Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel ist im Microsoft Defender-Portal mit Microsoft Defender XDR oder eigenständig verfügbar. Es bietet eine einheitliche Erfahrung in SIEM und XDR für schnellere, genauere Bedrohungserkennung und -reaktion, einfachere Workflows und bessere Betriebliche Effizienz.
In diesem Artikel wird erläutert, wie Sie Ihre Microsoft Sentinel-Erfahrung vom Azure-Portal zum Defender-Portal übertragen. Wenn Sie Microsoft Sentinel im Azure-Portal verwenden, wechseln Sie zu Microsoft Defender für einheitliche Sicherheitsvorgänge und die neuesten Features. Weitere Informationen finden Sie in Microsoft Sentinel im Microsoft Defender-Portal oder schauen Sie sich unsere YouTube-Wiedergabeliste an.
Hinweis
Der Übergang zum Defender-Portal, auch für Nicht-E5-Kunden, hat keine zusätzlichen Kosten für den Kunden. Der Kunde wird weiterhin wie gewohnt für seinen Verbrauch auf Sentinel in Rechnung gestellt.
Voraussetzungen
Bevor Sie beginnen, beachten Sie Folgendes:
Dieser Artikel richtet sich an Kunden mit einem vorhandenen Arbeitsbereich, der für Microsoft Sentinel aktiviert ist, der ihre Microsoft Sentinel-Erfahrung auf das Defender-Portal umstellen möchte. Wenn Sie ein neuer Kunde sind, der mit Berechtigungen eines Abonnementbesitzers oder eines Benutzerzugriffsadministrators integriert wurde, werden Ihre Arbeitsbereiche automatisch in das Defender-Portal integriert.
Einige Microsoft Sentinel-Features verfügen über neue Speicherorte im Defender-Portal. Weitere Informationen finden Sie in der Kurzübersicht.
Falls relevant, sind detaillierte Voraussetzungen in den verknüpften Artikeln für jeden Schritt enthalten.
Planen und Einrichten Ihrer Übergangsumgebung
Zielgruppe: Sicherheitsarchitekten
Videos:
- Einbindung eines Microsoft Sentinel-Arbeitsbereichs in Microsoft Defender
- Verwalten der einheitlichen rollenbasierten Zugriffssteuerung (RBAC) in Microsoft Defender
Überprüfen von Planungsleitfaden, vollständigen Voraussetzungen und Onboarding
Überprüfen Sie alle Planungsanleitungen, und schließen Sie alle Voraussetzungen ab, bevor Sie Ihren Arbeitsbereich in das Defender-Portal integrieren. Weitere Informationen finden Sie in den folgenden Artikeln:
Planen Sie einheitliche Sicherheitsvorgänge im Defender-Portal. Nach dem Onboarding im Defender-Portal wird die Rolle Microsoft Sentinel-Mitwirkender den Apps Microsoft Threat Protection und WindowsDefenderATP in Ihrem Abonnement zugewiesen.
Bereitstellung für einheitliche Sicherheitsoperationen im Defender-Portal. Dieser Artikel richtet sich an neue Kunden, die noch keinen Arbeitsbereich für Microsoft Sentinel oder andere Dienste im Defender-Portal integriert haben. Wenn Sie jedoch zum Defender-Portal wechseln, können Sie ihn als Referenz verwenden.
Verbinden Sie Microsoft Sentinel mit dem Defender-Portal. In diesem Artikel werden die Voraussetzungen für das Onboarding Ihres Arbeitsbereichs im Defender-Portal aufgeführt. Wenn Sie Beabsichtigen, Microsoft Sentinel ohne Defender XDR zu verwenden, müssen Sie einen zusätzlichen Schritt ausführen, um die Verbindung zwischen Microsoft Sentinel und dem Defender-Portal auszulösen.
Überprüfen der Unterschiede bei der Datenspeicherung und Datenschutz
Wenn Sie das Azure-Portal verwenden, gelten die Microsoft Sentinel-Richtlinien für Datenspeicherung, Prozess, Aufbewahrung und Freigabe. Wenn Sie das Defender-Portal verwenden, gelten stattdessen die Microsoft Defender XDR-Richtlinien , auch wenn Sie mit Microsoft Sentinel-Daten arbeiten.
Die folgende Tabelle enthält zusätzliche Details und Links, sodass Sie Erfahrungen in den Azure- und Defender-Portalen vergleichen können.
| Supportbereich | Azure-Portal | Defender-Portal |
|---|---|---|
| BCDR | Kunden sind dafür verantwortlich, ihre Daten zu replizieren | Microsoft Defender verwendet die Automatisierung für BCDR in Steuerelementbereichen. |
| Datenspeicherung und -verarbeitung |
-
Datenspeicherort - Unterstützte Regionen |
Datenspeicherort |
| Datenaufbewahrung | Datenaufbewahrung | Datenaufbewahrung |
| Datenfreigabe | Datenfreigabe | Datenfreigabe |
Weitere Informationen finden Sie unter:
- Geografische Verfügbarkeit und Datenbewahrung in Microsoft Sentinel
- Datensicherheit und -aufbewahrung in Microsoft Defender XDR
Onboarding im Defender-Portal mit kundenseitig verwalteten Schlüsseln (CMK)
Wenn Sie CMK vor dem Onboarding aktiviert haben, werden beim Onboarding Ihres Microsoft Sentinel-aktivierten Arbeitsbereichs im Defender-Portal weiterhin alle Protokolldaten in Ihrem Arbeitsbereich mit CMK verschlüsselt – einschließlich zuvor und neu aufgenommener Daten.
