Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Sentinel jest dostępna w portalu microsoft Defender z usługą Microsoft Defender XDR lub samodzielnie. Zapewnia ujednolicone środowisko między rozwiązaniami SIEM i XDR w celu szybszego, dokładniejszego wykrywania zagrożeń i reagowania, prostszego przepływu pracy i lepszej wydajności operacyjnej.
W tym artykule wyjaśniono, jak przenieść środowisko usługi Microsoft Sentinel z witryny Azure Portal do portalu usługi Defender. Jeśli używasz usługi Microsoft Sentinel w witrynie Azure Portal, przejdź do usługi Microsoft Defender w celu uzyskania ujednoliconych operacji zabezpieczeń i najnowszych funkcji. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender lub obejrzyj naszą listę odtwarzania w serwisie YouTube.
Uwaga / Notatka
Przejście do portalu usługi Defender, nawet w przypadku klientów innych niż E5, nie ma dodatkowych kosztów dla klienta. Klient nadal jest rozliczany jak zwykle za swoje zużycie w usłudze Sentinel.
Wymagania wstępne
Przed rozpoczęciem zwróć uwagę:
Ten artykuł dotyczy klientów z istniejącym obszarem roboczym włączonym dla usługi Microsoft Sentinel, którzy chcą przenieść swoje środowisko usługi Microsoft Sentinel do portalu usługi Defender. Jeśli jesteś nowym klientem, który dołączył z uprawnieniami właściciela subskrypcji lub administratora dostępu użytkowników, twoje obszary robocze są automatycznie dołączane do portalu usługi Defender.
Niektóre funkcje usługi Microsoft Sentinel mają nowe lokalizacje w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Szybki przewodnik.
W razie potrzeby szczegółowe wymagania wstępne znajdują się w artykułach połączonych dla każdego kroku.
Planowanie i konfigurowanie środowiska przejściowego
Odbiorcy: Architekci zabezpieczeń
Wideo:
- Dołączanie obszaru roboczego usługi Microsoft Sentinel w usłudze Microsoft Defender
- Zarządzanie ujednoliconym RBAC w usłudze Microsoft Defender
Zapoznaj się ze wskazówkami dotyczącymi planowania, wypełnij wymagania wstępne i rozpocznij wdrożenie.
Przed dołączenia obszaru roboczego do portalu usługi Defender przejrzyj wszystkie wskazówki dotyczące planowania i zakończ wszystkie wymagania wstępne. Aby uzyskać więcej informacji, zobacz następujące artykuły:
Zaplanuj ujednolicone operacje zabezpieczeń w portalu usługi Defender. Po dołączeniu do portalu Defender, rola Współautor Microsoft Sentinel zostaje przypisana aplikacjom Microsoft Threat Protection oraz WindowsDefenderATP w ramach subskrypcji.
Wdrażanie na potrzeby ujednoliconych operacji zabezpieczeń w portalu usługi Defender. Chociaż ten artykuł dotyczy nowych klientów, którzy nie mają jeszcze obszaru roboczego dla usługi Microsoft Sentinel lub innych usług dołączonych do portalu usługi Defender, użyj go jako odwołania, jeśli przejdziesz do portalu usługi Defender.
Połącz usługę Microsoft Sentinel z portalem usługi Defender. W tym artykule wymieniono wymagania wstępne dla integracji obszaru roboczego z portalem Microsoft Defender. Jeśli planujesz używać usługi Microsoft Sentinel bez usługi Defender XDR, musisz wykonać dodatkowy krok, aby wyzwolić połączenie między usługą Microsoft Sentinel i portalem usługi Defender.
Przegląd różnic w zakresie przechowywania i prywatności danych
W przypadku korzystania z witryny Azure Portal mają zastosowanie zasady usługi Microsoft Sentinel dotyczące przechowywania, przetwarzania, przechowywania i udostępniania danych. W przypadku korzystania z portalu Defender stosowane są zasady XDR w usłudze Microsoft Defender, nawet jeśli pracujesz z danymi usługi Microsoft Sentinel.
