Microsoft Sentinel na portálu Microsoft Defender (Preview)
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace naleznete v tématu:
- Unified security operations platform with Microsoft Sentinel and Defender XDR
- Připojení Microsoft Sentinelu do XDR v programu Microsoft Defender
Tento článek popisuje prostředí Microsoft Sentinelu na portálu Microsoft Defender.
Důležité
Informace v tomto článku se týkají předběžné verze produktu, který může být podstatně změněn před komerčním vydáním. Microsoft neposkytuje žádné záruky, výslovné ani předpokládané, týkající se zde uváděných informací.
Nové a vylepšené funkce
Následující tabulka popisuje nové nebo vylepšené funkce dostupné na portálu Defender s integrací Microsoft Sentinelu a XDR v programu Defender.
| Možnosti | Popis |
|---|---|
| Pokročilý proaktivní vyhledávání | Dotazování z jednoho portálu v různých datových sadách za účelem efektivnějšího proaktivního vyhledávání a odebrání potřeby přepínání kontextu Umožňuje zobrazit a dotazovat všechna data včetně dat ze služeb zabezpečení Microsoftu a Microsoft Sentinelu. Použijte veškerý obsah vašeho existujícího pracovního prostoru Microsoft Sentinelu, včetně dotazů a funkcí. Další informace najdete v tématu Rozšířené vyhledávání na portálu Microsoft Defender. |
| Narušení útoku | Nasaďte automatické přerušení útoku pro SAP s jednotným provozním platformou zabezpečení i řešením Microsoft Sentinel pro aplikace SAP. Například obsahují ohrožené prostředky uzamčením podezřelých uživatelů SAP v případě útoku na manipulaci s finančními procesy. Možnosti přerušení útoků pro SAP jsou dostupné jenom na portálu Defender. Pokud chcete pro SAP použít přerušení útoku, aktualizujte verzi agenta datového konektoru a ujistěte se, že je příslušná role Azure přiřazená identitě vašeho agenta. Další informace najdete v tématu Automatické přerušení útoku pro SAP (Preview).< |
| Sjednocené entity | Stránky entit pro zařízení, uživatele, IP adresy a prostředky Azure na portálu Defender zobrazují informace ze zdrojů dat Microsoft Sentinelu a Defenderu. Tyto stránky entit poskytují rozšířený kontext pro vyšetřování incidentů a upozornění na portálu Defender. Další informace najdete v tématu Zkoumání entit se stránkami entit v Microsoft Sentinelu. |
| Sjednocené incidenty | Spravujte a prošetřujte incidenty zabezpečení v jednom umístění a z jedné fronty na portálu Defender. Mezi incidenty patří: - Data z šířky zdrojů - Analytické nástroje AI pro správu informací o zabezpečení a událostí (SIEM) – Kontextové nástroje a nástroje pro zmírnění rizik, které nabízí rozšířená detekce a reakce (XDR) Další informace najdete v tématu Reakce na incidenty na portálu Microsoft Defender. |
Rozdíly mezi možnostmi mezi portály
Většina funkcí Služby Microsoft Sentinel je dostupná na portálech Azure i Defenderu. Na portálu Defender se některé prostředí Microsoft Sentinelu otevírají na webu Azure Portal, abyste mohli dokončit úkol.
Tato část se zabývá možnostmi nebo integracemi služby Microsoft Sentinel v rámci sjednocené provozní platformy zabezpečení, které jsou k dispozici pouze na portálu Azure Portal nebo na portálu Defender nebo v jiných významných rozdílech mezi portály. Vyloučí prostředí Microsoft Sentinelu, která otevřou Azure Portal z portálu Defender.
| Schopnost | Dostupnost | Popis |
|---|---|---|
| Pokročilé proaktivní vyhledávání pomocí záložek | Pouze azure Portal | Záložky nejsou podporovány v rozšířeném prostředí proaktivního vyhledávání na portálu Microsoft Defender. Na portálu Defender jsou podporované v proaktivním vyhledávání > správy hrozeb microsoft Sentinelu>. Další informace najdete v tématu Sledování dat během proaktivního vyhledávání pomocí Služby Microsoft Sentinel. |
| Přerušení útoku pro SAP | Pouze portál Defender | Tato funkce není dostupná na webu Azure Portal. Další informace najdete v tématu Automatické přerušení útoku na portálu Microsoft Defender. |
| Automation | Některé postupy automatizace jsou k dispozici pouze na webu Azure Portal. Jiné postupy automatizace jsou stejné na portálech Defender a Azure Portal, ale liší se na webu Azure Portal mezi pracovními prostory, které jsou nasazené na sjednocené operační platformě zabezpečení a pracovních prostorech, které nejsou. |
Další informace najdete v tématu Automatizace s jednotnou platformou operací zabezpečení. |
| Datové konektory: viditelnost konektorů používaných jednotnou platformou pro provoz zabezpečení | Pouze azure Portal | Po připojení Microsoft Sentinelu na portálu Defender se na stránce Datové konektory nezobrazují následující datové konektory, které jsou součástí sjednocené platformy operací zabezpečení: Na webu Azure Portal jsou tyto datové konektory stále uvedené s nainstalovanými datovými konektory v Microsoft Sentinelu. |
| Entity: Přidání entit do analýzy hrozeb z incidentů | Pouze azure Portal | Tato funkce není dostupná na sjednocené platformě operací zabezpečení. Další informace najdete v tématu Přidání entity do indikátorů hrozeb. |
