Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Im Defender-Portal können Sie für Microsoft Sentinel eine Verbindung mit einem primären Und mehreren sekundären Arbeitsbereichen herstellen. Im Kontext dieses Artikels ist ein Arbeitsbereich ein Log Analytics-Arbeitsbereich mit aktiviertem Microsoft Sentinel.
Dieser Artikel gilt in erster Linie für das Szenario, in dem Sie Microsoft Sentinel zusammen mit Microsoft Defender XDR für einheitliche Sicherheitsvorgänge in das Defender-Portal integrieren. Wenn Sie Beabsichtigen, Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR zu verwenden, können Sie weiterhin mehrere Arbeitsbereiche verwalten. Da Sie jedoch nicht über Defender XDR verfügen, verfügt Ihr primärer Arbeitsbereich nicht über Defender XDR-Daten, und Sie haben keinen Zugriff auf Defender XDR-Features.
Primäre und sekundäre Arbeitsbereiche
Wählen Sie Ihren primären Arbeitsbereich aus, wenn Sie Microsoft Sentinel in das Defender-Portal integrieren. Alle anderen Arbeitsbereiche, die Sie im Defender-Portal integrieren, werden als sekundäre Arbeitsbereiche betrachtet. Das Defender-Portal unterstützt einen primären Arbeitsbereich und eine unbegrenzte Anzahl sekundärer Arbeitsbereiche pro Mandant für Microsoft Sentinel.
Wenn Sie auch Über Microsoft Defender XDR verfügen, werden Warnungen aus Ihrem primären Arbeitsbereich mit Defender XDR-Daten korreliert, und Vorfälle enthalten Warnungen sowohl aus Ihrem primären Arbeitsbereich als auch Defender XDR in einer einheitlichen Warteschlange. Wenn Sie einen primären Arbeitsbereich auswählen, ist der Defender XDR-Datenconnector nur für Vorfälle und Warnungen mit dem primären Arbeitsbereich verbunden.
In solchen Fällen:
| Fläche | BESCHREIBUNG |
|---|---|
| Andere Arbeitsbereiche, die zuvor mit Defender XDR verbunden waren | Alle anderen Arbeitsbereiche, die zuvor mit dem Defender XDR-Connector verbunden waren, werden getrennt und funktionieren als sekundäre Arbeitsbereiche. Defender XDR-Daten sind in einem sekundären Arbeitsbereich nicht verfügbar, und alle Analyseregeln und Automatisierungsregeln, die Sie zuvor basierend auf Defender XDR-Daten konfiguriert haben, funktionieren nicht mehr. |
| Mandantenbasierte Warnungen und eigenständige Datenconnectors | Warnungen von anderen Microsoft-Diensten, einschließlich anderer Defender-Dienste, sind mandantenbasierte Warnungen und beziehen sich nicht auf einen bestimmten Arbeitsbereich, sondern auf den gesamten Mandanten. Um Duplizierungen in verschiedenen Arbeitsbereichen zu vermeiden, müssen eigenständige Datenverbindungen für diese Dienste in sekundären Arbeitsbereichen von Microsoft Sentinel entfernt werden. Dies führt dazu, dass mandantenbasierte Warnungen nur im primären Arbeitsbereich angezeigt werden. Bei der Integration werden eigenständige Datenconnectors für Microsoft Defender for Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint und Microsoft Defender for Identity automatisch getrennt. Wenn Sie andere, eigenständige Microsoft-Datenconnectors mit Warnungen in Ihren Arbeitsbereichen haben, stellen Sie sicher, dass Sie sie trennen, bevor Sie das Onboarding in das Defender-Portal durchführen. |
| Defender XDR-Warnungen und Vorfälle | Alle Defender XDR-Warnungen und Vorfälle werden nur mit Ihrem primären Arbeitsbereich synchronisiert. |
| Incidenterstellung und Warnungskorrelation | Im Defender-Portal erfolgen Vorfallerstellung und Warnungskorrelation getrennt zwischen den einzelnen Microsoft Sentinel-Arbeitsbereichen. Vorfälle in sekundären Arbeitsbereichen enthalten keine Daten aus einem anderen Arbeitsbereich oder aus Defender XDR. |
| Ein primärer Arbeitsbereich erforderlich | Ein primärer Arbeitsbereich muss immer mit dem Defender-Portal verbunden sein. |
Sie können beispielsweise an einem globalen SOC-Team in einem Unternehmen arbeiten, das über mehrere, autonome Arbeitsbereiche verfügt. In solchen Fällen möchten Sie möglicherweise keine Vorfälle und Warnungen aus jedem dieser Arbeitsbereiche in Ihrer globalen SOC-Warteschlange im Defender-Portal anzeigen. Da diese Arbeitsbereiche als sekundäre Arbeitsbereiche in das Defender-Portal integriert sind, werden sie im Defender-Portal nur als Microsoft Sentinel ohne Defender-Daten angezeigt und funktionieren weiterhin autonom. Wenn Sie ihren globalen SOC-Arbeitsbereich betrachten, werden keine Daten aus diesen sekundären Arbeitsbereichen angezeigt.