Poniższa tabela zawiera dodatkowe szczegóły i linki umożliwiające porównywanie środowisk w portalach platformy Azure i usługi Defender.
| Obszar wsparcia | Azure Portal | Portal usługi Defender |
|---|---|---|
| BCDR | Klienci są odpowiedzialni za replikowanie swoich danych | Microsoft Defender używa automatyzacji do BCDR w panelach sterujących. |
| Przechowywanie i przetwarzanie danych |
-
Lokalizacja przechowywania danych - Obsługiwane regiony |
Lokalizacja przechowywania danych |
| Przechowywanie danych | Przechowywanie danych | Przechowywanie danych |
| Udostępnianie danych | Udostępnianie danych | Udostępnianie danych |
Aby uzyskać więcej informacji, zobacz:
- Dostępność geograficzna i miejsce przechowywania danych w usłudze Microsoft Sentinel
- Bezpieczeństwo i przechowywanie danych w Microsoft Defender XDR
Dołączanie do portalu usługi Defender przy użyciu kluczy zarządzanych przez klienta (CMK)
Jeśli klucz CMK został włączony przed dołączeniem, podczas integracji obszaru roboczego z funkcją Microsoft Sentinel z portalem Defender wszystkie dane dziennika w obszarze roboczym będą nadal szyfrowane przy użyciu klucza CMK, w tym zarówno wcześniej, jak i nowo gromadzone dane.
Reguły analityczne i inne treści usługi Sentinel, takie jak reguły automatyzacji, również nadal są szyfrowane za pomocą klucza CMK. Jednak alerty i zdarzenia nie będą już szyfrowane kluczem CMK po dołączeniu.
Aby uzyskać więcej informacji na temat klucza zarządzanego przez klienta w usłudze Microsoft Sentinel, zobacz Konfigurowanie klucza zarządzanego przez klienta.
Ważne
Szyfrowanie CMK nie jest w pełni obsługiwane w przypadku danych przechowywanych w usłudze Data Lake usługi Microsoft Sentinel. Wszystkie dane pozyskane do usługi Data Lake — takie jak tabele niestandardowe lub przekształcone dane — są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft.
Konfigurowanie zarządzania wieloma obszarami roboczymi i środowiskami wielodzierżawczymi
Usługa Defender obsługuje co najmniej jeden obszar roboczy w wielu dzierżawach za pośrednictwem portalu wielodostępnego, który służy jako centralne miejsce do zarządzania zdarzeniami i alertami oraz polowania na zagrożenia w różnych dzierżawach i umożliwia partnerom usługi zabezpieczeń zarządzanych (MSSP) monitorowanie klientów.
W scenariuszach obejmujących wiele obszarów roboczych portal wielodostępowy umożliwia połączenie jednego podstawowego obszaru roboczego i wielu pomocniczych obszarów roboczych na każdy tenant. Dołącz obszar roboczy do portalu usługi Defender oddzielnie dla każdego najemcy, w taki sam sposób jak proces dołączania dla pojedynczego najemcy.
Aby uzyskać więcej informacji, zobacz:
Skonfigurowanie zarządzania wieloma dzierżawcami w usłudze Microsoft Defender
Dokumentacja usługi Azure Lighthouse. Usługa Azure Lighthouse umożliwia korzystanie z danych usługi Microsoft Sentinel z innych dzierżaw w obszarach roboczych dołączonych. Na przykład możesz uruchamiać zapytania między obszarami roboczymi za pomocą operatora
workspace()w zaawansowanych regułach wyszukiwania i analizy.Microsoft Entra B2B. Firma Microsoft Entra B2B umożliwia dostęp do danych między dzierżawami. Usługa GDAP nie jest obsługiwana w przypadku danych usługi Microsoft Sentinel.
