Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anleitungen zu bewährten Methoden finden Sie in der gesamten technischen Dokumentation für Microsoft Sentinel. In diesem Artikel werden einige wichtige Punkte für die Bereitstellung, Verwaltung und Verwendung von Microsoft Sentinel erläutert.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Informationen zu den ersten Schritten mit Microsoft Sentinel finden Sie im Bereitstellungshandbuch, das die allgemeinen Schritte zum Planen, Bereitstellen und Optimieren Ihrer Microsoft Sentinel-Bereitstellung umfasst. Wählen Sie in diesem Handbuch die bereitgestellten Links aus, um detaillierte Anleitungen für jede Phase in Ihrer Bereitstellung zu finden.
Einführung einer Einzelplattformarchitektur
Microsoft Sentinel ist in einen modernen Datensee integriert, der erschwinglichen, langfristigen Speicher bietet, sodass Teams das Datenmanagement vereinfachen, Kosten optimieren und die Einführung von KI beschleunigen können. Der Microsoft Sentinel-Datensee ermöglicht eine plattformübergreifende Architektur für Sicherheitsdaten und ermöglicht Analysten eine einheitliche Abfrageerfahrung und nutzt dabei das umfangreiche Connector-Ökosystem von Microsoft Sentinel. Weitere Informationen finden Sie unter Microsoft Sentinel Data Lake .
Onboarding von Microsoft Sentinel im Microsoft Defender-Portal und Integration in Microsoft Defender XDR
Erwägen Sie das Onboarding von Microsoft Sentinel in das Microsoft Defender-Portal, um Funktionen wie der Vorfallverwaltung und der erweiterten Bedrohungssuche mit Microsoft Defender XDR zu vereinheitlichen.
Wenn Sie Microsoft Sentinel nicht in das Microsoft Defender-Portal integrieren, beachten Sie Folgendes:
- Bis Juli 2026 werden alle Microsoft Sentinel-Kunden, die das Azure-Portal verwenden, an das Defender-Portal umgeleitet.
- Bis dahin können Sie den Defender XDR-Datenconnector verwenden, um Microsoft Defender-Dienstdaten in Microsoft Sentinel im Azure-Portal zu integrieren.
Die folgende Abbildung zeigt, wie sich die XDR-Lösung von Microsoft nahtlos in Microsoft Sentinel integriert.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Integration von Microsoft Defender XDR mit Microsoft Sentinel
- Verbinden von Microsoft Sentinel mit Microsoft Defender XDR
- Microsoft Sentinel im Microsoft Defender-Portal
Integrieren von Microsoft-Sicherheitsdiensten
Microsoft Sentinel wird durch die Komponenten gestärkt, die Daten an Ihren Arbeitsbereich senden, und wird durch die Integration mit anderen Microsoft-Diensten gestärkt. Alle Protokolle, die in Produkte wie Microsoft Defender for Cloud-Apps, Microsoft Defender for Endpoint und Microsoft Defender for Identity eingespeist werden, ermöglichen es diesen Diensten, Erkennungen zu erstellen und diese Erkennungen wiederum an Microsoft Sentinel weiterzuleiten. Protokolle können auch direkt in Microsoft Sentinel eingelesen werden, um ein umfassenderes Bild von Ereignissen und Vorfällen zu erhalten.
Microsoft Sentinel ist mehr als nur das Erfassen von Warnungen und Protokollen aus anderen Quellen, sondern stellt auch Folgendes bereit:
| Fähigkeit | Description |
|---|---|
| Bedrohungserkennung | Bedrohungserkennungsfunktionen mit künstlicher Intelligenz, mit denen Sie interaktive Visuelle über Arbeitsmappen erstellen und präsentieren können, Playbooks ausführen, um automatisch auf Warnungen zu reagieren, Machine Learning-Modelle zu integrieren, um Ihre Sicherheitsvorgänge zu verbessern und Anreicherungsfeeds von Bedrohungserkennungsplattformen zu erfassen und abzurufen. |
| Bedrohungsuntersuchung | Mit den Funktionen zur Bedrohungsuntersuchung können Sie Warnungen und Entitäten visualisieren und untersuchen, Anomalien im Benutzer- und Entitätsverhalten erkennen und Während einer Untersuchung Echtzeitereignisse überwachen. |
| Datensammlung | Sammeln Sie Daten über alle Benutzer, Geräte, Anwendungen und Infrastrukturen hinweg, und zwar sowohl lokal als auch in verschiedenen Clouds. |
| Bedrohungsreaktion | Funktionen für die Bedrohungsreaktion, z. B. Playbooks, die in Azure-Dienste und Ihre vorhandenen Tools integriert sind. |
| Partnerintegrationen | Integriert sich mit Partnerplattformen mithilfe von Microsoft Sentinel-Data-Connectors, stellt wesentliche Dienste für SOC-Teams bereit. |
Erstellen von benutzerdefinierten Integrationslösungen (Partner)
Partner, die benutzerdefinierte Lösungen erstellen möchten, die in Microsoft Sentinel integriert werden, finden Sie unter Bewährte Methoden für Partner, die in Microsoft Sentinel integriert werden.
Planen der Vorfallverwaltung und des Reaktionsprozesses
Die folgende Abbildung zeigt die empfohlenen Schritte in einem Incident Management- und Reaktionsprozess.
