你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender 门户中的 Microsoft Sentinel(预览版)

  • 项目
  • 适用于:
    Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅:

本文介绍 Microsoft Defender 门户中的 Microsoft Sentinel 体验。

重要

本文中的信息与预发布产品相关,在商业发行之前可能会发生实质性修改。 Microsoft 对此处提供的信息不提供任何明示或暗示的保证。

新增和改进的功能

下表介绍了 Defender 门户中与 Microsoft Sentinel 和 Defender XDR 的集成提供的新功能或改进的功能。

Capabilities 说明
高级追寻 从跨不同数据集的单个门户进行查询,使搜寻更高效,并消除对上下文切换的需求。 查看和查询所有数据,包括来自 Microsoft 安全服务和 Microsoft Sentinel 的数据。 使用所有现有的 Microsoft Sentinel 工作区内容,包括查询和函数。

有关详细信息,请参阅 Microsoft Defender 门户中的高级搜寻
攻击中断 使用统一的安全操作平台和适用于 SAP 的 Microsoft Sentinel 解决方案为 SAP 部署自动攻击中断。 例如,如果发生财务过程操作攻击,请锁定可疑的 SAP 用户,从而包含泄露的资产。

SAP 攻击中断功能仅在 Defender 门户中可用。 若要对 SAP 使用攻击中断,请更新数据连接器代理版本,并确保将相关的 Azure 角色分配给代理的标识。

有关详细信息,请参阅 SAP 自动攻击中断(预览版)
统一实体 Defender 门户中设备、用户、IP 地址和 Azure 资源的实体页显示来自 Microsoft Sentinel 和 Defender 数据源的信息。 这些实体页提供了扩展上下文,用于调查 Defender 门户中的事件和警报。

有关实体页的详细信息,请参阅使用 Microsoft Sentinel 中的实体页调查实体
统一事件 在 Defender 门户中的单个位置和单个队列中管理和调查安全事件。 事件包括:
- 来自源广度的数据
- 安全信息和事件管理的 AI 分析工具 (SIEM)
- 扩展检测和响应提供的上下文和缓解工具 (XDR)

有关详细信息,请参阅 Microsoft Defender 门户中的事件响应

门户之间的功能差异

Azure 和 Defender 门户中提供了大多数 Microsoft Sentinel 功能。 在 Defender 门户中,一些 Microsoft Sentinel 体验会打开到 Azure 门户,以便完成任务。

本部分介绍仅在 Azure 门户或 Defender 门户中可用的统一安全操作平台中的 Microsoft Sentinel 功能或集成,或者这些门户之间其他重大区别。 它不包括从 Defender 门户打开 Azure 门户的 Microsoft Sentinel 体验。

功能 可用性 说明
使用书签进行高级搜寻 仅 Azure 门户 Microsoft Defender 门户中的高级搜寻体验不支持书签。 在 Defender 门户中,“Microsoft Sentinel”>“威胁管理”>“搜寻”支持它们。

有关详细信息,请参阅在搜寻过程中使用 Microsoft Sentinel 跟踪数据
SAP 的攻击中断 仅 Defender 门户 此功能在 Azure 门户中不可用。

有关详细信息,请参阅 Microsoft Defender 门户中的自动攻击中断
自动化 某些自动化过程仅在 Azure 门户中可用。

Defender 和 Azure 门户中的其他自动化过程相同,但 Azure 门户中载入到统一安全操作平台的工作区与未加入的工作区之间有所不同。

有关详细信息,请参阅使用统一安全运营平台实现自动化
数据连接器:统一安全运营平台使用的连接器的可见性 仅 Azure 门户 在 Defender 门户中,载入 Microsoft Sentinel 后,统一安全操作平台中包含的以下数据连接器不会显示在“数据连接器”页面中:
  • Microsoft Defender for Cloud Apps
  • 用于终结点的 Microsoft Defender
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365(预览版)
  • Microsoft Defender XDR
  • 基于订阅的 Microsoft Defender for Cloud(旧版)
  • 基于租户的 Microsoft Defender for Cloud(预览版)

    在 Azure 门户中,这些数据连接器仍随 Microsoft Sentinel 中已安装的数据连接器一起列出。
    		•
    实体:将实体添加到事件的威胁情报 仅 Azure 门户 此功能在统一安全运营平台中不可用。

    有关详细信息,请参阅将实体添加到威胁指示器
    Fusion:高级多阶段攻击检测 仅 Azure 门户 将 Microsoft Sentinel 载入统一安全操作平台时,会禁用 Fusion 分析规则,该规则基于 Fusion 相关性引擎创建的警报相关性来创建事件。