Analytische Regeln und andere Sentinel-Inhalte, wie Automatisierungsregeln, werden auch weiterhin CMK-verschlüsselt. Warnungen und Vorfälle werden jedoch nach dem Onboarding nicht mehr mit CMK verschlüsselt.
Weitere Informationen zu CMK finden Sie unter Einrichten des vom Kunden verwalteten Microsoft Sentinel-Schlüssels.
Von Bedeutung
CMK-Verschlüsselung wird für Daten, die im Microsoft Sentinel-Datensee gespeichert sind, nicht vollständig unterstützt. Alle daten, die in den Datensee aufgenommen werden ( z. B. benutzerdefinierte Tabellen oder transformierte Daten ) werden mit von Microsoft verwalteten Schlüsseln verschlüsselt.
Konfigurieren der Verwaltung von mehreren Arbeitsbereichen und Multimandant-Verwaltung
Defender unterstützt einen oder mehrere Arbeitsbereiche für mehrere Mandanten über das mehrinstanzenfähige Portal, das als zentraler Ort zum Verwalten von Vorfällen und Warnungen dient, um Bedrohungen mandantenübergreifend aufzuspüren und den Managed Security Service-Partnern (MSSPs) einen Überblick über alle Kunden zu ermöglichen.
In Szenarien mit mehreren Arbeitsbereichen können Sie im Mehrinstanzenportal einen primären Arbeitsbereich und mehrere sekundäre Arbeitsbereiche pro Mandant verbinden. Integrieren Sie jeden Arbeitsbereich separat in das Defender-Portal für jeden Mandanten, genau wie das Onboarding für einen einzelnen Mandanten.
Weitere Informationen finden Sie unter:
Azure Lighthouse-Dokumentation. Mit Azure Lighthouse können Sie Microsoft Sentinel-Daten aus anderen Mandanten über integrierte Arbeitsbereiche hinweg verwenden. Sie können beispielsweise Arbeitsbereichsübergreifende Abfragen mit dem
workspace()Operator in erweiterten Such- und Analyseregeln ausführen.Microsoft Entra B2B. Mit Microsoft Entra B2B können Sie auf Daten über Mandanten hinweg zugreifen. GDAP wird für Microsoft Sentinel-Daten nicht unterstützt.
Konfigurieren und Überprüfen Ihrer Einstellungen und Inhalte
Zielgruppe: Sicherheitsingenieure
Video: Verwalten von Connectors in Microsoft Defender
Bestätigen und Konfigurieren der Datensammlung
Wenn Microsoft Sentinel in Microsoft Defender integriert ist, bleibt die grundlegende Architektur der Datensammlung und des Telemetrieflusses erhalten. Vorhandene Connectors, die in Microsoft Sentinel konfiguriert wurden, unabhängig davon, ob für Microsoft Defender-Produkte oder andere Datenquellen, funktionieren ohne Unterbrechung weiter.
Aus Sicht von Log Analytics führt die Integration von Microsoft Sentinel in Microsoft Defender keine Änderung der zugrunde liegenden Aufnahmepipeline oder des Datenschemas ein. Trotz der Front-End-Vereinheitlichung bleibt das Microsoft Sentinel-Back-End vollständig in Log Analytics für Datenspeicherung, Suche und Korrelation integriert.
Warnungen im Zusammenhang mit Defender-Produkten werden direkt vom Microsoft Defender XDR-Connector gestreamt, um die Konsistenz sicherzustellen. Stellen Sie sicher, dass Vorfälle und Warnungen von diesem Connector in Ihrem Arbeitsbereich aktiviert sind. Nachdem Sie den Daten-Connector in Ihrem Arbeitsbereich konfiguriert haben, wird durch das Offboarding des Arbeitsbereichs von Microsoft Defender auch der Microsoft Defender XDR-Connector getrennt.
Weitere Informationen finden Sie unter Verknüpfen von Daten aus Microsoft Defender XDR Defender mit Microsoft Sentinel.
Integration in Microsoft Defender für Cloud
- Wenn Sie den mandantenbasierten Datenconnector für Defender für Cloud verwenden, müssen Sie maßnahmen ergreifen, um doppelte Ereignisse und Warnungen zu verhindern.
- Wenn Sie stattdessen den abonnementbasierten Legacy-Connector verwenden, stellen Sie sicher, dass Sie die Synchronisierung von Vorfällen und Warnungen mit Microsoft Defender deaktivieren.
Weitere Informationen finden Sie unter Warnungen und Vorfälle in Microsoft Defender.
Sichtbarkeit des Datenverbinders im Defender-Portal
Nach dem Onboarding Ihres Arbeitsbereichs in Defender werden die folgenden Datenconnectors für einheitliche Sicherheitsvorgänge verwendet und werden nicht auf der Seite "Datenconnectors " im Defender-Portal angezeigt:
- Microsoft Defender für Cloud-Apps
- Microsoft Defender für den Endpunkt
- Microsoft Defender for Identity
- Microsoft Defender for Office 365 (Vorschau)
- Microsoft Defender XDR
- Abonnementbasiertes Microsoft Defender for Cloud (Legacy)
- Der mandantenbasierte Microsoft Defender for Cloud (Vorschau)
Diese Datenkonnektoren werden weiterhin im Azure-Portal in Microsoft Sentinel aufgeführt.