| Fúze: Pokročilá detekce útoků s více fázemi | Pouze azure Portal | Pravidlo fúzní analýzy, které vytváří incidenty na základě korelací výstrah provedených modulem korelace Fusion, je zakázané, když microsoft Sentinel připojíte k jednotné platformě operací zabezpečení. Jednotná platforma pro operace zabezpečení používá funkce XDR v programu Microsoft Defender pro vytváření incidentů a korelace k nahrazení funkcí modulu Fusion. Další informace najdete v tématu Rozšířené zjišťování útoků s více fázemi v Microsoft Sentinelu. |
| Incidenty: Přidání výstrah do incidentů / Odebrání výstrah z incidentů |
Pouze portál Defender | Po nasazení služby Microsoft Sentinel na sjednocenou platformu operací zabezpečení už nemůžete přidávat výstrahy k incidentům na webu Azure Portal ani je z této platformy odebírat ani je odebírat. Výstrahu můžete odebrat z incidentu na portálu Defender, ale pouze propojením výstrahy s jiným incidentem (existujícím nebo novým). |
| Incidenty: Úpravy komentářů | Pouze azure Portal | Po onboardingu Microsoft Sentinelu na sjednocenou platformu operací zabezpečení můžete přidávat komentáře k incidentům na obou portálech, ale existující komentáře se nedají upravovat. Úpravy komentářů na webu Azure Portal se nesynchronizují s jednotnou platformou operací zabezpečení. |
| Incidenty: Programové a ruční vytváření incidentů | Pouze azure Portal | Incidenty vytvořené v Microsoft Sentinelu prostřednictvím rozhraní API, playbooku aplikace logiky nebo ručně z webu Azure Portal se nesynchronují s jednotnou platformou operací zabezpečení. Tyto incidenty se stále podporují na webu Azure Portal a v rozhraní API. Viz Ruční vytvoření vlastních incidentů v Microsoft Sentinelu. |
| Incidenty: Opětovné otevření uzavřených incidentů | Pouze azure Portal | Na sjednocené platformě operací zabezpečení nemůžete nastavit seskupení výstrah v analytických pravidlech Služby Microsoft Sentinel, aby se znovu otevřely zavřené incidenty, pokud se přidají nová upozornění. Uzavřené incidenty se v tomto případě znovu neotevře a nové výstrahy aktivují nové incidenty. |
| Incidenty: Úkoly | Pouze azure Portal | Úlohy nejsou k dispozici na jednotné platformě operací zabezpečení. Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu. |
Stručná referenční příručka
Některé funkce Microsoft Sentinelu, jako je sjednocená fronta incidentů, jsou integrované s XDR v programu Microsoft Defender v jednotné platformě operací zabezpečení. V části Microsoft Sentinel na portálu Defender je k dispozici řada dalších funkcí Microsoft Sentinelu .
Následující obrázek ukazuje nabídku Microsoft Sentinelu na portálu Defender:
Následující části popisují, kde najít funkce Služby Microsoft Sentinel na portálu Defender. Oddíly jsou uspořádané tak, jak je Microsoft Sentinel na webu Azure Portal.
OBECNÉ
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Obecné na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Přehled | Přehled |
| Protokoly | Prošetření a reakce > proaktivního vyhledávání pro pokročilé proaktivní > vyhledávání |
| Novinky a příručky | Není k dispozici |
| Hledání | Vyhledávání v Microsoft Sentinelu > |
Řízení rizik
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa hrozeb na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Incidenty | Incidenty vyšetřování a reakce > na incidenty a výstrahy > incidentů |
| Workbooks | Sešity správy> hrozeb v Microsoft Sentinelu > |
| Vyhledávání | Proaktivní vyhledávání pro správu > hrozeb v Microsoft Sentinelu > |
| Poznámkové bloky | Poznámkové bloky pro správu > hrozeb v Microsoft Sentinelu > |
| Chování entit | Stránka entity uživatele: Identity >prostředků > {user}> Sentinel – události Stránka entity zařízení: Zařízení >zařízení > {device}> Sentinel – události Najděte také stránky entit pro uživatele, zařízení, IP adresu a typy entit prostředků Azure z incidentů a výstrah, jak se zobrazují. |
| Analýza hrozeb | Analýza hrozeb pro správu > hrozeb v Microsoft Sentinelu > |
| MITRE ATT&CK | Správa > hrozeb pro Microsoft Sentinel > MITRE ATT&CK |
Správa obsahu
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro část Správa obsahu na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Centrum obsahu | Centrum obsahu správy > obsahu služby Microsoft Sentinel > |
| Úložiště | Úložiště správy > obsahu služby Microsoft Sentinel > |
| Komunita | Komunita správy > obsahu služby Microsoft Sentinel > |
Konfigurace
Následující tabulka uvádí změny v navigaci mezi portály Azure a Defender pro oddíl Konfigurace na webu Azure Portal.
| portál Azure | Portál Defenderu |
|---|---|
| Správce pracovních prostorů | Není k dispozici |
| Konektory dat | Konektory konfiguračních > dat služby Microsoft Sentinel > |
| Analýzy | Analýza konfigurace > Služby Microsoft Sentinel > |
| Seznamy ke zhlédnutí | Seznamy ke zhlédnutí konfigurace > služby Microsoft Sentinel > |
| Automation | Automatizace konfigurace > Microsoft Sentinelu > |
| Nastavení | System > Nastavení > Microsoft Sentinel |