Подключение Microsoft Sentinel к XDR в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel доступен как часть единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. При подключении Microsoft Sentinel к порталу Microsoft Defender вы унифицируете возможности XDR в Microsoft Defender, такие как управление инцидентами и расширенная охота. Сократите переключение инструментов и создайте более контекстно-ориентированное исследование, которое ускоряет реагирование на инциденты и быстрее останавливает нарушения. Дополнительные сведения см. в разделе:

• Microsoft Sentinel на портале Microsoft Defender
• Единая платформа операций безопасности с Microsoft Sentinel и XDR Defender

Предварительные условия

Прежде чем начать, ознакомьтесь с документацией по функциям, чтобы понять изменения и ограничения продукта:

• Microsoft Sentinel на портале Microsoft Defender
• Расширенная охота на портале Microsoft Defender
• Автоматизация с помощью единой платформы операций безопасности

Портал Microsoft Defender поддерживает один клиент Microsoft Entra и подключение к одной рабочей области одновременно. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.

Чтобы подключить и использовать Microsoft Sentinel на портале Microsoft Defender, необходимо иметь следующие ресурсы и доступ:

• Рабочая область Log Analytics с включенным Microsoft Sentinel

• Соединитель данных для XDR в Microsoft Defender (ранее — Microsoft 365 Defender), включенный в Microsoft Sentinel для инцидентов и оповещений

• Доступ к XDR в Microsoft Defender на портале Defender

• XDR в Microsoft Defender подключен к клиенту Microsoft Entra

• Учетная запись Azure с соответствующими ролями для подключения, использования и создания запросов на поддержку Microsoft Sentinel на портале Defender. В следующей таблице выделены некоторые ключевые роли, необходимые.

  Задача	Требуется встроенная роль Azure	Scope
  Подключение или отключение рабочей области с включенным Microsoft Sentinel	Владелец или администратор доступа пользователей и участник Microsoft Sentinel	— Подписка для ролей владельца или администратора доступа пользователей — подписка, группа ресурсов или ресурс рабочей области для участника Microsoft Sentinel.
  Просмотр Microsoft Sentinel на портале Defender	Средство чтения Microsoft Sentinel	Подписка, группа ресурсов или ресурс рабочей области
  Запрос таблиц данных Sentinel или просмотр инцидентов	Читатель Microsoft Sentinel или роль со следующими действиями: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/read	Подписка, группа ресурсов или ресурс рабочей области
  Проведение следственных действий по инцидентам	Участник Microsoft Sentinel или роль со следующими действиями: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents /read- Microsoft.SecurityInsights/incidents/relations/read — Microsoft.SecurityInsights/incidents/relations/write — Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Подписка, группа ресурсов или ресурс рабочей области
  Создание запроса в службу поддержки	Владелец , участник или участник запроса на поддержку или настраиваемая роль в Microsoft.Support/*	Подписка

  После подключения Microsoft Sentinel к порталу Defender существующие разрешения на управление доступом на основе ролей Azure (RBAC) позволяют работать с функциями Microsoft Sentinel, к которым у вас есть доступ. Продолжайте управлять ролями и разрешениями для пользователей Microsoft Sentinel на портале Azure. Все изменения Azure RBAC отражаются на портале Defender. Дополнительные сведения о разрешениях Microsoft Sentinel см. в статье Роли и разрешения в Microsoft Sentinel | Microsoft Learn и управление доступом к данным Microsoft Sentinel по ресурсу | Microsoft Learn.

Подключение Microsoft Sentinel

Чтобы подключить рабочую область с включенным Microsoft Sentinel к XDR Defender, выполните следующие действия.

1. Перейдите на портал Microsoft Defender и выполните вход.

2. В Microsoft Defender XDR выберите Обзор.

3. Выберите Подключить рабочую область.

4. Выберите рабочую область, которую требуется подключить, и нажмите кнопку Далее.