Konfigurieren Ihres Ökosystems
Während der Arbeitsbereichs-Manager von Microsoft Sentinel nicht im Defender-Portal verfügbar ist, verwenden Sie eine der folgenden alternativen Funktionen zum Verteilen von Inhalten als Code für Arbeitsbereiche:
Bereitstellen von Inhalten als Code aus Ihrem Repository (öffentliche Vorschau) Verwenden Sie YAML- oder JSON-Dateien in GitHub oder Azure DevOps, um Konfigurationen in Microsoft Sentinel und Defender mithilfe von einheitlichen CI/CD-Workflows zu verwalten und bereitzustellen.
Mehrinstanzenfähiges Portal. Das Microsoft Defender-Mehrinstanzenportal unterstützt das Verwalten und Verteilen von Inhalten über mehrere Mandanten hinweg.
Andernfalls stellen Sie weiterhin Lösungspakete bereit, die verschiedene Arten von Sicherheitsinhalten aus dem Inhaltshub im Defender-Portal enthalten. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Konfigurieren von Analyseregeln
Microsoft Sentinel-Analyseregeln stehen im Defender-Portal zur Erkennung, Konfiguration und Verwaltung zur Verfügung. Die Funktionen von Analyseregeln bleiben unverändert, einschließlich Erstellung, Aktualisierung und Verwaltung über den Assistenten, Repositorys und die Microsoft Sentinel-API. Die Vorfallkorrelation und die mehrstufige Angriffserkennung funktionieren auch weiterhin im Defender-Portal. Die von der Fusion-Analyseregel im Azure-Portal verwaltete Warnungskorrelationsfunktion wird vom Defender XDR-Modul im Defender-Portal verarbeitet, das alle Signale an einer zentralen Stelle konsolidiert.
Beim Wechsel zum Defender-Portal sind die folgenden Änderungen wichtig:
| Merkmal | BESCHREIBUNG |
|---|---|
| Benutzerdefinierte Erkennungsregeln | Wenn Sie Fälle zur Erkennung haben, die sowohl Defender XDR- als auch Microsoft Sentinel-Daten umfassen, bei denen Sie Defender XDR-Daten nicht länger als 30 Tage aufbewahren müssen, empfiehlt es sich, benutzerdefinierte Erkennungsregeln zu erstellen, die Daten aus Microsoft Sentinel- und Defender XDR-Tabellen abfragen. Dies wird unterstützt, ohne Defender XDR-Daten in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie unter Verwenden von benutzerdefinierten Microsoft Sentinel-Funktionen in der erweiterten Suche in Microsoft Defender. |
| Warnungskorrelation | Im Defender-Portal werden Korrelationen automatisch auf Warnungen für Microsoft Defender-Daten und Drittanbieterdaten angewendet, die von Microsoft Sentinel erfasst werden, unabhängig von Warnungsszenarien. Die Kriterien, mit denen Warnungen in einem einzelnen Vorfall korreliert werden, sind Teil der proprietären internen Korrelationslogik des Defender-Portals. Weitere Informationen finden Sie unter Warnungskorrelation und Zusammenführung von Vorfällen im Defender-Portal. |
| Gruppieren von Warnungen und Zusammenführen von Vorfällen | Während die Konfiguration der Warnungsgruppierung weiterhin in Analyseregeln angezeigt wird, steuert das Defender XDR-Korrelationsmodul die Warnungsgruppierung und das Zusammenführen von Vorfällen bei Bedarf im Defender-Portal vollständig. Dadurch wird eine umfassende Übersicht über die gesamte Angriffsgeschichte sichergestellt, indem relevante Warnungen für mehrstufige Angriffe zusammengeführt werden. Beispielsweise können mehrere einzelne Analyseregeln, die für die Erstellung eines Vorfalls für jede Warnung konfiguriert sind, zu zusammengeführten Vorfällen führen, wenn sie mit der Defender XDR-Korrelationslogik übereinstimmen. |
| Warnungssichtbarkeit | Wenn Sie Microsoft Sentinel-Analyseregeln so konfiguriert haben, dass Warnungen nur ausgelöst werden, wenn die Vorfallerstellung deaktiviert ist, sind diese Warnungen im Defender-Portal nicht sichtbar. Obwohl der Abfrage-Editor für die erweiterte Suche das SecurityAlerts Tabellenschema nicht erkennt, können Sie die Tabelle weiterhin in Abfragen und Analyseregeln verwenden. |
| Warnungsoptimierung | Sobald Ihr Microsoft Sentinel-Arbeitsbereich in Defender integriert ist, werden alle Vorfälle, einschließlich derjenigen aus Ihren Microsoft Sentinel-Analyseregeln, vom Defender XDR-Modul generiert. Daher können die Warnungsoptimierungsfunktionen im Defender-Portal, die zuvor nur für Defender XDR-Warnungen verfügbar waren, jetzt auf Warnungen von Microsoft Sentinel angewendet werden. Mit diesem Feature können Sie die Reaktion auf Vorfälle optimieren, indem Sie die Auflösung allgemeiner Warnungen automatisieren, falsch positive Ergebnisse reduzieren und Rauschen minimieren, damit Analysten erhebliche Sicherheitsvorfälle priorisieren können. |
| Fusion: Erweiterte Multistate-Angriffserkennung | Die Fusion-Analyseregel, die im Azure-Portal Vorfälle basierend auf Warnungskorrelationen erstellt, die vom Fusion-Korrelationsmodul vorgenommen werden, wird deaktiviert, wenn Sie Microsoft Sentinel in das Defender-Portal integrieren. Sie verlieren keine Warnungskorrelationsfunktionen, da das Defender-Portal die Funktionen zur Erstellung von Vorfällen und Korrelationen von Microsoft Defender XDR verwendet, um die Funktionen des Fusion-Moduls zu ersetzen. Weitere Informationen finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel |
Konfigurieren von Automatisierungsregeln und Playbooks
In Microsoft Sentinel basieren Playbooks auf Workflows, die in Azure Logic Apps erstellt wurden, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können.
