Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Portal usługi Defender umożliwia nawiązywanie połączenia z jednym podstawowym obszarem roboczym i wieloma pomocniczymi obszarami roboczymi dla Microsoft Sentinel. W ramach tego artykułu obszar roboczy to obszar roboczy Log Analytics z włączoną usługą Microsoft Sentinel.
Ten artykuł dotyczy głównie scenariusza dołączania usługi Microsoft Sentinel do portalu usługi Defender wraz z usługą Microsoft Defender XDR na potrzeby ujednoliconych operacji zabezpieczeń. Jeśli planujesz używać usługi Microsoft Sentinel w portalu usługi Defender bez usługi Microsoft Defender XDR, nadal możesz zarządzać wieloma obszarami roboczymi. Jednak ponieważ nie masz Defender XDR, Twoje główne środowisko pracy nie będzie zawierać danych Defender XDR, ani nie będziesz mieć dostępu do jego funkcji.
Podstawowe i pomocnicze obszary robocze
Wybierz podstawowy obszar roboczy podczas dołączania usługi Microsoft Sentinel do portalu usługi Defender. Wszystkie inne obszary robocze dołączone do portalu usługi Defender są traktowane jako pomocnicze obszary robocze. Portal usługi Defender obsługuje jeden podstawowy obszar roboczy i nieograniczoną liczbę pomocniczych obszarów roboczych na dzierżawę dla usługi Microsoft Sentinel.
Jeśli masz również usługę Microsoft Defender XDR, alerty z podstawowego obszaru roboczego są skorelowane z danymi usługi Defender XDR, a incydenty obejmują alerty zarówno z podstawowego obszaru roboczego, jak i usługi Defender XDR w ujednoliconej kolejce. Po wybraniu podstawowego obszaru roboczego łącznik danych usługi Defender XDR dla zdarzeń i alertów jest połączony tylko z podstawowym obszarem roboczym.
W takich przypadkach:
| Obszar | Opis |
|---|---|
| Inne obszary robocze wcześniej połączone z usługą Defender XDR | Wszystkie inne obszary robocze, które zostały wcześniej połączone z łącznikiem XDR usługi Defender, są odłączone i działają jako pomocnicze obszary robocze. Dane XDR usługi Defender nie są dostępne w pomocniczym obszarze roboczym, a żadne reguły analizy i automatyzacja, które zostały wcześniej skonfigurowane na podstawie danych XDR usługi Defender, nie działają już. |
| Alerty oparte na najemcy i niezależne łączniki danych | Alerty z innych usług firmy Microsoft, w tym inne usługi programu Defender, są alertami związanymi z dzierżawą i odnoszą się do całej dzierżawy, a nie określonego obszaru roboczego. Aby zapobiec duplikowaniu między obszarami roboczymi, wszelkie bezpośrednie autonomiczne łączniki danych dla tych usług muszą zostać odłączone od usługi Microsoft Sentinel w dodatkowych obszarach roboczych. Powoduje to, że alerty związane z dzierżawcą są widoczne tylko w podstawowym obszarze roboczym. Podczas onboardingu autonomiczne łączniki danych dla usługi Microsoft Defender for Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint i Microsoft Defender for Identity są automatycznie rozłączane. Jeśli masz inne autonomiczne łączniki danych firmy Microsoft z alertami w swoich obszarach roboczych, przed dołączeniem do portalu usługi Defender upewnij się, że zostały one odłączone. |
| Alerty i incydenty usługi Defender XDR | Wszystkie alerty i zdarzenia usługi Defender XDR są synchronizowane tylko z podstawowym obszarem roboczym. |
| Tworzenie zdarzenia i korelacja alertów | Portal usługi Defender zachowuje oddzielne tworzenie zdarzeń i korelację alertów między obszarami roboczymi Microsoft Sentinel. Zdarzenia w pomocniczych obszarach roboczych nie obejmują danych z żadnego innego obszaru roboczego ani z usługi Defender XDR. |
| Wymagany jest jeden podstawowy obszar roboczy | Jeden podstawowy obszar roboczy musi być zawsze połączony z portalem usługi Defender. |
Na przykład możesz pracować nad globalnym zespołem SOC w firmie, która ma wiele autonomicznych obszarów roboczych. W takich przypadkach możesz nie chcieć widzieć zdarzeń i alertów z każdego z tych obszarów roboczych w globalnej kolejce SOC w portalu usługi Defender. Ponieważ te obszary robocze są dołączane do portalu usługi Defender jako pomocnicze obszary robocze, są one wyświetlane tylko w portalu usługi Defender jako usługa Microsoft Sentinel bez żadnych danych usługi Defender i nadal działają autonomicznie. Podczas przeglądania globalnego obszaru roboczego SOC nie będą widoczne dane z tych pomocniczych obszarów roboczych.