Konfigurowanie i przeglądanie ustawień i zawartości
Odbiorcy: Inżynierowie zabezpieczeń
Wideo: Zarządzanie łącznikami w usłudze Microsoft Defender
Potwierdzanie i konfigurowanie zbierania danych
Gdy usługa Microsoft Sentinel jest zintegrowana z usługą Microsoft Defender, podstawowa architektura zbierania danych i przepływu telemetrii pozostaje nienaruszona. Istniejące łączniki, które zostały skonfigurowane w usłudze Microsoft Sentinel, zarówno dla produktów Microsoft Defender, jak i innych źródeł danych, kontynuują działanie bez przerwy.
Z perspektywy Log Analytics, integracja Microsoft Sentinel z Microsoft Defender nie wprowadza żadnych zmian w podstawowym potoku przetwarzania ani w schemacie danych. Pomimo zjednoczenia frontonu zaplecze usługi Microsoft Sentinel pozostaje w pełni zintegrowane z usługą Log Analytics na potrzeby przechowywania, wyszukiwania i korelacji danych.
Alerty związane z produktami usługi Defender są przesyłane strumieniowo bezpośrednio z łącznika XDR usługi Microsoft Defender w celu zapewnienia spójności. Upewnij się, że masz zdarzenia i alerty z tego łącznika włączone w obszarze roboczym. Po skonfigurowaniu tego łącznika danych w obszarze roboczym odłączanie obszaru roboczego z usługi Microsoft Defender powoduje również rozłączenie łącznika XDR usługi Microsoft Defender.
Aby uzyskać więcej informacji, zobacz Łączenie danych z usługi Microsoft Defender XDR z usługą Microsoft Sentinel.
Integracja z usługą Microsoft Defender for Cloud
- Jeśli używasz łącznika danych opartego na dzierżawie dla usługi Defender for Cloud, pamiętaj, aby zapobiec zduplikowaniu zdarzeń i alertów.
- Jeśli zamiast tego używasz starszego łącznika opartego na subskrypcji, pamiętaj, aby zrezygnować z synchronizowania zdarzeń i alertów z usługą Microsoft Defender.
Aby uzyskać więcej informacji, zobacz Alerty i zdarzenia w usłudze Microsoft Defender.
Widoczność łącznika danych w portalu usługi Defender
Po dołączeniu obszaru roboczego do usługi Defender następujące łączniki danych są używane do ujednoliconych operacji zabezpieczeń i nie są wyświetlane na stronie Łączniki danych w portalu usługi Defender:
- Microsoft Defender dla aplikacji chmurowych
- Usługa Microsoft Defender dla punktu końcowego
- Microsoft Defender for Identity
- Microsoft Defender dla Office 365 (wersja zapoznawcza)
- Microsoft Defender XDR
- Microsoft Defender dla Chmury w wersji subskrypcyjnej (wersja tradycyjna)
- Microsoft Defender dla Chmury oparte na dzierżawie (wersja zapoznawcza)
Te łączniki danych nadal są wyświetlane w usłudze Microsoft Sentinel w witrynie Azure Portal.
Konfigurowanie ekosystemu
Chociaż Menedżer obszarów roboczych usługi Microsoft Sentinel nie jest dostępny w portalu usługi Defender, użyj jednej z następujących alternatywnych funkcji dystrybucji zawartości jako kodu między obszarami roboczymi:
Wdróż zawartość jako kod z repozytorium (publiczna wersja zapoznawcza). Użyj plików YAML lub JSON w GitHub lub Azure DevOps, aby zarządzać i wdrażać konfiguracje w Microsoft Sentinel oraz Defender, korzystając z ujednoliconych ciągłych przepływów integracji i wdrażania.
Portal wielodostępny. Portal Microsoft Defender dla wielu dzierżaw obsługuje zarządzanie i dystrybucję treści między wieloma dzierżawami.