Die folgenden Einschränkungen gelten für Microsoft Sentinel-Automatisierungsregeln und Playbooks beim Arbeiten im Defender-Portal. Möglicherweise müssen Sie beim Übergang einige Änderungen in Ihrer Umgebung vornehmen.
| Funktionalität | BESCHREIBUNG |
|---|---|
| Automatisierungsregeln mit Warnungstriggern | Im Defender-Portal reagieren Automatisierungsregeln mit Warnungstriggern nur bei Microsoft Sentinel-Warnungen. Weitere Informationen finden Sie unter Erstellen von Triggern aus Warnungen. |
| Automatisierungsregeln mit Incidenttriggern | Sowohl im Azure-Portal als auch im Defender-Portal wird die Bedingungseigenschaft "Vorfallanbieter " entfernt, da alle Vorfälle Microsoft XDR als Vorfallanbieter (der Wert im Feld "Anbietername ") aufweisen. Zu diesem Zeitpunkt werden alle vorhandenen Automatisierungsregeln sowohl für Microsoft Sentinel- als auch für Microsoft Defender XDR-Incidents ausgeführt, einschließlich derer, bei denen die Bedingung Incidentanbieter nur auf Microsoft Sentinel oder Microsoft 365 Defender festgelegt ist. Automatisierungsregeln, die einen bestimmten Analyseregelnamen angeben, werden jedoch nur für die Incidents ausgeführt, die von der angegebenen Analyseregel erstellt wurden. Dies bedeutet, dass Sie die Bedingungseigenschaft Analyseregelname mit einer Analyseregel definieren können, die nur in Microsoft Sentinel vorhanden ist, um Ihre Regel auf Incidents ausschließlich in Microsoft Sentinel zu beschränken. Außerdem enthält die Tabelle "SecurityIncident " nach dem Onboarding im Defender-Portal kein Beschreibungsfeld mehr. Therefore: – Wenn Sie dieses Beschreibungsfeld als Bedingung für eine Automatisierungsregel mit einem Auslöser für die Erstellung von Vorfällen verwenden, funktioniert diese Automatisierungsregel nach dem Onboarding im Defender-Portal nicht mehr. Stellen Sie in solchen Fällen sicher, dass Sie die Konfiguration entsprechend aktualisieren. Weitere Informationen finden Sie unter Bedingungen für Incidenttrigger. – Wenn Sie eine Integration mit einem externen Ticketingsystem wie ServiceNow konfiguriert haben, fehlt die Vorfallbeschreibung. |
| Latenz in Playbook-Triggern | Es kann bis zu 5 Minuten dauern, bis Microsoft Defender-Vorfälle in Microsoft Sentinel angezeigt werden. Wenn diese Verzögerung vorliegt, wird auch die Auslösung des Playbooks verzögert. |
| Änderungen an vorhandenen Incidentnamen | Das Defender-Portal verwendet ein eindeutiges Modul, um Incidents und Warnungen zu korrelieren. Wenn Sie Ihren Arbeitsbereich in das Defender-Portal integrieren, werden vorhandene Incidentnamen möglicherweise geändert, wenn die Korrelation angewandt wird. Um sicherzustellen, dass Ihre Automatisierungsregeln immer korrekt ausgeführt werden, wird deshalb empfohlen, die Verwendung von Vorfallstiteln als Bedingungskriterien in Ihren Automatisierungsregeln zu vermeiden und stattdessen den Namen der Analyseregel, die den Vorfall erzeugt hat, sowie Tags zu verwenden, wenn höhere Genauigkeit erforderlich ist. |
| Feld Aktualisiert durch | Weitere Informationen finden Sie unter Trigger für Incidentupdates. |
| Erstellen von Automatisierungsregeln direkt aus einem Vorfall | Das Erstellen von Automatisierungsregeln direkt aus einem Vorfall wird nur im Azure-Portal unterstützt. Wenn Sie im Defender-Portal arbeiten, erstellen Sie Ihre Automatisierungsregeln ganz neu auf der Seite Automatisierung. |
| Microsoft-Regeln zum Erstellen von Incidents | Microsoft-Regeln zur Erstellung von Incidents werden im Defender-Portal nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln. |