Jeśli masz wiele obszarów roboczych usługi Microsoft Sentinel w dzierżawie Microsoft Entra ID, rozważ użycie głównego obszaru roboczego dla globalnego centrum operacji zabezpieczeń.
Uprawnienia do zarządzania obszarami roboczymi i wyświetlania danych obszaru roboczego
Aby zarządzać podstawowymi i pomocniczymi obszarami roboczymi, użyj jednej z następujących ról lub kombinacji ról:
| Zadanie | wymagana wbudowana rola Microsoft Entra lub azure | Scope |
|---|---|---|
| Dołączanie Microsoft Sentinel do portalu usługi Defender |
Administrator globalny lub administrator zabezpieczeń w identyfikatorze Entra firmy Microsoft Właściciel lub Administrator dostępu użytkownika i Współtwórca Microsoft Sentinel |
Tenant — Subskrypcja dla ról właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor |
| Łączenie lub rozłączanie pomocniczego obszaru roboczego |
Administrator globalny lub administrator zabezpieczeń w identyfikatorze Entra firmy Microsoft Właściciel lub Administrator dostępu użytkownika i Współtwórca Microsoft Sentinel |
Tenant — Subskrypcja dla ról właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor |
| Zmienianie podstawowego obszaru roboczego |
Administrator globalny lub administrator zabezpieczeń w identyfikatorze Entra firmy Microsoft Właściciel lub Administrator dostępu użytkownika i Współtwórca Microsoft Sentinel |
Tenant — Subskrypcja dla ról właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor |
Ważne
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
Po połączeniu usługi Microsoft Sentinel z portalem usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure umożliwiają wyświetlanie funkcji i obszarów roboczych usługi Microsoft Sentinel, do których masz dostęp.
| Obszar roboczy | Dostęp |
|---|---|
| Podstawowy | Jeśli masz dostęp do podstawowego obszaru roboczego, możesz odczytywać dane i zarządzać nimi z obszaru roboczego i usługi Defender XDR. |
| Wtórny | Jeśli masz dostęp do pomocniczego obszaru roboczego, możesz odczytywać dane tylko z obszaru roboczego i zarządzać nimi. Pomocnicze obszary robocze nie zawierają danych usługi Defender XDR. |
Wyjątek: Jeśli do portalu usługi Defender został już dołączony jeden obszar roboczy, wszystkie alerty utworzone przy użyciu wykrywania niestandardowego w tabelach AlertInfo i AlertEvidence przed połową stycznia 2025 r. będą widoczne dla wszystkich użytkowników.
Aby uzyskać więcej informacji, zobacz Role i uprawnienia w usłudze Microsoft Sentinel.
Zmiany podstawowego obszaru roboczego
Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender możesz zmienić podstawowy obszar roboczy. Po przełączeniu podstawowego obszaru roboczego dla Microsoft Sentinel, łącznik Defender XDR jest połączony z nowym podstawowym i zostaje automatycznie odłączony od poprzedniego.
Zmień podstawowy obszar roboczy w portalu Defender, przechodząc do System>Ustawienia>Microsoft Sentinel>Obszary robocze.
Zakres danych obszaru roboczego w różnych widokach
Jeśli masz odpowiednie uprawnienia do wyświetlania danych z podstawowych i pomocniczych obszarów roboczych dla usługi Microsoft Sentinel, zakres obszaru roboczego w poniższej tabeli dotyczy każdej możliwości.