Wenn Sie mehrere Microsoft Sentinel-Arbeitsbereiche in einem Microsoft Entra ID-Mandanten haben, sollten Sie den primären Arbeitsbereich für Ihr globales Security Operations Center verwenden.
Berechtigungen zum Verwalten von Arbeitsbereichen und Anzeigen von Arbeitsbereichsdaten
Verwenden Sie eine der folgenden Rollen oder Rollenkombinationen, um primäre und sekundäre Arbeitsbereiche zu verwalten:
| Aufgabe | Microsoft Entra oder integrierte Azure-Rolle erforderlich | Umfang |
|---|---|---|
| Integrieren von Microsoft Sentinel in das Defender-Portal |
Globaler Administrator oder Sicherheitsadministrator in Microsoft Entra ID Besitzer oder Benutzerzugriffsadministrator UND Microsoft Sentinel-Mitwirkender |
Tenant – Abonnement für die Rollen „Besitzer“ oder „Benutzerzugriffsadministrator“ – Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel-Mitwirkende |
| Verbinden oder Trennen eines sekundären Arbeitsbereichs |
Globaler Administrator oder Sicherheitsadministrator in Microsoft Entra ID Besitzer oder Benutzerzugriffsadministrator UND Microsoft Sentinel-Mitwirkender |
Tenant – Abonnement für die Rollen „Besitzer“ oder „Benutzerzugriffsadministrator“ – Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel-Mitwirkende |
| Ändern des primären Arbeitsbereichs |
Globaler Administrator oder Sicherheitsadministrator in Microsoft Entra ID Besitzer oder Benutzerzugriffsadministrator UND Microsoft Sentinel-Mitwirkender |
Tenant – Abonnement für die Rollen „Besitzer“ oder „Benutzerzugriffsadministrator“ – Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel-Mitwirkende |
Von Bedeutung
Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Nachdem Sie Microsoft Sentinel mit dem Defender-Portal verbunden haben, können Sie ihre vorhandenen rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) von Azure anzeigen und mit den Microsoft Sentinel-Features und -Arbeitsbereichen arbeiten, auf die Sie Zugriff haben.
| Arbeitsbereich | Zugang |
|---|---|
| Primär | Wenn Sie Zugriff auf den primären Arbeitsbereich haben, können Sie Daten aus dem Arbeitsbereich und Defender XDR lesen und verwalten. |
| Sekundärer Server/verwaltete Instanz | Wenn Sie Zugriff auf einen sekundären Arbeitsbereich haben, können Sie nur Daten aus dem Arbeitsbereich lesen und verwalten. Die sekundären Arbeitsbereiche enthalten keine Defender XDR-Daten. |
Ausnahme: Wenn Sie bereits einen Arbeitsbereich in das Defender-Portal integriert haben, sind alle Warnungen sichtbar, die durch benutzerdefinierte Erkennungen auf den AlertInfo und AlertEvidence Tabellen erstellt wurden, und zwar vor Mitte Januar 2025, für alle Benutzer.
Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel.
Änderungen am primären Arbeitsbereich
Nachdem Sie Microsoft Sentinel im Defender-Portal integriert haben, können Sie den primären Arbeitsbereich ändern. Wenn Sie den primären Arbeitsbereich für Microsoft Sentinel wechseln, wird der Defender XDR-Connector automatisch vom alten primären Arbeitsbereich getrennt und mit dem neuen verbunden.
Ändern Sie den primären Arbeitsbereich im Defender-Portal, indem Sie zu System>Einstellungen>Microsoft Sentinel>Arbeitsbereichen wechseln.
Umfang der Arbeitsbereichsdaten in unterschiedlichen Ansichten
Wenn Sie über die entsprechenden Berechtigungen zum Anzeigen von Daten aus primären und sekundären Arbeitsbereichen für Microsoft Sentinel verfügen, gilt der Arbeitsbereichsbereich in der folgenden Tabelle für jede Funktion.
