Microsoft Defender 提供統一的網路安全性解決方案,可將端點保護、雲端安全性、身分識別保護、電子郵件安全性、威脅情報、暴露管理和 SIEM 整合到集中式平臺。 其使用 AI 驅動的防禦來協助組織預期和停止攻擊,確保有效率且有效的安全性作業。
Microsoft Sentinel 在 Microsoft Defender 入口網站中正式推出,無論是使用 Microsoft Defender XDR 或本身,在 SIEM 和 XDR 之間提供統一的體驗,以更快且更精確的威脅偵測和響應、簡化的工作流程,以及增強作業效率。
本文說明 Defender 入口網站中的Microsoft Sentinel 體驗。 建議您在 Azure 入口網站中使用 Microsoft Sentinel 的客戶移至 Microsoft Defender,以利用可用的統一安全性作業和最新功能。 如需詳細資訊,請參閱 將Microsoft Sentinel 環境轉換為Defender入口網站。
新功能和改良功能
下表說明 Defender 入口網站中可用的新功能或改良功能,並整合 Microsoft Sentinel。 Microsoft透過可能專屬於 Defender 入口網站的功能,繼續在此新體驗中創新。
| 能力 | 描述 | 瞭解更多資訊 |
|---|---|---|
| 簡化的作業 | 從單一整合介面管理所有安全性事件、警示和調查。 - Defender 中樞入口中的裝置、使用者、IP 位址和 Azure 資源的統一實體頁面會顯示來自 Microsoft Sentinel 和 Defender 數據來源的資訊。 這些實體頁面可讓您在 Defender 入口網站中展開事件和警示的調查內容。 - 統一事件管理 讓您在 Defender 入口網站中的單一佇列,集中管理與調查安全性事件。 使用安全性 Copilot 來摘要、回應和報告。 統一事件包括來自多種來源的數據、安全資訊和事件管理(SIEM)的AI 分析工具,以及延伸偵測和回應(XDR)所提供的背景資訊和風險緩解工具。 - 使用 進階搜捕 從不同數據集的單一入口網站進行查詢,讓搜捕更有效率,並移除內容切換的需求。 使用 Security Copilot 來協助產生 KQL、檢視和查詢所有數據,包括來自 Microsoft 安全性服務和 Microsoft Sentinel 的數據,然後使用所有現有的 Microsoft Sentinel 工作區內容,包括查詢和函式來調查。 |
-
在 Microsoft Sentinel 中調查具有實體頁面的實體 - Microsoft Defender 入口網站中的事件回應 - 調查安全性 Copilot 中的Microsoft Sentinel 事件 - Microsoft Defender 入口中的進階偵測 進階偵察中的 Security Copilot |
| 增強的威脅偵測 | 使用進階 AI 和機器學習服務,以更快速且更精確的威脅偵測和回應。 受益於改善的訊號與雜訊比率和增強的警示相互關聯,確保及時解決重大威脅。 | 統一安全性作業的威脅偵測 |
| 新功能 | 存取強大的工具,例如組織和管理安全事件的案例管理、自動攻擊中斷,以修復高精確性真實正判斷上的受侵害實體,以及自動化事件摘要和引導式回應動作的內嵌安全性 Copilot 體驗等等。 例如,在Defender入口網站中調查事件時,請使用 Security Copilot 分析 腳本、 分析檔案,以及 建立事件報告。 在進階搜捕中搜捕威脅時,請使用查詢助理 建立立即執行的 KQL 查詢 。 |
-
案例管理 - 自動攻擊中斷 - 自動化事件摘要 - 引導式回應動作 - 分析腳本 - 分析檔案 - 建立事件報告 - 建立現成執行的 KQL 查詢 |
| 增強可見度並降低風險暴露 | 分析攻擊路徑,以查看網路攻擊者如何利用弱點。 使用引導式SOC優化建議來降低成本和曝光,並根據潛在影響排定動作的優先順序。 |
-
優化您的安全性作業 - 以程序設計方式使用SOC優化 - 建議的SOC優化參考 |
| 量身打造的事件后建議 | 使用與Microsoft安全性暴露管理計劃相關的量身訂做建議,防止類似或重複網路攻擊。 | Microsoft 安全風險管理,提升安全防護能力 |
| 成本和數據優化 | 客戶可以在 Defender 入口網站中的統一且一致架構中存取Microsoft Sentinel 和 Defender XDR 數據。 進階搜捕原始記錄可供免費搜捕 30 天,而不需要將它們內嵌到 sentinel Microsoft。 |
將 Defender XDR 表格串流至 Microsoft Sentinel 時,應預期的情況 |
在僅透過 Defender 入口網站存取時,Microsoft Sentinel 的某些功能可能會受限或無法使用。
當您將Microsoft Sentinel 上線至未啟用 Defender XDR 或其他服務的 Defender 入口網站時,下列功能會受到限制或無法使用:
- Microsoft安全性暴露管理
- Microsoft Defender XDR 提供的自定義偵測規則
- Microsoft Defender XDR 所提供的控制中心
快速參考
某些Microsoft Sentinel 功能,例如整合事件佇列,會與 Defender 入口網站中的 Microsoft Defender XDR 整合。 Defender 入口網站的 [Microsoft Sentinel] 區段中提供許多其他 Microsoft Sentinel 功能。
下圖顯示 Defender 入口網站中Microsoft Sentinel 選單:
下列各節說明在 Defender 入口網站中尋找Microsoft Sentinel 功能的位置,並適用於移至 Defender 入口網站的現有客戶。 區段會組織為 Azure 入口網站中的 [Microsoft Sentinel]。
如需詳細資訊,請參閱 將Microsoft Sentinel 環境轉換為Defender入口網站。
一般
下表列出 Azure 入口網站 [一般] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 概觀 | 概觀 |
| 日志 | 調查和回應>狩獵>進階搜捕 |
| 新聞和指南 | 無法使用 |
| 搜尋 | Microsoft Sentinel>搜索 |
威脅管理
下表列出 Azure 入口網站 [威脅管理] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 事件 | 調查和回應>事件和警示>事件 |
| 作業簿 | Microsoft Sentinel>威脅管理>工作簿 |
| 狩獵 | Microsoft Sentinel>威脅管理>狩獵 |
| 筆記本 | Microsoft Sentinel>威脅管理>筆記本 |
| 實體行為 |
用戶實體頁面:資產>身分識別>{user}>Sentinel事件 和 裝置實體頁面:資產>裝置>{device}>哨兵事件 此外,請從事件和警示中尋找使用者、裝置、IP 和 Azure 資源實體類型的實體頁面和顯示的警示。 |
| 威脅情報 | 威脅情報>Intel 管理 |
| MITRE ATT&CK | Microsoft Sentinel>威脅管理>MITRE ATT&CK |
內容管理
下表列出 Azure 入口網站 [內容管理] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 內容中樞 | Microsoft Sentinel>內容管理>內容中樞 |
| 存儲庫 | Microsoft Sentinel>內容管理>存儲庫 |
| 社區 | Microsoft Sentinel>內容管理>社區 |
組態
下表列出 Azure 入口網站 [設定] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 工作區管理員 | 無法使用 |
| 數據連接器 | Microsoft Sentinel>配置>數據連接器 |
| 分析學 |
Microsoft Sentinel>配置>分析 和 調查和回應>狩獵>自定義偵測規則 |
| 關注清單 | Microsoft Sentinel>配置>關注清單 |
| 自動化 | Microsoft Sentinel>配置>自動化 |
| 設定 | 系統>設置>Microsoft Sentinel |