Microsoft Sentinel verbinden met Microsoft Defender XDR (preview)

• Van toepassing op:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender portal. Wanneer u Microsoft Sentinel onboardt naar de Microsoft Defender-portal, kunt u mogelijkheden samenvoegen met Microsoft Defender XDR zoals incidentbeheer en geavanceerde opsporing. Verminder het schakelen tussen hulpprogramma's en bouw een meer contextgericht onderzoek dat de reactie op incidenten versnelt en inbreuken sneller stopt. Zie voor meer informatie:

• Microsoft Sentinel in de Microsoft Defender-portal
• Geïntegreerd platform voor beveiligingsbewerkingen met Microsoft Sentinel en Defender XDR

Belangrijk

De informatie in dit artikel heeft betrekking op een prerelease-product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Vereisten

Voordat u begint, raadpleegt u de functiedocumentatie voor meer informatie over de productwijzigingen en -beperkingen:

• Microsoft Sentinel in de Microsoft Defender-portal
• Geavanceerde opsporing in de Microsoft Defender-portal
• Automatisering met het geïntegreerde platform voor beveiligingsbewerkingen

De Microsoft Defender-portal ondersteunt één Microsoft Entra tenant en de verbinding met één werkruimte tegelijk. In de context van dit artikel is een werkruimte een Log Analytics-werkruimte waarvoor Microsoft Sentinel is ingeschakeld.

Als u Microsoft Sentinel wilt onboarden en gebruiken in de Microsoft Defender-portal, moet u beschikken over de volgende resources en toegang:

• Een Log Analytics-werkruimte waarvoor Microsoft Sentinel is ingeschakeld

• De gegevensconnector voor Microsoft Defender XDR (voorheen Microsoft 365 Defender) ingeschakeld in Microsoft Sentinel voor incidenten en waarschuwingen

• Toegang tot Microsoft Defender XDR in de Defender-portal

• Microsoft Defender XDR onboarding naar de Microsoft Entra tenant

• Een Azure-account met de juiste rollen voor het onboarden, gebruiken en maken van ondersteuningsaanvragen voor Microsoft Sentinel in de Defender-portal. In de volgende tabel worden enkele belangrijke rollen weergegeven die nodig zijn.

  Taak	Ingebouwde Azure-rol vereist	Bereik
  Verbinding maken met een werkruimte of de verbinding verbreken met Microsoft Sentinel ingeschakeld	Eigenaar of beheerder van gebruikerstoegang en Microsoft Sentinel-inzender	- Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel-inzender
  Microsoft Sentinel weergeven in de Defender-portal	Microsoft Sentinel Reader	Abonnements-, resourcegroep- of werkruimteresource
  Query uitvoeren op Sentinel-gegevenstabellen of incidenten weergeven	Microsoft Sentinel-lezer of een rol met de volgende acties: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Abonnements-, resourcegroep- of werkruimteresource
  Onderzoekacties uitvoeren voor incidenten	Microsoft Sentinel-inzender of een rol met de volgende acties: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents /relations/read- Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Abonnements-, resourcegroep- of werkruimteresource
  een ondersteuningsaanvraag Creatie	Eigenaar , inzender of inzender van ondersteuningsaanvraag of een aangepaste rol bij Microsoft.Support/*	Abonnement

  Nadat u Microsoft Sentinel hebt verbonden met de Defender-portal, kunt u met uw bestaande RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure werken met de Microsoft Sentinel-functies waartoe u toegang hebt. Blijf rollen en machtigingen voor uw Microsoft Sentinel-gebruikers beheren vanuit de Azure Portal. Wijzigingen in Azure RBAC worden weergegeven in de Defender-portal. Zie Rollen en machtigingen in Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.

Microsoft Sentinel onboarden

Voer de volgende stappen uit om verbinding te maken met een werkruimte waarvoor Microsoft Sentinel is ingeschakeld voor Defender XDR:

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Selecteer overzicht in Microsoft Defender XDR.

3. Selecteer Een werkruimte verbinden.

4. Kies de werkruimte die u wilt verbinden en selecteer Volgende.

5. Lees en begrijp de productwijzigingen die zijn gekoppeld aan het verbinden van uw werkruimte. Deze wijzigingen omvatten:

   • Logboektabellen, query's en functies in de Microsoft Sentinel-werkruimte zijn ook beschikbaar in geavanceerde opsporing binnen Defender XDR.
   • De rol Microsoft Sentinel-inzender wordt toegewezen aan de apps Microsoft Threat Protection en WindowsDefenderATP binnen het abonnement.
   • Actieve microsoft-regels voor het maken van beveiligingsincidenten worden gedeactiveerd om dubbele incidenten te voorkomen. Deze wijziging is alleen van toepassing op regels voor het maken van incidenten voor Microsoft-waarschuwingen en niet op andere analyseregels.
   • Alle waarschuwingen met betrekking tot Defender XDR producten worden rechtstreeks vanuit de hoofd-Defender XDR gegevensconnector gestreamd om consistentie te garanderen. Zorg ervoor dat incidenten en waarschuwingen van deze connector zijn ingeschakeld in de werkruimte.