| Ausführen von Automatisierungsregeln aus dem Defender-Portal | Es kann bis zu 10 Minuten dauern, bis eine Automatisierungsregel ausgeführt wird, nachdem eine Warnung ausgelöst und ein Incident im Defender-Portal erstellt oder aktualisiert wurde. Diese Verzögerung ist darauf zurückzuführen, dass der Incident im Defender-Portal erstellt und dann an Microsoft Sentinel für die Automatisierungsregel weitergeleitet wird. |
| Registerkarte „Aktive Playbooks“ | Nach dem Onboarding in das Defender-Portal wird auf der Registerkarte Aktive Playbooks standardmäßig ein vordefinierter Filter mit dem Abonnement des integrierten Arbeitsbereichs angezeigt. Fügen Sie im Azure-Portal mithilfe des Abonnementfilters Daten für andere Abonnements hinzu. Weitere Informationen finden Sie unter Erstellen und Anpassen von Microsoft Sentinel-Playbooks aus Vorlagen. |
| Manuelles Ausführen von Playbooks bei Bedarf | Die folgenden Verfahren werden im Defender-Portal aktuell nicht unterstützt: |
| Das Ausführen von Playbooks nach Incidents erfordert die Microsoft Sentinel-Synchronisierung | Wenn Sie versuchen, ein Playbook für einen Incident über das Defender-Portal auszuführen und die Meldung „Auf Daten zu diesem Vorgang kann nicht zugegriffen werden. Aktualisieren Sie den Bildschirm in ein paar Minuten.“ angezeigt wird, bedeutet dies, dass der Incident noch nicht mit Microsoft Sentinel synchronisiert wurde. Aktualisieren Sie die Incidentseite, nachdem der Vorfall synchronisiert wurde, um das Playbook erfolgreich auszuführen. |
|
Vorfälle: Hinzufügen von Warnungen zu Incidents/ Entfernen von Warnungen aus Vorfällen |
Da das Hinzufügen von Warnungen zu oder das Entfernen von Warnungen aus Incidents nach dem Onboarding Ihres Arbeitsbereichs in das Defender-Portal nicht unterstützt wird, werden diese Aktionen auch nicht in Playbooks unterstützt. Weitere Informationen finden Sie unter Verstehen, wie Warnungen korreliert werden und Vorfälle im Defender-Portal zusammengeführt werden. |
| Microsoft Defender XDR-Integration in mehrere Arbeitsbereiche | Wenn Sie XDR-Daten mit mehr als einem Arbeitsbereich in einem einzigen Mandanten integriert haben, werden die Daten jetzt nur noch in den primären Arbeitsbereich im Defender-Portal aufgenommen. Übertragen Sie Automatisierungsregeln in den relevanten Arbeitsbereich, um sie weiter auszuführen. |
| Automatisierung und Korrelationsmodul | Das Korrelationsmodul kann Warnungen von mehreren Signalen in einem einzigen Vorfall kombinieren, was dazu führen könnte, dass die Automatisierung Daten empfängt, die Sie nicht vorhergesehen haben. Es wird empfohlen, Ihre Automatisierungsregeln zu überprüfen, um sicherzustellen, dass die erwarteten Ergebnisse angezeigt werden. |
Konfigurieren von APIs
Die einheitliche Oberfläche im Defender-Portal führt wichtige Änderungen an Vorfällen und Warnungen von APIs ein. Sie unterstützt API-Aufrufe basierend auf der Microsoft Graph-REST-API v1.0, die für die Automatisierung im Zusammenhang mit Warnungen, Vorfällen, der erweiterten Suche und mehr verwendet werden kann.
Die Microsoft Sentinel-API unterstützt weiterhin Aktionen für Microsoft Sentinel-Ressourcen, wie Analyseregeln, Automatisierungsregeln und vieles mehr. Für die Interaktion mit einheitlichen Vorfällen und Warnungen empfehlen wir die Verwendung der Microsoft Graph REST-API.
Wenn Sie die Microsoft Sentinel-API SecurityInsights für die Interaktion mit Vorfällen in Microsoft Sentinel verwenden, müssen Sie möglicherweise Ihre Automatisierungsbedingungen und Kriterien aufgrund von Änderungen im Antworttextkörper aktualisieren.