    统一安全操作平台使用 Microsoft Defender XDR 的事件创建和关联功能来替换 Fusion 引擎的这些功能。

    有关详细信息,请参阅 Microsoft Sentinel 中的高级多阶段攻击检测
    事件:向事件添加警报 /
    移除事件中的警报    		 仅 Defender 门户 将 Microsoft Sentinel 载入到统一安全操作平台后,不能再在 Azure 门户中向事件添加警报或删除事件中的警报。

    可以在 Defender 门户中从事件中删除警报,但只能通过将警报链接到另一个事件(现有事件或新事件)来完成。
    事件:编辑注释 仅 Azure 门户 将 Microsoft Sentinel 载入统一安全操作平台后,可以在任一门户中向事件添加注释,但无法编辑现有注释。

    对 Azure 门户中的注释所做的编辑不会同步到统一安全运营平台。
    事件:以编程和手动方式创建事件 仅 Azure 门户 通过 API 在 Microsoft Sentinel 中创建的事件(由逻辑应用 playbook 或从 Azure 门户手动创建)不会同步到统一安全运营平台。 Azure 门户和 API 仍支持这些事件。 请参阅在 Microsoft Sentinel 中手动创建自己的事件
    事件:重新打开已关闭的事件 仅 Azure 门户 在统一安全操作平台中,如果添加了新警报,则无法在 Microsoft Sentinel 分析规则中设置警报分组来重新打开已关闭的事件。
    在这种情况下,不会重新打开已关闭的事件,新警报会触发新事件。
    事件:任务 仅 Azure 门户 任务在统一安全运营平台中不可用。

    有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件

    快速参考

    某些 Microsoft Sentinel 功能(如统一事件队列)与统一安全操作平台中的 Microsoft Defender XDR 集成。 Defender 门户的 Microsoft Sentinel 部分中提供了许多其他 Microsoft Sentinel 功能。

    下图显示了 Defender 门户中的 Microsoft Sentinel 菜单:

    Defender 门户左侧导航的屏幕截图,其中显示了 Microsoft Sentinel 部分。

    以下部分介绍在 Defender 门户中查找 Microsoft Sentinel 功能的位置。 这些部分在 Azure 门户中组织为 Microsoft Sentinel。

    常规

    下表列出了 Azure 门户中的“常规”部分在 Azure 门户与 Defender 门户之间导航的更改。

    Azure 门户 Defender 门户
    概述 概述
    日志 调查和响应 > 搜寻> 高级搜寻
    资讯与指南 不可用
    Search Microsoft Sentinel > 搜索

    威胁管理

    下表列出了 Azure 门户中的“威胁管理”部分在 Azure 门户与 Defender 门户之间导航的更改。

    Azure 门户 Defender 门户
    事故 调查和响应 > 事件和警报 > 事件
    工作簿 Microsoft Sentinel > 威胁管理 > 工作簿
    搜寻 Microsoft Sentinel > 威胁管理 > 搜寻
    笔记本 Microsoft Sentinel > 威胁管理 > 笔记本
    实体行为 用户实体页:资产 > 标识 >{user}> Sentinel 事件
    设备实体页: 资产 > 设备 >{device}> Sentinel 事件

    此外,在事件和警报出现时,从中查找用户、设备、IP 和 Azure 资源实体类型的实体页。
    威胁情报 Microsoft Sentinel > 威胁管理 > 威胁情报
    MITRE ATT&CK Microsoft Sentinel > 威胁管理 > MITRE ATT&CK

    内容管理

    下表列出了 Azure 门户中的“内容管理”部分在 Azure 门户与 Defender 门户之间导航的更改。

    Azure 门户 Defender 门户
    内容中心 Microsoft Sentinel > 内容管理 > 内容中心
    存储库 Microsoft Sentinel > 内容管理 > 存储库
    Community 不可用

    配置

    下表列出了 Azure 门户中的“配置”部分在 Azure 门户与 Defender 门户之间导航的更改。

    Azure 门户 Defender 门户
    工作区管理器 不可用
    数据连接器 Microsoft Sentinel > 配置 > 数据连接器
    分析 Microsoft Sentinel > 配置 > 分析
    播放列表 Microsoft Sentinel > 配置 > 监视列表
    自动化 Microsoft Sentinel > 配置 > 自动化
    设置 系统 > 设置 > Microsoft Sentinel

    相关内容