Share via

Připojení služby Microsoft Sentinel k Microsoft Defender XDR (Preview)

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Když nasadíte Microsoft Sentinel na portál Microsoft Defender, sjednocujete funkce s Microsoft Defender XDR, jako je správa incidentů a pokročilé proaktivní vyhledávání. Omezte přepínání nástrojů a vytvořte šetření více zaměřené na kontext, které urychlí reakci na incidenty a zastaví porušení zabezpečení rychleji. Další informace najdete tady:

Důležité

Informace v tomto článku se týkají předběžné verze produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Požadavky

Než začnete, přečtěte si dokumentaci k funkcím a seznamte se se změnami a omezeními produktu:

Portál Microsoft Defender podporuje jednoho tenanta Microsoft Entra a připojení k jednomu pracovnímu prostoru. V kontextu tohoto článku je pracovním prostorem služby Log Analytics s povolenou službou Microsoft Sentinel.

Pokud chcete nasadit a používat službu Microsoft Sentinel na portálu Microsoft Defender, musíte mít následující prostředky a přístup:

  • Pracovní prostor služby Log Analytics s povolenou službou Microsoft Sentinel

  • Datový konektor pro Microsoft Defender XDR (dříve Microsoft 365 Defender) povolený ve službě Microsoft Sentinel pro incidenty a výstrahy

  • Přístup k Microsoft Defender XDR na portálu Defender

  • Microsoft Defender XDR onboardovaný do tenanta Microsoft Entra

  • Účet Azure s odpovídajícími rolemi pro onboarding, používání a vytváření žádostí o podporu pro Microsoft Sentinel na portálu Defender. V následující tabulce jsou uvedené některé klíčové role, které jsou potřeba.

    Úloha Vyžaduje se předdefinované role Azure. Rozsah
    Připojení nebo odpojení pracovního prostoru s povolenou službou Microsoft Sentinel Vlastník nebo
    správce uživatelských přístupů a přispěvatel služby Microsoft Sentinel    		 – Předplatné pro role vlastníka nebo správce uživatelských přístupů

    – Předplatné, skupina prostředků nebo prostředek pracovního prostoru pro přispěvatele služby Microsoft Sentinel
    Zobrazení služby Microsoft Sentinel na portálu Defender Čtenář služby Microsoft Sentinel Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
    Dotazování tabulek dat služby Sentinel nebo zobrazení incidentů Čtenář služby Microsoft Sentinel nebo role s následujícími akcemi:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
    Provádění vyšetřovacích akcí v incidentech Přispěvatel služby Microsoft Sentinel nebo role s následujícími akcemi:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    – Microsoft.SecurityInsights/incidents/relations/write
    – Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 Prostředek předplatného, skupiny prostředků nebo pracovního prostoru
    Create žádosti o podporu Vlastník ,
    přispěvatel nebo přispěvatel nebo
    přispěvatel žádosti o podporu přispěvatel nebo vlastní role u Microsoft.Support/*    		 Předplatné

    Po připojení služby Microsoft Sentinel k portálu Defender vám stávající oprávnění řízení přístupu na základě role (RBAC) v Azure umožňují pracovat s funkcemi služby Microsoft Sentinel, ke kterým máte přístup. Pokračujte ve správě rolí a oprávnění pro uživatele služby Microsoft Sentinel z Azure Portal. Všechny změny Azure RBAC se projeví na portálu Defender. Další informace o oprávněních služby Microsoft Sentinel najdete v tématu Role a oprávnění ve službě Microsoft Sentinel | Microsoft Learn a správa přístupu k datům služby Microsoft Sentinel podle prostředků | Microsoft Learn.

Onboarding služby Microsoft Sentinel

Pokud chcete připojit pracovní prostor s povolenou službou Microsoft Sentinel pro Defender XDR, proveďte následující kroky:

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V Microsoft Defender XDR vyberte Přehled.

  3. Vyberte Připojit pracovní prostor.

  4. Zvolte pracovní prostor, ke kterému se chcete připojit, a vyberte Další.

  5. Přečtěte si změny produktů spojené s připojením pracovního prostoru a seznamte se s nimi. Mezi tyto změny patří:

    • Tabulky protokolů, dotazy a funkce v pracovním prostoru služby Microsoft Sentinel jsou také k dispozici v rozšířeném proaktivním vyhledávání v rámci Defender XDR.
    • Role Přispěvatel služby Microsoft Sentinel je přiřazená aplikacím Microsoft Threat Protection a WindowsDefenderATP v rámci předplatného.
    • Aktivní pravidla vytváření incidentů zabezpečení Microsoftu se deaktivují, aby nedocházelo k duplicitním incidentům. Tato změna se vztahuje pouze na pravidla vytváření incidentů pro výstrahy Microsoftu, a ne na jiná analytická pravidla.
    • Všechna upozornění související s produkty Defender XDR se streamují přímo z hlavního datového konektoru Defender XDR, aby byla zajištěna konzistence. Ujistěte se, že máte v pracovním prostoru zapnuté incidenty a výstrahy z tohoto konektoru.

  6. Vyberte Připojit.

Po připojení pracovního prostoru se v banneru na stránce Přehled zobrazuje, že je připravená sjednocená správa informací o zabezpečení a událostí (SIEM) a rozšířená detekce a reakce (XDR). Na stránce Přehled se aktualizují nové oddíly, které zahrnují metriky ze služby Microsoft Sentinel, jako je počet datových konektorů a pravidla automatizace.

Prozkoumání funkcí služby Microsoft Sentinel na portálu Defender

Po připojení pracovního prostoru k portálu Defender se Microsoft Sentinel nachází v navigačním podokně na levé straně. Stránky jako Přehled, Incidenty a Rozšířené proaktivní vyhledávání mají sjednocená data ze služby Microsoft Sentinel a Defender XDR. Další informace o jednotných možnostech a rozdílech mezi portály najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Mnoho stávajících funkcí služby Microsoft Sentinel je integrovaných na portálu Defender. U těchto funkcí si všimněte, že prostředí mezi službou Microsoft Sentinel na Azure Portal a portálem Defender je podobné. Následující články vám pomůžou začít pracovat se službou Microsoft Sentinel na portálu Defender. Při používání těchto článků mějte na paměti, že výchozím bodem v tomto kontextu je portál Defender místo Azure Portal.

Nastavení služby Microsoft Sentinel najdete na portálu Defender v částiNastavení>systému>Microsoft Sentinel.

Offboarding služby Microsoft Sentinel

K portálu Defender můžete mít najednou připojený jenom jeden pracovní prostor. Pokud se chcete připojit k jinému pracovnímu prostoru s povolenou službou Microsoft Sentinel, odpojte aktuální pracovní prostor a připojte druhý pracovní prostor.

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. Na portálu Defender v části Systém vyberte Nastavení>Microsoft Sentinel.

  3. Na stránce Pracovní prostory vyberte připojený pracovní prostor a Odpojit pracovní prostor.

  4. Potvrďte výběr.

    Když se pracovní prostor odpojí, oddíl Microsoft Sentinel se odebere z levého navigačního panelu portálu Defender. Data z Microsoft Sentinelu se už na stránce Přehled nezobrazují.

Pokud se chcete připojit k jinému pracovnímu prostoru, na stránce Pracovní prostory vyberte pracovní prostor a Připojte pracovní prostor.

Související obsah