Microsoft Defender 入口網站中的 Microsoft Sentinel
本文說明 Microsoft Defender 入口網站中的 Microsoft Sentinel 體驗。 Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱
新功能和改良功能
下表說明 Defender 入口網站中提供的新功能或改良功能,並整合 Microsoft Sentinel 和 Defender 全面偵測回應。
| Capabilities | 描述 |
|---|---|
| 進階獵狩 | 從不同資料集的單一入口網站進行查詢,讓搜捕更有效率,並免除內容切換的需求。 使用 Copilot for Security 來協助產生 KQL。 檢視和查詢所有資料,包括來自 Microsoft 安全性服務和 Microsoft Sentinel 的資料。 使用所有現有的 Microsoft Sentinel 工作區內容,包括查詢和函式。 如需詳細資訊,請參閱下列文章: - Microsoft Defender 入口網站中的進階搜捕 - 進階搜捕中的 Copilot for Security |
| 攻擊中斷 | 使用整合安全性作業平台和適用於 SAP 的 Microsoft Sentinel 解決方案應用程式,為 SAP 部署自動攻擊中斷。 例如,在財務程序操作攻擊時,鎖定可疑的 SAP 使用者,以包含遭入侵的資產。 SAP 的攻擊中斷功能僅適用於 Defender 入口網站。 若要針對 SAP 使用攻擊中斷,請更新您的資料連接器代理程式版本,並確定相關的 Azure 角色已指派給您的代理程式身分識別。 如需詳細資訊,請參閱 SAP 的自動攻擊中斷。 |
| SOC 最佳化 | 取得高逼真度且可採取動作的建議,協助您識別區域以: - 降低成本 - 新增安全性控制項 - 新增遺漏的資料 SOC 最佳化可在 Defender 和 Azure 入口網站中取得,專為您的環境量身打造,並且以您目前的涵蓋範圍和威脅態勢為基礎。 如需詳細資訊,請參閱下列文章: - 將您的安全性作業最佳化 - 建議的 SOC 最佳化參考 |
| 整合實體 | Defender 入口網站中裝置、使用者、IP 位址和 Azure 資源的實體頁面會顯示來自 Microsoft Sentinel 和 Defender 資料來源的資訊。 這些實體頁面可讓您在 Defender 入口網站中展開事件和警示的調查內容。 如需詳細資訊,請參閱使用 Microsoft Sentinel 中的實體頁面調查實體。 |
| 整合事件 | 在單一位置以及從 Defender 入口網站中的單一佇列管理及調查安全性事件。 使用 Copilot for Security 進行摘要、回應和報告。 事件包括: - 來源廣度的資料 - 安全性資訊與事件管理 (SIEM) 的 AI 分析工具 - 延伸偵測及回應 (XDR) 所提供的內容和風險降低工具 如需詳細資訊,請參閱下列文章: - Microsoft Defender 入口網站中的事件回應 - 調查 Copilot for Security 中的 Microsoft Sentinel 事件 |
入口網站之間的功能差異
Azure 和 Defender 入口網站都提供大部分 Microsoft Sentinel 功能。 在 Defender 入口網站中,某些 Microsoft Sentinel 體驗會開啟至 Azure 入口網站,讓您完成工作。
本節涵蓋整合安全性作業平台中僅適用於 Azure 入口網站或 Defender 入口網站的 Microsoft Sentinel 功能或整合,或入口網站之間的其他重大差異。 它會排除從 Defender 入口網站開啟 Azure 入口網站的 Microsoft Sentinel 體驗。
| 功能 | 可用性 | 描述 |
|---|---|---|
| 使用書籤進行進階搜捕 | 僅限 Azure 入口網站 | Microsoft Defender 入口網站中的進階搜捕體驗不支援書籤。 在 Defender 入口網站中,[Microsoft Sentinel] > [威脅管理] > [搜捕] 提供這些支援。 如需詳細資訊,請參閱使用 Microsoft Sentinel 在搜捕期間追蹤資料。 |
| SAP 的攻擊中斷 | 僅限 Defender 入口網站 | Azure 入口網站中無法使用此功能。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的自動攻擊中斷。 |
| 自動化 | 某些自動化程序僅適用於 Azure 入口網站。 Defender 和 Azure 入口網站中的其他自動化程序相同,但在 Azure 入口網站中,工作區是否上線至整合安全性作業平台將有所不同。 |
如需詳細資訊,請參閱使用整合安全性作業平台進行自動化。 |
| 資料連接器:整合安全性作業平台所使用的連接器可見度 | 僅限 Azure 入口網站 | 在 Defender 入口網站中,當您將 Microsoft Sentinel 上線之後,[資料連接器] 頁面中不會顯示屬於整合安全性作業平台的下列資料連接器: 在 Azure 入口網站中,這些資料連接器在 Microsoft Sentinel 中仍會以已安裝的資料連接器列出。 |
| 實體:從事件將實體新增至威脅情報 | 僅限 Azure 入口網站 | 整合安全性作業平台中無法使用此功能。 如需詳細資訊,請參閱將實體新增至威脅指標。 |
| 融合:進階多階段攻擊偵測 | 僅限 Azure 入口網站 | 融合分析規則會根據融合相互關聯引擎所建立的警示相互關聯來建立事件,且會在您將 Microsoft Sentinel 上線至整合安全性作業平台時停用。 整合安全性作業平台會使用 Microsoft Defender 全面偵測回應的事件建立和相互關聯功能來取代融合引擎的事件建立和相互關聯功能。 如需詳細資訊,請參閱 Microsoft Sentinel 中的進階多階段攻擊偵測 |