Die folgende Tabelle enthält Felder, die in den Antwortausschnitten wichtig sind, und vergleicht sie in den Azure- und Defender-Portalen:
| Funktionalität | Azure-Portal | Defender-Portal |
|---|---|---|
| Link zum Vorfall |
incidentUrl: Die direkte URL zum Vorfall im Microsoft Sentinel-Portal |
providerIncidentUrl : Dieses zusätzliche Feld stellt einen direkten Link zum Vorfall bereit, der verwendet werden kann, um diese Informationen mit einem Ticketingsystem eines Drittanbieters wie ServiceNow zu synchronisieren. incidentUrl ist weiterhin verfügbar, verweist jedoch auf das Microsoft Sentinel-Portal. |
| Die Quellen, die die Erkennung ausgelöst und die Warnung veröffentlicht haben | alertProductNames |
alertProductNames: Erfordert das Hinzufügen ?$expand=alerts zum GET. Beispiel: https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Der Name des Warnungsanbieters |
providerName = "Azure Sentinel" |
providerName = „Microsoft XDR“ |
| Der Dienst oder das Produkt, der die Warnung erstellt hat | Ist im Azure-Portal nicht vorhanden | serviceSource Beispiel: "microsoftDefenderForCloudApps" |
| Die Erkennungstechnologie oder der Sensor, die die wichtige Komponente oder Aktivität identifiziert hat | Ist im Azure-Portal nicht vorhanden |
detectionSource Beispiel: "cloudAppSecurity" |
| Der Name des Produkts, das diese Warnung veröffentlicht hat | Ist im Azure-Portal nicht vorhanden |
productName Beispiel: "Microsoft Defender für Cloud-Apps" |
Ausführen von Vorgängen im Defender-Portal
Zielgruppe: Sicherheitsanalysten
Videos:
- Entdecken und Verwalten von Microsoft Sentinel-Inhalten und Bedrohungserkennungen in Microsoft Defender
- Erstellen von Automatisierung und Arbeitsmappen in Microsoft Defender
- Warnungskorrelation in Microsoft Defender
- Untersuchung von Vorfällen in Microsoft Defender
- Fallverwaltung in Microsoft Defender
- Erweiterte Suche in Microsoft Defender
- SOC-Optimierungen in Microsoft Defender
Aktualisieren der Vorfall-Triageprozesse für das Defender-Portal
Wenn Sie Microsoft Sentinel im Azure-Portal verwendet haben, werden Sie erhebliche Verbesserungen der Benutzererfahrung im Defender-Portal feststellen. Während Sie SOC-Prozesse aktualisieren und Ihre Analysten neu trainieren müssen, konsolidiert das Design alle relevanten Informationen an einem zentralen Ort, um optimierte und effizientere Workflows bereitzustellen.
Die einheitliche Vorfallwarteschlange im Defender-Portal konsolidiert alle Vorfälle in einer einzigen Ansicht und wirkt sich darauf aus, wie Analysten Vorfälle triagen, die jetzt mehrere, sicherheitsübergreifende Domänenwarnungen enthalten. Beispiel:
- Üblicherweise analysieren Analysten Vorfälle basierend auf spezifischen Sicherheitsbereichen oder Fachwissen, wobei sie häufig Tickets pro Entität bearbeiten, z. B. einen Benutzer oder Rechner. Dieser Ansatz kann blinde Flecken schaffen, auf die die einheitliche Erfahrung ausgerichtet ist.
- Wenn ein Angreifer lateral wechselt, können verwandte Warnungen aufgrund verschiedener Sicherheitsdomänen in separaten Vorfällen enden. Die einheitliche Benutzeroberfläche beseitigt dieses Problem, indem eine umfassende Ansicht bereitgestellt wird, um sicherzustellen, dass alle zugehörigen Warnungen korreliert und miteinander verwaltet werden.
Analysten können auch Erkennungsquellen und Produktnamen im Defender-Portal anzeigen und Filter für eine effizientere Vorfall- und Warnungstriage anwenden und freigeben.
Der einheitliche Triageprozess kann dazu beitragen, Analystenarbeitslasten zu reduzieren und sogar die Rollen von Analysten der Ebene 1 und Stufe 2 zu kombinieren. Der einheitliche Triageprozess kann jedoch auch breitere und tiefere Analystenkenntnisse erfordern. Wir empfehlen Schulungen auf der neuen Portalschnittstelle, um einen reibungslosen Übergang sicherzustellen.
Weitere Informationen finden Sie unter Incidents und Warnungen im Microsoft Defender-Portal.
Verstehen, wie Warnungen korreliert werden und Vorfälle im Defender-Portal zusammengeführt werden
Das Korrelationsmodul von Defender führt Vorfälle zusammen, wenn sie allgemeine Elemente zwischen Warnungen in separaten Vorfällen erkennt. Wenn eine neue Warnung Korrelationskriterien erfüllt, aggregiert und korreliert Microsoft Defender sie mit anderen zugehörigen Warnungen aus allen Erkennungsquellen in einen neuen Vorfall. Nach dem Onboarding von Microsoft Sentinel in das Defender-Portal zeigt die einheitliche Vorfallwarteschlange einen umfassenderen Angriff an, wodurch Analysten effizienter werden und eine vollständige Angriffsstory bereitstellen.
In Szenarien mit mehreren Arbeitsbereichen werden nur Warnungen aus einem primären Arbeitsbereich mit Microsoft Defender XDR-Daten korreliert. Es gibt auch bestimmte Szenarien, in denen Vorfälle nicht zusammengeführt werden.