W przeciwnym razie kontynuuj wdrażanie pakietów rozwiązań zawierających różne typy zawartości zabezpieczeń z centrum zawartości w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Odnajdywanie wbudowanej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Konfigurowanie reguł analizy
Reguły analizy usługi Microsoft Sentinel są dostępne w portalu usługi Defender na potrzeby wykrywania, konfigurowania i zarządzania. Funkcje reguł analizy pozostają takie same, w tym tworzenie, aktualizowanie i zarządzanie za pośrednictwem kreatora, repozytoriów i interfejsu API usługi Microsoft Sentinel. Korelacja zdarzeń i wykrywanie ataków wieloetapowych również nadal działają w portalu usługi Defender. Funkcja korelacji alertów zarządzana przez regułę analizy Fusion w portalu Azure obsługiwana jest przez silnik XDR Defender w portalu Defender, który konsoliduje wszystkie sygnały w jednym miejscu.
Podczas przechodzenia do portalu usługi Defender należy pamiętać o następujących zmianach:
| Funkcja | Opis |
|---|---|
| Niestandardowe reguły wykrywania | Jeśli masz przypadki użycia wykrywania obejmujące zarówno dane usługi Defender XDR, jak i Microsoft Sentinel, w których nie musisz przechowywać danych XDR usługi Defender przez ponad 30 dni, zalecamy utworzenie niestandardowych reguł wykrywania , które wysyłają zapytania o dane zarówno z tabel Microsoft Sentinel, jak i Defender XDR. Jest to obsługiwane bez konieczności wprowadzania danych Defender XDR do Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Używanie funkcji niestandardowych usługi Microsoft Sentinel w zaawansowanym wyszukiwaniu zagrożeń w usłudze Microsoft Defender. |
| Korelacja alertów | W portalu usługi Defender korelacje są automatycznie stosowane do alertów zarówno względem danych usługi Microsoft Defender, jak i danych innych firm pozyskanych z usługi Microsoft Sentinel, niezależnie od scenariuszy alertów. Kryteria używane do korelowania alertów w jednym zdarzeniu są częścią zastrzeżonej, wewnętrznej logiki korelacji portalu Defender. Aby uzyskać więcej informacji, zobacz Korelacja alertów i scalanie zdarzeń w portalu usługi Defender. |
| Grupowanie alertów i scalanie zdarzeń | Mimo że konfiguracja grupowania alertów nadal będzie widoczna w regułach analizy, aparat korelacji XDR usługi Defender w pełni kontroluje grupowanie alertów i scalanie zdarzeń w razie potrzeby w portalu usługi Defender. Zapewnia to kompleksowy widok pełnej historii ataków dzięki połączeniu odpowiednich alertów dotyczących ataków wieloetapowych. Na przykład wiele indywidualnych reguł analizy skonfigurowanych do generowania zdarzenia dla każdego alertu może spowodować scalenie zdarzeń, jeśli są zgodne z logiką korelacji usługi Defender XDR. |
| Widoczność alertu | Jeśli masz reguły analizy usługi Microsoft Sentinel skonfigurowane tylko do wyzwalania alertów, po wyłączeniu tworzenia zdarzeń te alerty nie są widoczne w portalu usługi Defender. Jednak mimo że edytor Zaawansowane polowanie nie rozpoznaje schematu SecurityAlerts tabeli, nadal można używać tej tabeli w zapytaniach i regułach analitycznych. |
| Dostrajanie alertów | Po dołączeniu obszaru roboczego usługi Microsoft Sentinel do usługi Defender wszystkie incydenty, w tym te z reguł analizy usługi Microsoft Sentinel, są generowane przez silnik XDR usługi Defender. W związku z tym funkcje dostrajania alertów w portalu usługi Defender, które były wcześniej dostępne tylko dla alertów XDR usługi Defender, można teraz stosować do alertów z usługi Microsoft Sentinel. Ta funkcja pozwala usprawnić reagowanie na zdarzenia, automatyzując rozwiązywanie typowych alertów, zmniejszając liczbę wyników fałszywie dodatnich i minimalizując szum, dzięki czemu analitycy mogą określić priorytety znaczących zdarzeń zabezpieczeń. |
| Fusion: zaawansowana detekcja ataków wielostanowych | Reguła analityki Fusion, która w portalu Azure tworzy incydenty na podstawie korelacji alertów dokonanych przez aparat korelacji Fusion, jest wyłączona, kiedy dodajesz Microsoft Sentinel do portalu Defender. Nie tracisz funkcji korelacji alertów, ponieważ portal Defender wykorzystuje funkcje tworzenia incydentów i korelacji Microsoft Defender XDR, aby zastąpić te funkcje silnika Fusion. Aby uzyskać więcej informacji, zobacz Advanced multistage attack detection in Microsoft Sentinel (Zaawansowane wykrywanie ataków wieloestanowych w usłudze Microsoft Sentinel) |
Konfigurowanie reguł automatyzacji i podręczników
W usłudze Microsoft Sentinel podręczniki są oparte na przepływach pracy utworzonych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w systemach w całym przedsiębiorstwie.
