將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應

• 適用於:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 已在 Microsoft Defender 入口網站的Microsoft統一安全性作業平臺內正式推出。 當您將 Sentinel Microsoft 上線至 Defender 入口網站時，您會將功能與Microsoft Defender XDR 整合，例如事件管理和進階搜捕。 減少工具切換，並建置更著重於內容的調查，以加速事件回應並更快速地停止缺口。 如需詳細資訊，請參閱：

• 部落格文章： Microsoft統一安全性作業平臺正式推出
• 部落格文章： 有關統一安全性作業平臺的常見問題
• Microsoft Defender 入口網站中的 Microsoft Sentinel
• Microsoft Defender XDR 與 Microsoft Sentinel 整合

必要條件

開始之前，請先檢閱功能檔以了解產品變更和限制：

• Microsoft Defender 入口網站中的 Microsoft Sentinel
• Microsoft Defender 入口網站中的進階搜捕
• Microsoft Defender XDR 中的警示、事件和相互關聯
• 使用統一安全性作業平臺進行自動化

Microsoft Defender 入口網站支持單一Microsoft Entra 租使用者，以及一次連線到一個工作區。 在本文的內容中，工作區是已啟用 Microsoft Sentinel 的 Log Analytics 工作區。

若要在 Microsoft Defender 入口網站中上線並使用 Microsoft Sentinel，您必須具有下列資源和存取權：

• 已啟用 Microsoft Sentinel 的 Log Analytics 工作區

• Microsoft Defender XDR (的數據連接器，先前名為 Microsoft 365 Defender) 在 Microsoft Sentinel 中針對事件和警示啟用。 如需詳細資訊，請 參閱將數據從 Microsoft Defender XDR 連線到 Microsoft Sentinel。

• 在 Defender 入口網站中存取 Microsoft Defender XDR

• Microsoft上線至 Microsoft Entra 租使用者的 Defender XDR

• 具有適當角色的 Azure 帳戶，可在 Defender 入口網站中針對 Microsoft Sentinel 上線、使用及建立支援要求。 下表醒目提示一些需要的重要角色。

  工作	需要 Azure 內建角色	範圍
  連線或中斷工作區連線，並啟用 Microsoft Sentinel	擁有者 或 使用者存取系統管理員 和 Microsoft Sentinel 參與者	- 擁有者或使用者存取系統管理員角色 的訂用帳戶 - Microsoft Sentinel 參與者的訂用帳戶、資源群組或工作區資源
  在 Defender 入口網站中檢視 Microsoft Sentinel	Microsoft Sentinel 讀取器	訂用帳戶、資源群組或工作區資源
  查詢 Sentinel 數據表或檢視事件	Microsoft Sentinel 讀 取器或具有下列動作的角色： - Microsoft.OperationalInsights/workspaces/read-Microsoft.OperationalInsights /workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read-Microsoft.SecurityInsights /incidents/tasks/read	訂用帳戶、資源群組或工作區資源
  對事件採取調查動作	Microsoft Sentinel 參與者 或具有下列動作的角色： - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	訂用帳戶、資源群組或工作區資源
  建立支援要求	擁有者 、 參與者 或 支援要求參與者 或具有 Microsoft.Support/* 的自定義角色	訂閱

  將 Microsoft Sentinel 連線到 Defender 入口網站之後，現有的 Azure 角色型存取控制 (RBAC) 許可權可讓您使用Microsoft可存取的 Sentinel 功能。 繼續從 Azure 入口網站管理Microsoft Sentinel 使用者的角色和許可權。 任何 Azure RBAC 變更都會反映在 Defender 入口網站中。 如需 Microsoft Sentinel 許可權的詳細資訊，請參 閱 Microsoft Sentinel 中的角色和許可權 |Microsoft依資源學習 及 管理對 Microsoft Sentinel 數據的存取 |Microsoft Learn。