Nach dem Onboarding von Microsoft Sentinel im Defender-Portal gelten die folgenden Änderungen für Vorfälle und Warnungen:
| Merkmal | BESCHREIBUNG |
|---|---|
| Verzögerung direkt nach dem Onboarding Ihres Arbeitsbereichs | Es kann bis zu 5 Minuten dauern, bis Microsoft Defender-Vorfälle vollständig in Microsoft Sentinel integriert werden. Dies wirkt sich nicht auf Funktionen aus, die direkt von Microsoft Defender bereitgestellt werden, z. B. automatische Angriffsunterbrechung. |
| Erstellungsregeln für Sicherheitsvorfälle | Alle aktiven Regeln zur Erstellung von Sicherheitsvorfällen von Microsoft werden deaktiviert, um doppelte Vorfälle zu vermeiden. Die Einstellungen für die Erstellung von Vorfällen in anderen Arten von Analyseregeln bleiben erhalten und können im Defender-Portal konfiguriert werden. |
| Name des Vorfallanbieters | Im Defender-Portal ist der Name des Vorfallanbieters immer Microsoft XDR. |
| Hinzufügen/Entfernen von Warnungen aus Vorfällen | Das Hinzufügen oder Entfernen von Microsoft Sentinel-Warnungen zu oder von Vorfällen wird nur im Defender-Portal unterstützt. Um eine Warnung aus einem Vorfall im Defender-Portal zu entfernen, müssen Sie die Warnung einem anderen Vorfall hinzufügen. |
| Bearbeiten von Kommentaren | Hinzufügen von Kommentaren zu Vorfällen im Defender- oder Azure-Portal, aber das Bearbeiten vorhandener Kommentare wird im Defender-Portal nicht unterstützt. An Kommentaren im Azure-Portal vorgenommene Änderungen werden nicht mit dem Defender-Portal synchronisiert. |
| Programmgesteuerte und manuelle Erstellung von Vorfällen | Vorfälle, die in Microsoft Sentinel über die API, durch ein Logic App-Playbook oder manuell über das Azure-Portal erstellt wurden, werden nicht mit dem Defender-Portal synchronisiert. Diese Vorfälle werden weiterhin im Azure-Portal und in der API unterstützt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer eigenen Vorfälle in Microsoft Sentinel. |
| Erneutes Öffnen geschlossener Vorfälle | Im Defender-Portal können Sie keine Warngruppierung in Microsoft Sentinel-Analyseregeln festlegen, um geschlossene Vorfälle erneut zu öffnen, wenn neue Warnungen hinzugefügt werden. Geschlossene Vorfälle werden in diesem Fall nicht erneut geöffnet, und neue Warnungen lösen neue Vorfälle aus. |
| Aufgaben | Vorfallsaufgaben sind im Defender-Portal nicht verfügbar. Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben. |
Weitere Informationen finden Sie unter "Vorfälle und Warnungen im Microsoft Defender-Portal" sowie unter "Warnungskorrelation und Vorfallzusammenführung im Microsoft Defender-Portal".
Beachten Sie Änderungen für Untersuchungen mit erweiterter Bedrohungssuche
Nachdem Sie Microsoft Sentinel in das Defender-Portal integriert haben, greifen Sie auf alle vorhandenen Protokolltabellen, Kusto Query Language (KQL)-Abfragen und Funktionen auf der Seite " Erweiterte Suche " zu und verwenden sie sie. Alle Microsoft Sentinel-Warnungen, die an Vorfälle gebunden sind, werden in die AlertInfo Tabelle aufgenommen, auf die über die Seite " Erweiterte Suche " zugegriffen werden kann.
Es gibt einige Unterschiede, z. B.:
- Lesezeichen werden in der erweiterten Suche nicht unterstützt. Stattdessen werden Lesezeichen im Defender-Portal unter Microsoft Sentinel > Bedrohungsverwaltung > Suche unterstützt.
- Die "SecurityAlert"-Tabelle wird zwar nicht in der Erweiterte Bedrohungssuche->Schema-Tabellenliste angezeigt, wird aber weiterhin in Ihren Abfragen unterstützt.
Weitere Informationen finden Sie unter Erweiterte Suche mit Microsoft Sentinel-Daten in Microsoft Defender, insbesondere in der Liste bekannter Probleme, und verfolgen Sie Daten während der Suche mit Microsoft Sentinel.
Untersuchen mit Entitäten im Defender-Portal
Im Microsoft Defender-Portal sind Entitäten im Allgemeinen Objekte wie Konten, Hosts oder Postfächer oder Nachweise, z. B. IP-Adressen, Dateien oder URLs.
Nach dem Onboarding von Microsoft Sentinel in das Defender-Portal werden Entitätsseiten für Benutzer, Geräte und IP-Adressen in einer einzigen Ansicht konsolidiert, und zwar mit einer umfassenden Ansicht der Aktivität und des Kontexts und der Daten der Entität aus Microsoft Sentinel und Microsoft Defender XDR.
Das Defender-Portal bietet auch eine globale Suchleiste, die Ergebnisse aus allen Entitäten zentralisiert, sodass Sie über SIEM und XDR suchen können.
Weitere Informationen finden Sie auf den Entitätsseiten in Microsoft Sentinel.
Untersuchen mit UEBA im Defender-Portal
Die meisten Funktionen von User and Entity Behavior Analytics (UEBA) bleiben im Defender-Portal gleich wie im Azure-Portal, mit den folgenden Ausnahmen:
Das Hinzufügen von Entitäten zur Bedrohungserkennung von Vorfällen wird nur im Azure-Portal unterstützt. Weitere Informationen finden Sie unter Hinzufügen einer Entität zu Bedrohungsindikatoren.