5. Ознакомьтесь с изменениями продукта, связанными с подключением рабочей области. К этим изменениям относятся:

   • Таблицы журналов, запросы и функции в рабочей области Microsoft Sentinel также доступны в расширенном поиске в XDR Defender.
   • Роль участника Microsoft Sentinel назначается приложениям Microsoft Threat Protection и WindowsDefenderATP в рамках подписки.
   • Активные правила создания инцидентов безопасности Майкрософт деактивируются, чтобы избежать повторяющихся инцидентов. Это изменение применяется только к правилам создания инцидентов для оповещений Майкрософт, но не к другим правилам аналитики.
   • Все оповещения, связанные с продуктами Defender XDR, передаются непосредственно из основного соединителя данных Defender XDR для обеспечения согласованности. Убедитесь, что в рабочей области включено сообщение об инцидентах и оповещениях из этого соединителя.

6. Нажмите Подключиться.

После подключения рабочей области баннер на странице Обзор показывает, что ваше единое управление информационной безопасностью и событиями безопасности (SIEM) и расширенное обнаружение и реагирование (XDR) готовы. Страница Обзор обновлена новыми разделами, в которых содержатся метрики Из Microsoft Sentinel, такие как количество соединителей данных и правила автоматизации.

Обзор функций Microsoft Sentinel на портале Defender

После подключения рабочей области к порталу Defender Microsoft Sentinel находится в области навигации слева. Такие страницы, как Обзор, Инциденты и Расширенная охота , имеют унифицированные данные из Microsoft Sentinel и Defender XDR. Дополнительные сведения об унифицированных возможностях и различиях между порталами см. в статье Microsoft Sentinel на портале Microsoft Defender.

Многие существующие функции Microsoft Sentinel интегрированы на портале Defender. Для этих функций обратите внимание, что взаимодействие между Microsoft Sentinel на портале Azure и порталом Defender аналогично. Используйте следующие статьи, чтобы начать работу с Microsoft Sentinel на портале Defender. При использовании этих статей имейте в виду, что отправной точкой в этом контексте является портал Defender , а не портал Azure.

• Поиск
  • Поиск по длительным интервалам времени в больших наборах данных
  • Восстановление архивных журналов из поиска
• Управление угрозами
  • Визуализация и мониторинг данных с помощью книг
  • Проведение сквозной охоты на угрозы с помощью Hunts
  • Использование охотничьих закладок для исследования данных
  • Использование охотничьего livestream в Microsoft Sentinel для обнаружения угроз
  • Поиск угроз безопасности с помощью записных книжек Jupyter
  • Массовое добавление индикаторов в аналитику угроз Microsoft Sentinel из CSV-файла или JSON
  • Работа с индикаторами угроз в Microsoft Sentinel
  • Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK
• Управление контентом
  • Обнаружение содержимого Microsoft Sentinel и управление ими
  • Каталог центра содержимого Microsoft Sentinel
  • Развертывание пользовательского содержимого из репозитория
• Конфигурация
  • Поиск соединителя данных Microsoft Sentinel
  • Создание настраиваемых правил аналитики для обнаружения угроз
  • Работа с правилами аналитики обнаружения почти в реальном времени (NRT) в Microsoft Sentinel
  • Создание списков отслеживания
  • Управление списками отслеживания в Microsoft Sentinel
  • Создание правил автоматизации
  • Создание и настройка сборников схем Microsoft Sentinel на основе шаблонов контента

Найдите параметры Microsoft Sentinel на портале Defender в разделеПараметры>системы>Microsoft Sentinel.

Отключение Microsoft Sentinel

Одновременно к порталу Defender может быть подключена только одна рабочая область. Если вы хотите подключиться к другой рабочей области с включенным Microsoft Sentinel, отключите текущую рабочую область и подключите другую рабочую область.

1. Перейдите на портал Microsoft Defender и выполните вход.

2. На портале Defender в разделе Система выберите Параметры>Microsoft Sentinel.

3. На странице Рабочие области выберите подключенную рабочую область и Отключить рабочую область.

4. Подтвердите выбор.

   Если рабочая область отключена, раздел Microsoft Sentinel удаляется из левой части навигации на портале Defender. Данные из Microsoft Sentinel больше не включаются на страницу Обзор.

Если вы хотите подключиться к другой рабочей области, на странице Рабочие области выберите рабочую область и Подключите рабочую область.

Связанные материалы

• Microsoft Sentinel на портале Microsoft Defender
• Расширенная охота на портале Microsoft Defender
• Автоматическое нарушение атак в XDR в Microsoft Defender
• Исследование инцидентов в XDR в Microsoft Defender
• Оптимизация операций безопасности