳戶、主機或信箱,或 辨識項,例如 IP 位址、檔案或 URL。
zh-TW: 將 Microsoft Sentinel 整合至 Defender 入口網站之後,使用者、裝置和 IP 位址的實體頁面會合併成單一檢視,並全面檢視該實體的活動與來自 Microsoft Sentinel 和 Microsoft Defender XDR 的內容和數據。
Defender 入口網站也提供全域搜尋列,以集中所有實體的結果,讓您可以跨 SIEM 和全面偵測回應進行搜尋。
如需詳細資訊,請參閱 Microsoft Sentinel 中的實體頁面。
在 Defender 入口網站中使用 UEBA 進行調查
使用者和實體行為分析(UEBA)的大部分功能在 Defender 入口網站中維持不變,就像在 Azure 入口網站中一樣,但有以下例外:
只有在 Azure 入口網站中才支援從事件將實體新增至威脅情報。 如需詳細資訊,請參閱 將實體新增至威脅指標。
將Microsoft Sentinel 上線至 Defender 入口網站之後,
IdentityInfoDefender 入口網站中使用的數據表包含來自 Defender XDR 和 Microsoft Sentinel 的統一字段。 在 Azure 入口網站中使用的某些欄位會在 Defender 入口網站中重新命名,或完全不受支援。 我們建議您檢查您的查詢,查看是否有涉及這些欄位的任何引用,並視需要進行更新。 如需詳細資訊,請參閱 IdentityInfo 數據表。
更新調查程式以使用 Microsoft Defender 威脅情報
對於從 Azure 入口網站移至 Defender 入口網站Microsoft Sentinel 客戶,熟悉的威脅情報功能會保留在 Intel 管理下的 Defender 入口網站中,並使用 Defender 入口網站中可用的其他威脅情報功能來增強。 支援的功能取決於您擁有的授權,例如:
| 特徵 / 功能 | 說明 |
|---|---|
| 威脅分析 | 支援 Microsoft Defender 全面偵測回應客戶。 Microsoft安全性研究人員所提供的產品內解決方案,其設計目的是提供新興威脅、主動威脅及其影響見解,協助安全性小組。 數據會顯示在直覺式儀錶板中,其中包含卡片、數據列、篩選等等。 |
| Intel 設定檔 | 支援 Microsoft Defender 威脅情報客戶。 依威脅執行者配置檔分類威脅和行為,讓您更輕鬆地追蹤和相互關聯。 這些設定檔包括任何與攻擊中所使用策略、技術和工具相關的入侵指標 (IOC)。 |
| Intel Explorer | 支援 Microsoft Defender 威脅情報客戶。 整合可用的威脅指標(IoC),並在文章發佈時提供威脅相關內容,讓安全團隊及時掌握新興威脅的動態。 |
| Intel 專案 | 支援 Microsoft Defender 威脅情報客戶。 可讓小組將威脅情報合併為「專案」,以檢閱與特定關注案例相關的所有成品。 |
在 Defender 入口網站中,使用 ThreatIntelOjbects 和 ThreatIntelIndicators 配合妥協指標,以進行威脅搜捕、事件回應、Copilot、報告,以及建立顯示指標與實體連接的關係圖。
對於使用 Microsoft Defender 威脅情報 (MDTI) 摘要的客戶,免費版本可透過適用於 MDTI 的 Microsoft Sentinel 數據連接器取得。 具有 MDTI 授權的使用者也可以內嵌 MDTI 數據,並使用安全性 Copilot 進行威脅分析、主動威脅檢閱和威脅執行者研究。
如需詳細資訊,請參閱:
使用活頁簿來可視化和報告 Microsoft Defender 數據
Azure 活頁簿會繼續成為 Defender 入口網站中數據視覺效果和互動的主要工具,就像在 Azure 入口網站中一樣運作。
若要搭配進階搜捕的資料使用活頁簿,請確定您將記錄內嵌到 Microsoft Sentinel。 雖然活頁簿本身會讓您留在 Defender 入口網站中,但程式設計為在 Azure 入口網站中開啟頁面或資源的按鈕或連結會繼續開啟 Azure 入口網站的個別索引標籤。
如需詳細資訊,請參閱 在 Microsoft Sentinel 中使用活頁簿可視化和監視您的數據。
相關內容
- Microsoft Sentinel 的最佳功能 - 現在整合在 Microsoft Defender 中 (部落格)
- 觀看網路研討會:轉換至整合 SOC 平台:適用於 SOC 專業人員的深入探討和互動式問答。
- 請參閱 TechCommunity部落格 或 Microsoft Community Hub 中的常見問題。