Microsoft Defender 入口網站中的 Microsoft Sentinel (預覽)
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱
本文說明 Microsoft Defender 入口網站中的 Microsoft Sentinel 體驗。
重要
本文中的資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft 對此處提供的資訊,不做任何明確或隱含的瑕疵擔保。
新功能和改良功能
下表說明與 Microsoft Sentinel 和 Defender XDR 整合的 Defender 入口網站中可用的新功能或改進功能。
| Capabilities | 描述 |
|---|---|
| 進階搜捕 | 從不同數據集的單一入口網站進行查詢,讓搜捕更有效率,並移除內容切換的需求。 檢視和查詢所有數據,包括來自 Microsoft 安全性服務和 Microsoft Sentinel 的數據。 使用您所有現有的 Microsoft Sentinel 工作區內容,包括查詢和函式。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的進階搜捕。 |
| 攻擊中斷 | 使用統一安全性作業平臺和適用於 SAP 應用程式的 Microsoft Sentinel 解決方案,為 SAP 部署自動攻擊中斷。 例如,在財務程式操作攻擊時,鎖定可疑的 SAP 使用者,以包含遭入侵的資產。 SAP 的攻擊中斷功能僅適用於 Defender 入口網站。 若要針對 SAP 使用攻擊中斷,請更新您的數據連接器代理程式版本,並確定相關的 Azure 角色已指派給您的代理程式身分識別。 如需詳細資訊,請參閱 SAP 的自動攻擊中斷(預覽版)。 |
| 整合實體 | Defender 入口網站中裝置、使用者、IP 位址和 Azure 資源的實體頁面會顯示來自 Microsoft Sentinel 和 Defender 數據源的資訊。 這些實體頁面可讓您在 Defender 入口網站中展開事件和警示的調查內容。 如需詳細資訊,請參閱 使用 Microsoft Sentinel 中的實體頁面調查實體。 |
| 整合事件 | 從 Defender 入口網站中的單一佇列管理及調查單一位置的安全性事件。 事件包括: - 來源廣度的數據 - 安全性資訊與事件管理的 AI 分析工具 (SIEM) - 擴充偵測和回應所提供的內容和風險降低工具 (XDR) 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的事件回應。 |
入口網站之間的功能差異
Azure 和 Defender 入口網站都提供大部分的 Microsoft Sentinel 功能。 在 Defender 入口網站中,某些 Microsoft Sentinel 體驗會開啟至 Azure 入口網站,讓您完成工作。
本節涵蓋統一安全性作業平臺中的 Microsoft Sentinel 功能或整合,這些整合僅適用於 Azure 入口網站 或 Defender 入口網站,或入口網站之間的其他重大差異。 它會排除從 Defender 入口網站開啟 Azure 入口網站 的 Microsoft Sentinel 體驗。
| 功能 | 可用性 | 描述 |
|---|---|---|
| 使用書籤進行進階搜捕 | 僅限 Azure 入口網站 | Microsoft Defender 入口網站中的進階搜捕體驗不支援書籤。 在 Defender 入口網站中 ,Microsoft Sentinel > 威脅管理 > 搜捕支持它們。 如需詳細資訊,請參閱 使用 Microsoft Sentinel 搜捕期間追蹤數據。 |
| SAP 的攻擊中斷 | 僅限 Defender 入口網站 | Azure 入口網站 中無法使用此功能。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的自動攻擊中斷。 |
| 自動化 | 某些自動化程式僅適用於 Azure 入口網站。 Defender 和 Azure 入口網站 中的其他自動化程式相同,但在已上線至統一安全性作業平臺和工作區的工作區之間 Azure 入口網站 不同。 |
如需詳細資訊,請參閱 使用統一安全性作業平臺進行自動化。 |
| 數據連接器:統一安全性作業平臺所使用的連接器可見度 | 僅限 Azure 入口網站 | 在 Defender 入口網站中,在上線 Microsoft Sentinel 之後,不會在 [資料連接器] 頁面中顯示 屬於統一安全性作業平臺的下列數據連接器 : 在 Azure 入口網站 中,這些數據連接器仍會與 Microsoft Sentinel 中已安裝的數據連接器一起列出。 |
| 實體:從事件將實體新增至威脅情報 | 僅限 Azure 入口網站 | 統一安全性作業平臺中無法使用此功能。 如需詳細資訊,請參閱 將實體新增至威脅指標。 |
| 融合:進階多階段攻擊偵測 | 僅限 Azure 入口網站 | 當您將 Microsoft Sentinel 上線至統一安全性作業平臺時,融合分析規則會根據 Fusion 相互關聯引擎所建立的警示相互關聯來建立事件。 統一的安全性作業平臺會使用 Microsoft Defender 全面偵測回應 的事件建立和相互關聯功能來取代 Fusion 引擎的功能。 如需詳細資訊,請參閱 Microsoft Sentinel 中的進階多階段攻擊偵測 |