| 事件:將警示新增至事件 / 從事件中移除警示 |
僅限 Defender 入口網站 | 將 Microsoft Sentinel 上線至整合安全性作業平台之後,您就無法再將警示新增至 Azure 入口網站中的事件,或從中移除警示。 您可以從 Defender 入口網站中的事件移除警示,但只能將警示連結至另一個事件 (現有或新的)。 |
| 事件:編輯註解 | 僅限 Azure 入口網站 | 將 Microsoft Sentinel 上線至整合安全性作業平台之後,您可以在任一入口網站中將註解新增至事件,但無法編輯現有的註解。 在 Azure 入口網站中對註解所做的編輯不會同步至整合安全性作業平台。 |
| 事件:以程式設計方式和手動方式建立事件 | 僅限 Azure 入口網站 | 使用邏輯應用程式劇本或從 Azure 入口網站手動透過 API 在 Microsoft Sentinel 中建立的事件不會同步至整合安全性作業平台。 Azure 入口網站和 API 仍支援這些事件。 請參閱在 Microsoft Sentinel 中手動建立您自己的事件。 |
| 事件:重新開啟已關閉的事件 | 僅限 Azure 入口網站 | 在整合安全性作業平台中,您無法在 Microsoft Sentinel 分析規則中設定警示群組,以在新增警示時重新開啟已關閉的事件。 在此情況下,不會重新開啟已關閉的事件,而新的警示會觸發新的事件。 |
| 事件:工作 | 僅限 Azure 入口網站 | 整合安全性作業平台中無法使用工作。 如需詳細資訊,請參閱使用工作來管理 Microsoft Sentinel 中的事件。 |
快速參考
某些 Microsoft Sentinel 功能,例如整合事件佇列,會與整合安全性作業平台中的 Microsoft Defender 全面偵測回應整合。 Defender 入口網站的 [Microsoft Sentinel] 區段中提供許多其他 Microsoft Sentinel 功能。
下圖顯示 Defender 入口網站中的 [Microsoft Sentinel] 功能表:
![使用 [Microsoft Sentinel] 區段左側導覽的 Defender 入口網站螢幕擷取畫面。](media/microsoft-sentinel-defender-portal/navigation-defender-portal.png#lightbox)
下列各節說明在 Defender 入口網站中尋找 [Microsoft Sentinel] 功能的位置。 區段會組織為 Azure 入口網站中的 [Microsoft Sentinel]。
一般
下表列出 Azure 入口網站 [一般] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 概觀 | 概觀 |
| 記錄 | [調查和回應] > [搜捕] > [進階搜捕] |
| 新聞與指南 | 無法使用 |
| 搜尋 | [Microsoft Sentinel] > [搜尋] |
威脅管理
下表列出 Azure 入口網站 [威脅管理] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 事故 | [調查和回應] > [事件和警示] > [事件] |
| 活頁簿 | [Microsoft Sentinel] > [威脅管理] > [活頁簿] |
| 搜捕 | [Microsoft Sentinel] > [威脅管理] > [搜捕] |
| Notebooks | [Microsoft Sentinel] > [威脅管理] > [筆記本] |
| 實體行為 | 使用者實體頁面: [資產] > [身分識別] >{使用者}> [Sentinel 事件] 裝置實體頁面: [資產] > [裝置] >{裝置}> [Sentinel 事件] 此外,請從事件和警示中尋找使用者、裝置、IP 和 Azure 資源實體類型的實體頁面和顯示的警示。 |
| 威脅情報 | [Microsoft Sentinel] > [威脅管理] > [威脅情報] |
| MITRE ATT&CK | [Microsoft Sentinel] > [威脅管理] > [MITRE ATT&CK] |
內容管理
下表列出 Azure 入口網站 [內容管理] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 內容中樞 | [Microsoft Sentinel] > [內容管理] > [內容中樞] |
| 存放庫 | [Microsoft Sentinel] > [內容管理] > [存放庫] |
| 社群 | [Microsoft Sentinel] > [內容管理] > [社群] |
組態
下表列出 Azure 入口網站 [設定] 區段中 Azure 與 Defender 入口網站之間的瀏覽變更。
| Azure 入口網站 | Defender 入口網站 |
|---|---|
| 工作區管理員 | 無法使用 |
| 資料連接器 | [Microsoft Sentinel] > [設定] > [資料連接器] |
| 分析 | [Microsoft Sentinel] > [設定] > [分析] |
| 關注清單 | [Microsoft Sentinel] > [設定] > [關注清單] |
| 自動化 | [Microsoft Sentinel] > [設定] > [自動化] |
| 設定 | [系統] > [設定] > [Microsoft Sentinel] |