6. Selecteer Verbinding maken.

Nadat uw werkruimte is verbonden, ziet u in de banner op de pagina Overzicht dat uw SIEM (Unified Security Information and Event Management) en XDR (Extended Detection and Response) gereed zijn. De pagina Overzicht wordt bijgewerkt met nieuwe secties met metrische gegevens van Microsoft Sentinel, zoals het aantal gegevensconnectors en automatiseringsregels.

Microsoft Sentinel-functies verkennen in de Defender-portal

Nadat u uw werkruimte hebt verbonden met de Defender-portal, bevindt Microsoft Sentinel zich in het navigatiedeelvenster aan de linkerkant. Pagina's zoals Overzicht, Incidenten en Geavanceerde opsporing hebben geïntegreerde gegevens van Microsoft Sentinel en Defender XDR. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie over de geïntegreerde mogelijkheden en verschillen tussen portals.

Veel van de bestaande Microsoft Sentinel-functies zijn geïntegreerd in de Defender-portal. Voor deze functies ziet u dat de ervaring tussen Microsoft Sentinel in de Azure Portal en defender-portal vergelijkbaar is. Gebruik de volgende artikelen om aan de slag te gaan met Microsoft Sentinel in de Defender-portal. Wanneer u deze artikelen gebruikt, moet u er rekening mee houden dat het uitgangspunt in deze context de Defender-portal is in plaats van de Azure Portal.

• Zoeken
  • Search over lange periodes in grote gegevenssets
  • Gearchiveerde logboeken herstellen vanuit zoeken
• Bedreigingsbeheer
  • Uw gegevens visualiseren en bewaken met behulp van werkmappen
  • End-to-end opsporing van bedreigingen uitvoeren met Hunts
  • Opsporingsbladwijzers gebruiken voor gegevensonderzoek
  • Opsporings livestream in Microsoft Sentinel gebruiken om bedreigingen te detecteren
  • Beveiligingsrisico's opsporen met Jupyter-notebooks
  • Indicatoren bulksgewijs toevoegen aan Bedreigingsinformatie van Microsoft Sentinel vanuit een CSV- of JSON-bestand
  • Werken met bedreigingsindicatoren in Microsoft Sentinel
  • Informatie over beveiligingsdekking door het MITRE ATT&CK-framework
• Inhoudsbeheer
  • Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
  • Catalogus van Microsoft Sentinel-inhoudshub
  • Aangepaste inhoud implementeren vanuit uw opslagplaats
• Configuratie
  • Uw Microsoft Sentinel-gegevensconnector zoeken
  • aangepaste analyseregels Creatie om bedreigingen te detecteren
  • Werken met detectieanalyseregels in bijna realtime (NRT) in Microsoft Sentinel
  • volglijsten Creatie
  • Volglijsten beheren in Microsoft Sentinel
  • Creatie automatiseringsregels
  • Microsoft Sentinel-playbooks Creatie en aanpassen vanuit inhoudssjablonen

Zoek microsoft Sentinel-instellingen in de Defender-portal onder Systeeminstellingen>>Microsoft Sentinel.

Offboard Microsoft Sentinel

U kunt slechts één werkruimte tegelijk verbinden met de Defender-portal. Als u verbinding wilt maken met een andere werkruimte waarvoor Microsoft Sentinel is ingeschakeld, koppelt u de huidige werkruimte los en verbindt u de andere werkruimte.

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Selecteer in de Defender-portal onder Systeemde optie Instellingen>Microsoft Sentinel.

3. Selecteer op de pagina Werkruimten de verbonden werkruimte en Werkruimte loskoppelen.

4. Bevestig uw selectie.

   Wanneer de verbinding met uw werkruimte wordt verbroken, wordt de sectie Microsoft Sentinel verwijderd uit de navigatie aan de linkerkant van de Defender-portal. Gegevens van Microsoft Sentinel worden niet meer opgenomen op de pagina Overzicht.

Als u verbinding wilt maken met een andere werkruimte, selecteert u op de pagina Werkruimten de werkruimte en verbindt u een werkruimte.

Verwante onderwerpen

• Microsoft Sentinel in de Microsoft Defender-portal
• Geavanceerde opsporing in de Microsoft Defender-portal
• Automatische aanvalsonderbreking in Microsoft Defender XDR
• Incidenten in Microsoft Defender XDR onderzoeken