| Zdolność | Zakres obszaru roboczego |
|---|---|
| Szukać | Wyniki wyszukiwania globalnego w górnej części strony przeglądarki w portalu usługi Defender zapewniają zagregowany widok wszystkich odpowiednich danych obszaru roboczego, do których masz uprawnienia do wyświetlania. |
| Badanie i reagowanie > Zdarzenia i alerty >Incydenty | Wyświetlanie zdarzeń z różnych obszarów roboczych w ujednoliconej kolejce lub filtrowanie widoku według obszaru roboczego. |
| Badanie i reagowanie > Incydenty i alerty >Alerty | Wyświetlanie alertów z różnych obszarów roboczych w ujednoliconej kolejce lub filtrowanie widoku według obszaru roboczego. Portal usługi Defender segmentuje korelację alertów według obszaru roboczego. |
| Jednostki: w przypadku zdarzenia lub alertu > wybierz urządzenie, użytkownika lub inny zasób jednostki | Wyświetl wszystkie odpowiednie dane jednostki z wielu obszarów roboczych na stronie pojedynczej jednostki. Strony jednostek agregują alerty, incydenty i wydarzenia osi czasu ze wszystkich obszarów roboczych, aby zapewnić bardziej szczegółowy wgląd w zachowanie jednostki. Filtruj według obszaru roboczego na kartach Zdarzenia i alerty, Oś czasu i Szczegółowe informacje . Karta Przegląd zawiera metadane jednostki zagregowane ze wszystkich obszarów roboczych. |
| Badanie i reakcja > Polowanie >Zaawansowane polowanie | Wybierz obszar roboczy w prawym górnym rogu przeglądarki. Możesz też wykonywać zapytania w wielu obszarach roboczych przy użyciu operatora obszaru roboczego w zapytaniu. Zobacz Wykonywanie zapytań dotyczących wielu obszarów roboczych. Wyniki zapytania nie pokazują nazwy ani identyfikatora obszaru roboczego. Uzyskaj dostęp do wszystkich danych dziennika obszaru roboczego, w tym zapytań i funkcji, w trybie tylko do odczytu. Aby uzyskać więcej informacji, zobacz Advanced hunting with Microsoft Sentinel data in Microsoft Defender portal (Zaawansowane wyszukiwanie zagrożeń za pomocą danych usługi Microsoft Sentinel w portalu usługi Microsoft Defender). Niektóre funkcje są ograniczone do podstawowego obszaru roboczego: - Tworzenie niestandardowych wykryć — Zapytania za pośrednictwem interfejsu API Zapytania między obszarami roboczymi dotyczące danych usługi Log Analytics pozostają objęte ograniczeniami usługi Log Analytics. |
| Doświadczenia Microsoft Sentinel | Przeglądaj dane z jednego obszaru roboczego na każdej stronie w sekcji Microsoft Sentinel portalu Defender. Przełączanie między obszarami roboczymi przez wybranie pozycji Wybierz obszar roboczy w prawym górnym rogu przeglądarki dla większości stron. — Na stronie Skoroszyty są wyświetlane tylko dane skojarzone z podstawowym obszarem roboczym. Reguły analizy między obszarami roboczymi pozostają objęte ograniczeniami i zaleceniami dotyczącymi reguł analizy między obszarami roboczymi. |
| Optymalizacja SOC | Dane i zalecenia są agregowane z wielu obszarów roboczych. |
Dwukierunkowa synchronizacja obszarów roboczych
Sposób synchronizacji zdarzenia między witryną Azure Portal a portalem usługi Defender zależy od tego, czy jest to podstawowy, czy pomocniczy obszar roboczy.
| Obszar roboczy | Zachowanie synchronizacji |
|---|---|
| Podstawowy | W przypadku usługi Microsoft Sentinel w witrynie Azure Portal incydenty XDR usługi Defender pojawiają się w obszarze Zarządzanie zagrożeniami>Incydenty z nazwą dostawcy zdarzeń Microsoft XDR. Wszelkie zmiany wprowadzone w stanie, przyczynie zamknięcia lub przypisaniu incydentu XDR usługi Defender w portalu Azure lub w portalu usługi Defender zostaną zaktualizowane w kolejce incydentów w drugim portalu. Aby uzyskać więcej informacji, zobacz Praca z incydentami XDR oraz synchronizacja dwukierunkowa w usłudze Microsoft Defender i Microsoft Sentinel. |
| Wtórny | Wszystkie alerty i zdarzenia tworzone dla pomocniczego obszaru roboczego są synchronizowane między tym obszarem roboczym w portalach platformy Azure i usługi Defender. Dane w obszarze roboczym są synchronizowane tylko z obszarem roboczym w innym portalu. |
Wsparcie dotyczące zarządzania ryzykiem wewnętrznym (IRM)
Alerty usługi Microsoft Purview Insider Risk Management (IRM) są skorelowane tylko z podstawowym obszarem roboczym. Jeśli masz alerty usługi IRM związane z Microsoft Defender XDR, musisz połączyć IRM z łącznikiem Microsoft Defender XDR w podstawowym obszarze roboczym przed dołączeniem obszaru roboczego do portalu usługi Defender. Jest to wymagane, aby upewnić się, że alerty i zdarzenia usługi IRM są dostępne w podstawowym obszarze roboczym. Jeśli nie chcesz wyświetlać alertów usługi IRM w podstawowym obszarze roboczym, możesz zrezygnować z integracji z usługą Microsoft Defender XDR.
Ponadto jeśli bezpośredni łącznik zarządzania ryzykiem niejawnego programu Microsoft 365 dla usługi Microsoft Sentinel jest połączony z dowolnym pomocniczym obszarem roboczym, należy go rozłączyć przed dołączeniem obszaru roboczego do portalu usługi Defender.