Poniższe ograniczenia dotyczą reguł automatyzacji i podręczników usługi Microsoft Sentinel podczas pracy w portalu usługi Defender. Podczas dokonywania zmiany może być konieczne wprowadzenie pewnych zmian w środowisku.
| Funkcjonalność | Opis |
|---|---|
| Reguły automatyzacji z wyzwalaczami alertów | W portalu usługi Defender reguły automatyzacji z wyzwalaczami alertów działają tylko w przypadku alertów usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wyzwalacz tworzenia alertów. |
| Reguły automatyzacji z wyzwalaczami zdarzeń | Zarówno w portalu Azure, jak i w portalu Defender, warunek dotyczący dostawcy incydentów jest usuwany, ponieważ wszystkie incydenty mają Microsoft XDR jako dostawcę incydentów (wartość w polu ProviderName). W tym momencie wszystkie istniejące reguły automatyzacji są uruchamiane zarówno w przypadku zdarzeń Microsoft Sentinel, jak i Microsoft Defender XDR, w tym tych, w których warunek dostawcy zdarzeń jest ustawiony tylko na usługę Microsoft Sentinel lub Microsoft 365 Defender. Jednak reguły automatyzacji, które określają określoną nazwę reguły analizy, są uruchamiane tylko w przypadku zdarzeń zawierających alerty utworzone przez określoną regułę analizy. Oznacza to, że można zdefiniować właściwość warunku nazwy reguły analitycznej na regułę analizy, która istnieje tylko w usłudze Microsoft Sentinel, aby ograniczyć działanie reguły tylko w przypadku zdarzeń w usłudze Microsoft Sentinel. Ponadto po dołączeniu do portalu usługi Defender tabela SecurityIncident nie zawiera już pola Opis . Więc: — Jeśli używasz tego pola Opis jako warunku reguły automatyzacji z wyzwalaczem tworzenia zdarzenia, ta reguła automatyzacji nie będzie działać po dołączeniu do portalu usługi Defender. W takich przypadkach należy odpowiednio zaktualizować konfigurację. Aby uzyskać więcej informacji, zobacz Warunki wyzwalacza zdarzeń. — Jeśli masz integrację skonfigurowaną z zewnętrznym systemem biletów, na przykład ServiceNow, brakuje opisu zdarzenia. |
| Opóźnienie w wyzwalaczach scenariusza | Wyświetlenie zdarzeń usługi Microsoft Defender w usłudze Microsoft Sentinel może potrwać do 5 minut. Jeśli to opóźnienie jest obecne, wyzwalanie podręcznika również jest opóźnione. |
| Zmiany istniejących nazw zdarzeń | Portal usługi Defender używa unikatowego aparatu do korelowania zdarzeń i alertów. Podczas dołączania obszaru roboczego do portalu usługi Defender istniejące nazwy zdarzeń mogą zostać zmienione w przypadku zastosowania korelacji. Aby upewnić się, że reguły automatyzacji zawsze działają prawidłowo, zalecamy więc unikanie używania tytułów zdarzeń jako kryteriów warunku w regułach automatyzacji, a zamiast tego zalecamy użycie nazwy dowolnej reguły analizy, która utworzyła alerty zawarte w zdarzeniu, oraz tagów, jeśli jest wymagana większa szczegółowość. |
| Zaktualizowane według pola | Aby uzyskać więcej informacji, zobacz Wyzwalacz aktualizacji incydentu. |