Die folgende Tabelle enthält allgemeine Vorfallverwaltungs- und Reaktionsaufgaben und zugehörige bewährte Methoden. Weitere Informationen finden Sie in der Microsoft Sentinel-Vorfalluntersuchung im Azure-Portal oder in Vorfällen und Warnungen im Microsoft Defender-Portal.
| Aufgabe | Bewährte Methode |
|---|---|
| Seite Vorfälle überprüfen | Überprüfen Sie einen Vorfall auf der Seite " Vorfälle ", auf der der Titel, der Schweregrad und die zugehörigen Warnungen, Protokolle und alle relevanten Entitäten aufgeführt sind. Sie können auch von Vorfällen zu gesammelten Protokollen und allen Tools im Zusammenhang mit dem Vorfall springen. |
| Verwenden des Vorfalldiagramms | Überprüfen Sie das Vorfalldiagramm für einen Vorfall, um den vollständigen Umfang eines Angriffs anzuzeigen. Anschließend können Sie eine Zeitachse mit Ereignissen erstellen und den Umfang einer Bedrohungskette ermitteln. |
| Überprüfen von Vorfällen auf falsch positive Ergebnisse | Verwenden Sie Daten zu wichtigen Entitäten, z. B. Konten, URLs, IP-Adresse, Hostnamen, Aktivitäten, Zeitachse, um zu verstehen, ob Sie über ein falsch positives Ergebnis verfügen. In diesem Fall können Sie den Vorfall direkt schließen. Wenn Sie feststellen, dass der Incident True Positive ist, können Sie direkt auf der Seite Incidents Maßnahmen ergreifen, um Protokolle, Entitäten und die Bedrohungskette zu untersuchen. Nachdem Sie die Bedrohung identifiziert und einen Aktionsplan erstellt haben, verwenden Sie andere Tools in Microsoft Sentinel und andere Microsoft-Sicherheitsdienste, um die Untersuchung fortzusetzen. |
| Visualisieren von Informationen | Sehen Sie sich das Übersichtsdashboard von Microsoft Sentinel an, um eine Vorstellung vom Sicherheitsstatus Ihrer Organisation zu erhalten. Weitere Informationen finden Sie unter Visualisieren gesammelter Daten. Abgesehen von den Informationen und Trends auf der Microsoft Sentinel-Übersichtsseite sind Arbeitsmappen wertvolle Untersuchungstools. Verwenden Sie beispielsweise die Arbeitsmappe Erkenntnisse aus Ermittlungen, um bestimmte Incidents zusammen mit allen zugeordneten Entitäten und Warnungen zu untersuchen. Mit dieser Arbeitsmappe können Sie Entitäten eingehender analysieren, indem Sie zugehörige Protokolle, Aktionen und Warnungen anzeigen. |
| Suchen nach Bedrohungen | Führen Sie beim Untersuchen und Suchen nach Ursachen integrierte Bedrohungssucheabfragen aus, und überprüfen Sie die Ergebnisse auf Anzeichen einer Gefährdung. Weitere Informationen finden Sie unter Bedrohungssuche in Microsoft Sentinel. |
| Verwenden von Livestream | Verwenden Sie Livestream während einer Untersuchung oder nachdem Sie Maßnahmen ergriffen haben, um die Bedrohung zu beheben und zu beseitigen. Livestream ermöglicht es Ihnen, in Echtzeit zu überwachen, ob es schädliche Ereignisse gibt oder ob schädliche Ereignisse noch andauern. |
| Entitätsverhalten | Das Verhalten von Entitäten in Microsoft Sentinel ermöglicht es Benutzer*innen, Aktionen und Warnungen für bestimmte Entitäten zu überprüfen und zu untersuchen, z. B. die Untersuchung von Konten und Hostnamen. Weitere Informationen finden Sie unter - Aktivieren Sie User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel - Untersuchen von Incidents mit UEBA-Daten - Microsoft Sentinel UEBA Anreicherungen Referenz |
| Watchlists | Verwenden Sie eine Watchlist, die Daten aus den erfassten Daten und externen Quellen kombiniert, z. B. Anreicherungsdaten. Erstellen Sie beispielsweise Listen mit IP-Adressbereichen, die von Ihrer Organisation oder kürzlich ausgeschiedenen Mitarbeitern verwendet werden. Verwenden Sie Watchlists mit Playbooks, um Anreicherungsdaten zu sammeln und schädliche IP-Adressen beispielsweise Watchlists hinzuzufügen, die während der Erkennung, Bedrohungssuche und bei Untersuchungen verwendet werden. Verwenden Sie während eines Vorfalls Watchlists mit Untersuchungsdaten, und löschen Sie diese dann, wenn Ihre Untersuchung abgeschlossen ist, um sicherzustellen, dass vertrauliche Daten nicht angezeigt werden. Weitere Informationen finden Sie unter Watchlists in Microsoft Sentinel. |
Optimieren der Datensammlung und Erfassung
Überprüfen Sie die bewährten Verfahren zur Microsoft Sentinel-Datenerfassung, die Priorisierung der Datenkonnektoren, das Filtern von Logdateien und die Optimierung der Datenintegration umfassen.
Beschleunigen ihrer Kusto Query Language-Abfragen
Überprüfen Sie die bewährten Methoden der Kusto-Abfragesprache , um Abfragen schneller zu gestalten.