Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR (wersja zapoznawcza)
Usługa Microsoft Sentinel jest dostępna w ramach publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu Microsoft Defender. Po dołączeniu usługi Microsoft Sentinel do portalu Microsoft Defender można ujednolicić możliwości za pomocą Microsoft Defender XDR, takich jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia. Więcej informacji można znaleźć w następujących artykułach:
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Ujednolicona platforma operacji zabezpieczeń za pomocą usługi Microsoft Sentinel i Defender XDR
Ważna
Informacje zawarte w tym artykule odnoszą się do produktu wstępnego, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Wymagania wstępne
Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu:
- Usługa Microsoft Sentinel w portalu usługi Microsoft Defender
- Zaawansowane wyszukiwanie zagrożeń w portalu usługi Microsoft Defender
- Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń
Portal Microsoft Defender obsługuje pojedynczą dzierżawę Microsoft Entra i połączenie z jednym obszarem roboczym jednocześnie. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną usługą Microsoft Sentinel.
Aby dołączyć usługę Microsoft Sentinel i korzystać z niej w portalu Microsoft Defender, musisz mieć następujące zasoby i dostęp:
Obszar roboczy usługi Log Analytics z włączoną usługą Microsoft Sentinel
Łącznik danych dla Microsoft Defender XDR (wcześniej o nazwie Microsoft 365 Defender) włączony w usłudze Microsoft Sentinel dla zdarzeń i alertów
Dostęp do Microsoft Defender XDR w portalu usługi Defender
Microsoft Defender XDR dołączone do dzierżawy Microsoft Entra
Konto platformy Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla usługi Microsoft Sentinel w portalu usługi Defender. W poniższej tabeli przedstawiono niektóre z kluczowych ról.
Zadanie Wymagana rola wbudowana platformy Azure Zakres Łączenie lub rozłączanie obszaru roboczego z włączoną usługą Microsoft Sentinel Właściciel lub administrator dostępu użytkowników i współautor usługi Microsoft Sentinel — Subskrypcja dla ról właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla współautora usługi Microsoft Sentinel Wyświetlanie usługi Microsoft Sentinel w portalu usługi Defender Czytelnik usługi Microsoft Sentinel Subskrypcja, grupa zasobów lub zasób obszaru roboczego Wykonywanie zapytań dotyczących tabel danych usługi Sentinel lub wyświetlanie zdarzeń Czytelnik usługi Microsoft Sentinel lub rola z następującymi akcjami:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Subskrypcja, grupa zasobów lub zasób obszaru roboczego Podjęcie działań dochodzeniowych w sprawie zdarzeń Współautor usługi Microsoft Sentinel lub rola z następującymi akcjami:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write Subskrypcja, grupa zasobów lub zasób obszaru roboczego Twórca wniosek o pomoc techniczną Właściciel, współautor lub współautor żądania pomocy technicznej lub rola niestandardowa w witrynie Microsoft.Support/* Subskrypcja Po połączeniu usługi Microsoft Sentinel z portalem Usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają pracę z funkcjami usługi Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami użytkowników usługi Microsoft Sentinel z Azure Portal. Wszelkie zmiany rbac platformy Azure są odzwierciedlane w portalu usługi Defender. Aby uzyskać więcej informacji na temat uprawnień usługi Microsoft Sentinel, zobacz Role i uprawnienia w usłudze Microsoft Sentinel | Microsoft Learn i zarządzanie dostępem do danych usługi Microsoft Sentinel według zasobów | Microsoft Learn.
Dołączanie usługi Microsoft Sentinel
Aby połączyć obszar roboczy z włączoną usługą Microsoft Sentinel do Defender XDR, wykonaj następujące kroki:
Przejdź do portalu Microsoft Defender i zaloguj się.
W Microsoft Defender XDR wybierz pozycję Przegląd.
Wybierz pozycję Połącz obszar roboczy.
Wybierz obszar roboczy, z którym chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.
Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi. Zmiany te obejmują:
- Tabele dzienników, zapytania i funkcje w obszarze roboczym usługi Microsoft Sentinel są również dostępne w ramach zaawansowanego wyszukiwania zagrożeń w Defender XDR.
- Rola Współautor usługi Microsoft Sentinel jest przypisywana do aplikacji Microsoft Threat Protection i WindowsDefenderATP w ramach subskrypcji.
- Aktywne reguły tworzenia zdarzeń zabezpieczeń firmy Microsoft są dezaktywowane, aby uniknąć zduplikowanych zdarzeń. Ta zmiana dotyczy tylko reguł tworzenia zdarzeń dla alertów firmy Microsoft, a nie innych reguł analizy.
- Wszystkie alerty związane z produktami Defender XDR są przesyłane strumieniowo bezpośrednio z głównego łącznika danych Defender XDR w celu zapewnienia spójności. Upewnij się, że w obszarze roboczym włączono zdarzenia i alerty z tego łącznika.
Wybierz pozycję Połącz.
Po nawiązaniu połączenia z obszarem roboczym baner na stronie Przegląd pokazuje, że ujednolicone informacje o zabezpieczeniach i zarządzanie zdarzeniami (SIEM) oraz rozszerzone wykrywanie i reagowanie (XDR) są gotowe. Strona Przegląd została zaktualizowana o nowe sekcje, które zawierają metryki z usługi Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.
Eksplorowanie funkcji usługi Microsoft Sentinel w portalu usługi Defender
Po połączeniu obszaru roboczego z portalem usługi Defender usługa Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Strony takie jak Przegląd, Zdarzenia i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z usługi Microsoft Sentinel i Defender XDR. Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Wiele istniejących funkcji usługi Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między usługą Microsoft Sentinel w Azure Portal i portalu usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z usługą Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender, a nie Azure Portal.
- Search
- Zarządzanie zagrożeniami
- Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
- Przeprowadzanie kompleksowego wyszukiwania zagrożeń za pomocą polowań
- Używanie zakładek wyszukiwania zagrożeń do badania danych
- Wykrywanie zagrożeń za pomocą transmisji strumieniowej na żywo wyszukiwania zagrożeń w usłudze Microsoft Sentinel
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
- Zbiorcze dodawanie wskaźników do analizy zagrożeń usługi Microsoft Sentinel z pliku CSV lub JSON
- Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel
- Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK
- Zarządzanie zawartością
- Konfiguracja
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Twórca niestandardowych reguł analizy w celu wykrywania zagrożeń
- Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w usłudze Microsoft Sentinel
- Twórca listy obserwowanych
- Zarządzanie listami obserwowanych w usłudze Microsoft Sentinel
- reguły automatyzacji Twórca
- Twórca i dostosowywanie podręczników usługi Microsoft Sentinel z szablonów zawartości
Znajdź ustawienia usługi Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.
Odłączanie usługi Microsoft Sentinel
Jednocześnie z portalem usługi Defender może być połączony tylko jeden obszar roboczy. Jeśli chcesz nawiązać połączenie z innym obszarem roboczym z włączoną usługą Microsoft Sentinel, odłącz bieżący obszar roboczy i połącz inny obszar roboczy.
Przejdź do portalu Microsoft Defender i zaloguj się.
W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>usługi Microsoft Sentinel.
Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.
Potwierdź wybór.
Po rozłączeniu obszaru roboczego sekcja usługi Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z usługi Microsoft Sentinel nie są już uwzględniane na stronie Przegląd.
Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.
Zawartość pokrewna
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla