Microsoft Sentinel на портале Microsoft Defender (предварительная версия)
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см. в разделе:
- Единая платформа операций безопасности с microsoft Sentinel и XDR Defender
- Подключение Microsoft Sentinel в XDR в Microsoft Defender
В этой статье описывается интерфейс Microsoft Sentinel на портале Microsoft Defender.
Внимание
Сведения в этой статье относятся к предварительному продукту, который может быть существенно изменен до его коммерческого выпуска. Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, относительно приведенных здесь сведений.
Новые и улучшенные возможности
В следующей таблице описаны новые или улучшенные возможности, доступные на портале Defender, с интеграцией Microsoft Sentinel и Defender XDR.
| Capabilities | Description |
|---|---|
| Расширенная охота | Запрос с одного портала в разных наборах данных, чтобы повысить эффективность охоты и удалить необходимость переключения контекста. Просмотр и запрос всех данных, включая данные из служб безопасности Майкрософт и Microsoft Sentinel. Используйте все существующие содержимое рабочей области Microsoft Sentinel, включая запросы и функции. Дополнительные сведения см . на портале Microsoft Defender. |
| Нарушение атаки | Разверните автоматическое нарушение атаки для SAP с помощью единой платформы операций безопасности и решения Microsoft Sentinel для приложений SAP. Например, содержат скомпрометированные активы путем блокировки подозрительных пользователей SAP в случае атаки на финансовые процессы. Возможности нарушения атак для SAP доступны только на портале Defender. Чтобы использовать нарушение атаки для SAP, обновите версию агента соединителя данных и убедитесь, что соответствующая роль Azure назначена удостоверению агента. Дополнительные сведения см. в разделе "Автоматическое нарушение атак" для SAP (предварительная версия). |
| Унифицированные сущности | Страницы сущностей для устройств, пользователей, IP-адресов и ресурсов Azure на портале Defender отображают сведения из источников данных Microsoft Sentinel и Defender. Эти страницы сущностей предоставляют расширенный контекст для расследования инцидентов и оповещений на портале Defender. Дополнительные сведения см. в статье "Исследование сущностей с помощью страниц сущностей в Microsoft Sentinel". |
| Унифицированные инциденты | Управление и изучение инцидентов безопасности в одном расположении и из одной очереди на портале Defender. К инцидентам относятся: — данные из широты источников — средства аналитики ИИ для управления информационной безопасностью и событиями (SIEM) — Средства для устранения контекста и устранения рисков, предлагаемые расширенным обнаружением и ответом (XDR) Дополнительные сведения см. в разделе "Ответ на инциденты" на портале Microsoft Defender. |
Различия возможностей между порталами
Большинство возможностей Microsoft Sentinel доступны на порталах Azure и Defender. На портале Defender некоторые возможности Microsoft Sentinel открываются в портал Azure для выполнения задачи.
В этом разделе рассматриваются возможности Или интеграции Microsoft Sentinel в единой платформе операций безопасности, доступные только на портале портал Azure или Defender или других существенных различиях между порталами. Он исключает возможности Microsoft Sentinel, которые открывают портал Azure на портале Defender.
| Возможность | Availability | Description |
|---|---|---|
| Расширенная охота с помощью закладок | Только портал Azure | Закладки не поддерживаются в расширенном режиме охоты на портале Microsoft Defender. На портале Defender они поддерживаются в Службе управления > угрозами Microsoft Sentinel>. Дополнительные сведения см. в статье "Отслеживание данных во время охоты с помощью Microsoft Sentinel". |
| Нарушение атак для SAP | Только портал Defender | Эта функция недоступна в портал Azure. Дополнительные сведения см. в статье "Автоматическое нарушение атак" на портале Microsoft Defender. |
| Автоматизация | Некоторые процедуры автоматизации доступны только в портал Azure. Другие процедуры автоматизации одинаковы в Защитнике и портал Azure, но отличаются в портал Azure между рабочими областями, подключенными к единой платформе операций безопасности и рабочим областям, которые не являются. |
Дополнительные сведения см. в разделе автоматизации с помощью единой платформы операций безопасности. |
| Соединители данных: видимость соединителей, используемых платформой унифицированных операций безопасности | Только портал Azure | На портале Defender после подключения Microsoft Sentinel на странице соединителей данных не отображаются следующие соединители данных, которые являются частью единой платформы операций безопасности. В портал Azure эти соединители данных по-прежнему перечислены с установленными соединителями данных в Microsoft Sentinel. |
| Сущности: добавление сущностей в аналитику угроз из инцидентов | Только портал Azure | Эта функция недоступна на унифицированной платформе операций безопасности. Дополнительные сведения см. в разделе "Добавление сущности в индикаторы угроз". |
| Fusion: расширенное обнаружение многоэтапных атак | Только портал Azure | Правило аналитики Fusion, которое создает инциденты на основе корреляций оповещений, сделанных подсистемой корреляции Fusion, отключается при подключении Microsoft Sentinel к единой платформе операций безопасности. Унифицированная платформа операций безопасности использует функции создания инцидентов и корреляции в Microsoft Defender XDR для замены подсистемы Fusion. Дополнительные сведения см. в статье "Расширенное обнаружение многоэтапных атак" в Microsoft Sentinel |
| Инциденты: добавление оповещений в инциденты / Удаление оповещений из инцидентов |
Только портал Defender | После подключения Microsoft Sentinel к единой платформе операций безопасности вы больше не сможете добавлять оповещения или удалять оповещения из портал Azure. Вы можете удалить оповещение из инцидента на портале Defender, но только связав оповещение с другим инцидентом (существующим или новым). |
| Инциденты: редактирование комментариев | Только портал Azure | После подключения Microsoft Sentinel к единой платформе операций безопасности можно добавить комментарии к инцидентам на любом портале, но изменить существующие комментарии нельзя. Изменения, внесенные в комментарии в портал Azure не синхронизируются с единой платформой операций безопасности. |
| Инциденты: программное и ручное создание инцидентов | Только портал Azure | Инциденты, созданные в Microsoft Sentinel через API, сборник схем приложений логики или вручную из портал Azure, не синхронизируются с единой платформой операций безопасности. Эти инциденты по-прежнему поддерживаются в портал Azure и API. См. статью "Создание собственных инцидентов" вручную в Microsoft Sentinel. |
| Инциденты: повторное открытие закрытых инцидентов | Только портал Azure | В единой платформе операций безопасности нельзя задать группирование оповещений в правилах аналитики Microsoft Sentinel, чтобы повторно открыть закрытые инциденты, если добавлены новые оповещения. Закрытые инциденты не повторно открываются в этом случае, а новые оповещения активируют новые инциденты. |
| Инциденты: задачи | Только портал Azure | Задачи недоступны на унифицированной платформе операций безопасности. Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel". |
Краткий справочник
Некоторые возможности Microsoft Sentinel, такие как единая очередь инцидентов, интегрируются с Microsoft Defender XDR на единой платформе операций безопасности. Многие другие возможности Microsoft Sentinel доступны в разделе Microsoft Sentinel на портале Defender.
На следующем рисунке показано меню Microsoft Sentinel на портале Defender:
В следующих разделах описывается, где найти функции Microsoft Sentinel на портале Defender. Разделы организованы по мере того, как Microsoft Sentinel находится в портал Azure.
Общие
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Общие" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Обзор | Обзор |
| Журналы | Исследование и реагирование > охота > расширенный охоты |
| Новости и руководства | Недоступно |
| Поиск (Search) | Поиск Microsoft Sentinel > |
Управление угрозами
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Управление угрозами" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Инциденты | Исследование и реагирование > на инциденты и оповещения > инцидентов |
| Workbooks | Книги По управлению> угрозами Microsoft Sentinel > |
| Охота | Поиск управления угрозами > Microsoft Sentinel > |
| Записные книжки | Записные книжки для управления > угрозами Microsoft Sentinel > |
| Поведение сущностей | Страница сущности пользователя: события Assets > Удостоверений> {user}> Sentinel Страница сущности устройства: события Assets > Devices >{device}> Sentinel Кроме того, найдите страницы сущностей для пользователей, устройств, IP-адресов и сущностей ресурсов Azure из инцидентов и оповещений по мере их появления. |
| Аналитика угроз | Аналитика угроз microsoft Sentinel > Threat Management > |
| MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Управление содержимым
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела управления контентом в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Центр содержимого | Центр содержимого управления > содержимым Microsoft Sentinel > |
| Репозитории | Репозитории управления > содержимым Microsoft Sentinel > |
| Сообщество | Сообщество по управлению контентом > Microsoft Sentinel > |
Настройка
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Конфигурация" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Диспетчер рабочей области | Недоступно |
| Соединители данных | Соединители данных конфигурации > Microsoft Sentinel > |
| Аналитика | Аналитика конфигурации > Microsoft Sentinel > |
| Списки отслеживания | Списки отслеживания конфигурации > Microsoft Sentinel > |
| Автоматизация | Автоматизация конфигурации > Microsoft Sentinel > |
| Настройки | System > Параметры > Microsoft Sentinel |