上線Microsoft Sentinel

若要將已啟用 Sentinel Microsoft 的工作區連線至 Defender XDR，請完成下列步驟：

1. 移至 Microsoft Defender 入口網站 並登入。

2. 在 [Microsoft Defender XDR] 中，選取 [ 概觀]。

3. 選 取 [連線工作區]。

4. 選擇您想要連線的工作區，然後選取 [ 下一步]。

5. 閱讀並瞭解與連線工作區相關聯的產品變更。 這些變更包括：

   • Microsoft Sentinel 工作區中的記錄數據表、查詢和函式也適用於 Defender XDR 內的進階搜捕。
   • Microsoft Sentinel 參與者角色會指派給訂用帳戶內的 Microsoft Threat Protection 和 WindowsDefenderATP 應用程式。
   • 作用 中Microsoft安全性事件建立規則 會停用，以避免發生重複的事件。 這項變更僅適用於Microsoft警示的事件建立規則，不適用於其他分析規則。
   • 與 Defender XDR 產品相關的所有警示都會直接從主要 Defender XDR 數據連接器串流處理，以確保一致性。 請確定您已在工作區中開啟來自此連接器的事件和警示。

6. 選取 [連線]。

線上工作區之後，[ 概觀 ] 頁面上的橫幅會顯示您的整合安全性資訊和事件管理 (SIEM) 以及延伸偵測和回應 (XDR) 已就緒。 [ 概觀 ] 頁面會更新新的區段，其中包含來自 Sentinel Microsoft計量，例如數據連接器和自動化規則的數目。

在 Defender 入口網站中探索Microsoft Sentinel 功能

將工作區連線到 Defender 入口網站之後， Microsoft Sentinel 位於左側瀏覽窗格中。 概觀、事件和進階搜捕等頁面具有來自 Sentinel 和 Defender XDR Microsoft 統一數據。 如需入口網站之間統一功能和差異的詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

許多現有的 Microsoft Sentinel 功能都會整合到 Defender 入口網站中。 針對這些功能，請注意 Azure 入口網站中Microsoft Sentinel 與 Defender 入口網站之間的體驗很類似。 使用下列文章可協助您開始在Defender入口網站中使用 Microsoft Sentinel。 使用這些文章時，請記住，您在此內容中的起點是 Defender入口網站 ，而不是 Azure 入口網站。

• 搜尋
  • 在大型數據集中跨長時間範圍搜尋
  • 從搜尋還原封存的記錄
• 威脅管理
  • 使用活頁簿將數據可視化並加以監視
  • 使用搜捕進行端對端威脅搜捕
  • 使用搜捕書籤進行數據調查
  • 使用 Microsoft Sentinel 中的搜捕 Livestream 來偵測威脅
  • 使用 Jupyter 筆記本搜捕安全性威脅
  • 從 CSV 或 JSON 檔案大量新增指標以Microsoft Sentinel 威脅情報
  • 在 Microsoft Sentinel 中使用威脅指標
  • 瞭解 MITRE ATT&CK 架構的安全性涵蓋範圍
• 內容管理
  • 探索和管理 Microsoft Sentinel 現成可用的內容
  • Microsoft Sentinel 內容中樞目錄
  • 從存放庫部署自定義內容
• 組態
  • 尋找您的 Microsoft Sentinel 數據連接器
  • 建立自定義分析規則以偵測威脅
  • 在 Microsoft Sentinel 中使用近乎即時的 (NRT) 偵測分析規則
  • 建立關注清單
  • 在 Microsoft Sentinel 中管理關注清單
  • 建立自動化規則
  • 從內容範本建立和自定義 Microsoft Sentinel 劇本

在 Defender 入口網站的 [系統設定] Microsoft Sentinel 底下>>尋找Microsoft Sentinel 設定。

Offboard Microsoft Sentinel

您一次只能有一個工作區連線到Defender入口網站。 如果您想要連線到已啟用 Microsoft Sentinel 的不同工作區，請中斷目前工作區的連線，並連接其他工作區。

1. 移至 Microsoft Defender 入口網站 並登入。

2. 在 Defender 入口網站的 [系統] 底下，選取[>Microsoft Sentinel] 的 [設定]。

3. 在 [ 工作區] 頁面上，選取 [連線的工作區] 和 [ 中斷聯機] 工作區。

4. 提供中斷工作區連線的原因。

5. 確認您的選擇。

   當您的工作區中斷連線時， Microsoft Sentinel 區段會從 Defender 入口網站的左側導覽中移除。 來自 Microsoft Sentinel 的數據不再包含在 [概觀] 頁面上。

如果您想要連線到不同的工作區，請從 [ 工作 區] 頁面選取工作區並 連接工作區。

相關內容

• Microsoft Defender 入口網站中的 Microsoft Sentinel
• Microsoft Defender 入口網站中的進階搜捕
• Microsoft Defender XDR 中的自動攻擊中斷
• 在 Microsoft Defender 全面偵測回應中調查事件
• 優化您的安全性作業