| Fähigkeit | Arbeitsbereichsumfang |
|---|---|
| Suchen | Die Ergebnisse der globalen Suche oben auf der Browserseite im Defender-Portal bieten eine aggregierte Ansicht aller relevanten Arbeitsbereichsdaten, auf die Sie Zugriff haben. |
| Untersuchung und Reaktion > Vorfälle und Warnungen >Vorfälle | Anzeigen von Vorfällen aus verschiedenen Arbeitsbereichen in einer einheitlichen Warteschlange oder Filtern der Ansicht nach Arbeitsbereich. |
| Untersuchung und Reaktion > Incidents und Warnungen >Warnungen | Anzeigen von Warnungen aus verschiedenen Arbeitsbereichen in einer einheitlichen Warteschlange oder Filtern der Ansicht nach Arbeitsbereich. Das Defender-Portal segmentiert die Warnungs-Korrelation nach Arbeitsbereich. |
| Entitäten: Aus einem Vorfall oder einer Warnung > wählen Sie ein Gerät, einen Benutzer oder eine andere Entitätsressource aus. | Alle relevanten Entitätsdaten aus mehreren Arbeitsbereichen auf einer einzelnen Entitätsseite anzeigen. Entitätsseiten aggregiert Warnungen, Vorfälle und Zeitachsenereignisse aus allen Arbeitsbereichen, um tiefere Einblicke in das Entitätsverhalten zu erhalten. Filtern nach Arbeitsbereichen auf den Registerkarten "Vorfälle" und "Warnungen", " Zeitachse" und "Einblicke ". Auf der Registerkarte " Übersicht " werden Entitätsmetadaten angezeigt, die aus allen Arbeitsbereichen aggregiert wurden. |
| Untersuchung und Reaktion > Jagd >Erweiterte Jagd | Wählen Sie einen Arbeitsbereich auf der oberen rechten Seite des Browsers aus. Oder abfragen Sie mehrere Arbeitsbereiche, indem Sie den Arbeitsbereichsoperator in der Abfrage verwenden. Siehe Abfrage mehrerer Arbeitsbereiche. Die Abfrageergebnisse zeigen keinen Arbeitsbereichsnamen oder eine ID an. Greifen Sie schreibgeschützt auf alle Protokolldaten des Arbeitsbereichs zu, einschließlich Abfragen und Funktionen. Weitere Informationen finden Sie unter Erweiterte Bedrohungssuche mit Daten von Microsoft Sentinel im Microsoft Defender-Portal. Einige Funktionen sind auf den primären Arbeitsbereich beschränkt: - Erstellen benutzerdefinierter Erkennungen - Abfragen über API Arbeitsbereichübergreifende Abfragen für Log Analytics-Daten unterliegen weiterhin den Log Analytics-Einschränkungen. |
| Microsoft Sentinel-Erfahrungen | Zeigen Sie Daten aus einem Arbeitsbereich für jede Seite im Microsoft Sentinel-Abschnitt des Defender-Portals an. Wechseln Sie zwischen Arbeitsbereichen, indem Sie einen Arbeitsbereich auswählen oben rechts im Browser für die meisten Seiten. – Auf der Seite "Arbeitsmappen" werden nur Daten angezeigt, die dem primären Arbeitsbereich zugeordnet sind. Arbeitsbereichübergreifende Analyseregeln unterliegen weiterhin Einschränkungen und Empfehlungen für arbeitsbereichübergreifende Analyseregeln. |
| SOC-Optimierung | Daten und Empfehlungen werden aus mehreren Arbeitsbereichen aggregiert. |
Bidirektionale Synchronisierung für Arbeitsbereiche
Wie sich die Synchronisierung zwischen dem Azure-Portal und dem Defender-Portal ändert, hängt davon ab, ob es sich um einen primären oder sekundären Arbeitsbereich handelt.
| Arbeitsbereich | Synchronisierungsverhalten |
|---|---|
| Primär | Für Microsoft Sentinel werden Defender XDR-Incidents im Azure-Portal unter Berohungsmanagement>Incidents mit dem Namen Microsoft XDR als Incidentanbieter angezeigt. Alle Änderungen, die Sie am Status, am Schließungsgrund oder an der Zuweisung eines Defender XDR-Vorfalls im Azure- oder Defender-Portal vornehmen, werden in der Vorfallswarteschlange des anderen Portals aktualisiert. Weitere Informationen finden Sie unter Arbeiten mit Microsoft Defender XDR-Vorfällen in Microsoft Sentinel und bidirektionaler Synchronisierung. |
| Sekundär | Alle Warnungen und Vorfälle, die Sie für einen sekundären Arbeitsbereich erstellen, werden zwischen diesem Arbeitsbereich in den Azure- und Defender-Portalen synchronisiert. Daten in einem Arbeitsbereich werden nur mit dem Arbeitsbereich im anderen Portal synchronisiert. |
Unterstützung für Insider-Risikomanagement (IRM)
Microsoft Purview Insider Risk Management (IRM) -Warnungen werden nur mit dem primären Arbeitsbereich korreliert. Wenn Sie ÜBER IRM-Benachrichtigungen mit Microsoft Defender XDR verfügen, müssen Sie IRM mit dem Microsoft Defender XDR-Connector in Ihrem primären Arbeitsbereich verbinden, bevor Sie den Arbeitsbereich in das Defender-Portal integrieren. Dies ist erforderlich, um sicherzustellen, dass IRM-Warnungen und Vorfälle im primären Arbeitsbereich verfügbar sind. Wenn Sie IRM-Warnungen nicht im primären Arbeitsbereich sehen möchten, können Sie stattdessen die Integration mit Microsoft Defender XDR deaktivieren.
Wenn der direkte Datenconnector von Microsoft 365-Connector für Insider-Risikomanagement für Microsoft Sentinel mit einem der sekundären Arbeitsbereiche verbunden ist, müssen Sie die Verbindung trennen, bevor Sie den Arbeitsbereich in das Defender-Portal einbinden.