| 事件:將警示新增至事件 / 從事件中移除警示 |
僅限 Defender 入口網站 | 將 Microsoft Sentinel 上線至統一安全性作業平台之後,您就無法再將警示新增至 Azure 入口網站 中的事件,或從中移除警示。 您可以從 Defender 入口網站中的事件移除警示,但只能將警示連結至另一個事件(現有或新的)。 |
| 事件:編輯批注 | 僅限 Azure 入口網站 | 將 Microsoft Sentinel 上線至統一安全性作業平台之後,您可以在任一入口網站中將批注新增至事件,但無法編輯現有的批注。 Azure 入口網站 中對批註所做的編輯不會同步處理至統一的安全性作業平臺。 |
| 事件:以程序設計方式和手動方式建立事件 | 僅限 Azure 入口網站 | 透過 API 在 Microsoft Sentinel 中建立的事件,由邏輯應用程式劇本,或從 Azure 入口網站 手動建立的事件,不會同步至統一的安全性作業平臺。 Azure 入口網站和 API 中仍支持這些事件。 請參閱 在 Microsoft Sentinel 中手動建立您自己的事件。 |
| 事件:重新開啟已關閉的事件 | 僅限 Azure 入口網站 | 在統一安全性作業平臺中,您無法在 Microsoft Sentinel 分析規則中設定警示群組,以在新增新的警示時重新開啟已關閉的事件。 在此情況下,不會重新開啟已關閉的事件,而新的警示會觸發新的事件。 |
| 事件:工作 | 僅限 Azure 入口網站 | 統一安全性作業平臺中無法使用工作。 如需詳細資訊,請參閱 使用工作來管理 Microsoft Sentinel 中的事件。 |
快速參考
某些 Microsoft Sentinel 功能,例如整合事件佇列,會與統一安全性作業平臺中的 Microsoft Defender 全面偵測回應 整合。 Defender 入口網站的 Microsoft Sentinel 區段提供 許多其他 Microsoft Sentinel 功能。
下圖顯示 Defender 入口網站中的 Microsoft Sentinel 選單:
下列各節說明在 Defender 入口網站中尋找 Microsoft Sentinel 功能的位置。 這些區段的組織方式為 Microsoft Sentinel 在 Azure 入口網站 中。
一般
下表列出 azure 和 Defender 入口網站之間流覽 Azure 入口網站 一般區段之間的變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 概觀 | 概觀 |
| 記錄 | 調查與回應>搜捕進階搜捕> |
| 新聞與指南 | 無法使用 |
| Search | Microsoft Sentinel > 搜尋 |
威脅管理
下表列出 Azure 入口網站 中 Azure 和 Defender 入口網站之間瀏覽威脅管理一節的變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 事故 | 調查和回應 > 事件和警示 > 事件 |
| 活頁簿 | Microsoft Sentinel > 威脅管理> 活頁簿 |
| 搜捕 | Microsoft Sentinel > 威脅管理 > 搜捕 |
| Notebooks | Microsoft Sentinel > 威脅管理 > 筆記本 |
| 實體行為 | 用戶實體頁面: 資產 > 身分 >識別 {user}> Sentinel 事件 裝置實體頁面: 資產 > 裝置 >{device}> Sentinel 事件 此外,請從事件和警示中尋找使用者、裝置、IP 和 Azure 資源實體類型的實體頁面,並顯示警示。 |
| 威脅情報 | Microsoft Sentinel > 威脅管理 > 威脅情報 |
| MITRE ATT&CK | Microsoft Sentinel > 威脅管理 > MITRE ATT&CK |
內容管理
下表列出 Azure 入口網站 中內容管理區段的 Azure 和 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 內容中樞 | Microsoft Sentinel > 內容管理 > 內容中樞 |
| 儲存機制 | Microsoft Sentinel > 內容管理 > 存放庫 |
| 社群 | Microsoft Sentinel > 內容管理 > 社群 |
組態
下表列出 Azure 入口網站 中 Azure 和 Defender 入口網站之間瀏覽的變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 工作區管理員 | 無法使用 |
| 資料連接器 | Microsoft Sentinel > 設定 > 數據連接器 |
| 分析 | Microsoft Sentinel > 組態 > 分析 |
| 關注清單 | Microsoft Sentinel > 設定 > 監看清單 |
| 自動化 | Microsoft Sentinel > 設定 > 自動化 |
| 設定 | 系統 > 設定 > Microsoft Sentinel |