Nach dem Onboarding von Microsoft Sentinel im Defender-Portal enthält die
IdentityInfoim Defender-Portal verwendete Tabelle einheitliche Felder aus Defender XDR und Microsoft Sentinel. Einige Felder, die beim Verwenden im Azure-Portal vorhanden sind, werden entweder im Defender-Portal umbenannt oder überhaupt nicht unterstützt. Es wird empfohlen, Ihre Abfragen auf Verweise auf diese Felder zu überprüfen und bei Bedarf zu aktualisieren. Weitere Informationen finden Sie in der Tabelle "IdentityInfo".
Von Bedeutung
Wenn Sie zum Defender-Portal wechseln, wird die IdentityInfo Tabelle zu einer nativen Defender-Tabelle, die die rollenbasierte Zugriffssteuerung auf Tabellenebene (RBAC) nicht unterstützt. Wenn Ihre Organisation RBAC auf Tabellenebene verwendet, um den Zugriff auf die IdentityInfo Tabelle im Azure-Portal einzuschränken, steht diese Zugriffssteuerung nach dem Übergang zum Defender-Portal nicht mehr zur Verfügung.
Aktualisieren von Untersuchungsprozessen zur Verwendung von Microsoft Defender Threat Intelligence
Für Microsoft Sentinel-Kunden, die vom Azure-Portal zum Defender-Portal wechseln, werden die vertrauten Bedrohungserkennungsfeatures im Defender-Portal unter Intel-Verwaltung beibehalten und mit anderen Im Defender-Portal verfügbaren Bedrohungserkennungsfunktionen erweitert. Unterstützte Features hängen von den lizenzen ab, die Sie haben, z. B.:
| Merkmal | BESCHREIBUNG |
|---|---|
| Bedrohungsanalyse | Unterstützt für Microsoft Defender XDR-Kunden . Eine produktinterne Lösung von Microsoft-Sicherheitsforschern, die Sicherheitsteams helfen soll, indem Sie Einblicke in neue Bedrohungen, aktive Bedrohungen und deren Auswirkungen bieten. Die Daten werden in einem intuitiven Dashboard mit Karten, Datenzeilen, Filtern und mehr dargestellt. |
| Intel Profile | Unterstützt für Microsoft Defender Threat Intelligence-Kunden . Kategorisieren Sie Bedrohungen und Verhaltensweisen nach einem Bedrohungsakteurprofil, sodass sie einfacher nachverfolgt und korreliert werden können. Zu diesen Profilen gehören alle Indikatoren für Kompromittierung (IoC), die sich auf Taktiken, Techniken und Tools beziehen, die in Angriffen verwendet werden. |
| Intel Explorer | Unterstützt für Microsoft Defender Threat Intelligence-Kunden . Konsolidiert verfügbare IoCs und stellt bedrohungsbezogene Artikel bereit, sobald sie veröffentlicht werden, sodass Sicherheitsteams auf dem neuesten Stand über aufkommende Bedrohungen bleiben. |
| Intel-Projekte | Unterstützt für Microsoft Defender Threat Intelligence-Kunden . Ermöglicht Es Teams, Bedrohungsintelligenz in ein "Projekt" zu konsolidieren, um alle Artefakte zu überprüfen, die sich auf ein bestimmtes Szenario von Interesse beziehen. |
Verwenden Sie im Defender-Portal ThreatIntelOjbects und ThreatIntelIndicators zusammen mit Kompromissindikatoren für die Bedrohungsjagd, die Vorfallreaktion, Copilot und Berichterstellung, um relationale Diagramme zu erstellen, die Verbindungen zwischen Indikatoren und Entitäten darstellen.
Für Kunden, die den Microsoft Defender Threat Intelligence (MDTI)-Feed verwenden, ist eine kostenlose Version über den Datenconnector von Microsoft Sentinel für MDTI verfügbar. Benutzer mit MDTI-Lizenzen können auch MDTI-Daten aufnehmen und Security Copilot für die Bedrohungsanalyse, aktive Bedrohungsüberprüfung und Bedrohungsakteurforschung verwenden.
Weitere Informationen finden Sie unter:
- Verwaltung von Bedrohungen
- Bedrohungsanalyse in Microsoft Defender XDR
- Verwenden von Projekten
- Bedrohungserkennung in Microsoft Sentinel
Verwenden von Arbeitsmappen zum Visualisieren und Melden von Microsoft Defender-Daten
Azure-Arbeitsmappen sind weiterhin das primäre Tool für die Datenvisualisierung und Interaktion im Defender-Portal, das wie im Azure-Portal funktioniert.
Um Arbeitsmappen mit Daten aus der erweiterten Suche zu verwenden, stellen Sie sicher, dass Sie Protokolle in Microsoft Sentinel erfassen.
Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Ähnliche Vorfälle (Vorschau) werden im Defender-Portal nicht unterstützt.
Das Feature "Ähnliche Vorfälle" von Microsoft Sentinel befindet sich in der Vorschau, wird im Defender-Portal nicht unterstützt. Dies bedeutet, dass beim Anzeigen einer Vorfalldetailseite im Defender-Portal die Registerkarte "Ähnliche Vorfälle " nicht verfügbar ist.
Verwandte Inhalte
- Das Beste von Microsoft Sentinel – jetzt in Microsoft Defender (Blog)
- Sehen Sie sich das Webinar an: Übergang zur Unified SOC-Plattform: Deep Dive und Interactive Q&A für SOC-Experten.
- Lesen Sie häufig gestellte Fragen im TechCommunity-Blog oder im Microsoft Community Hub.