| Tworzenie reguł automatyzacji bezpośrednio ze zdarzenia | Tworzenie reguł automatyzacji bezpośrednio ze zdarzenia jest obsługiwane tylko w witrynie Azure Portal. Jeśli pracujesz w portalu usługi Defender, utwórz od podstaw reguły automatyzacji na stronie Automacja. |
| Reguły tworzenia incydentów firmy Microsoft | Reguły tworzenia zdarzeń firmy Microsoft nie są obsługiwane w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft). |
| Uruchamianie reguł automatyzacji z poziomu portalu usługi Defender | Może upłynąć do 10 minut od momentu wyzwolenia alertu i utworzenia lub zaktualizowania zdarzenia w portalu usługi Defender do momentu uruchomienia reguły automatyzacji. Tym razem opóźnienie jest spowodowane tym, że zdarzenie jest tworzone w portalu usługi Defender, a następnie przekazywane do usługi Microsoft Sentinel dla reguły automatyzacji. |
| Zakładka aktywnych planów działania | Po dołączeniu do portalu usługi Defender domyślnie karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. W witrynie Azure Portal dodaj dane dla innych subskrypcji przy użyciu filtru subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów. |
| Ręczne uruchamianie podręczników na żądanie | Następujące procedury nie są obecnie obsługiwane w portalu usługi Defender: |
| Uruchamianie podręczników dotyczących zdarzeń wymaga synchronizacji usługi Microsoft Sentinel | Jeśli spróbujesz uruchomić podręcznik w zdarzeniu z portalu usługi Defender i zobaczysz komunikat "Nie można uzyskać dostępu do danych związanych z tą akcją. Odśwież ekran za kilka minut"." oznacza to, że zdarzenie nie zostało jeszcze zsynchronizowane z usługą Microsoft Sentinel. Odśwież stronę zdarzenia po pomyślnym zsynchronizowaniu zdarzenia w celu pomyślnego uruchomienia podręcznika. |
|
Zdarzenia: dodawanie alertów do zdarzeń / Usuwanie alertów ze zdarzeń |
Ponieważ dodawanie alertów do lub usuwanie alertów ze zdarzeń nie jest obsługiwane po dołączeniu obszaru roboczego do portalu usługi Defender, te akcje nie są również obsługiwane z poziomu podręczników. Aby uzyskać więcej informacji, zobacz Opis korelowania alertów i scalania zdarzeń w portalu usługi Defender. |
| Integracja usługi Microsoft Defender XDR w wielu obszarach roboczych | Jeśli zintegrowano dane XDR z więcej niż jednym obszarem roboczym w jednej dzierżawie, dane będą teraz pozyskiwane tylko do głównego obszaru roboczego w portalu usługi Defender. Przenieś reguły automatyzacji do odpowiedniego obszaru roboczego, aby zachować ich działanie. |
| Automatyzacja i aparat korelacji | Aparat korelacji może łączyć alerty z wielu sygnałów w jeden incydent, co może spowodować automatyzację odbierania danych, których nie przewidywano. Zalecamy przejrzenie reguł automatyzacji, aby upewnić się, że widzisz oczekiwane wyniki. |
Konfigurowanie interfejsów API
Ujednolicone doświadczenie w portalu usługi Defender wprowadza istotne zmiany dotyczące incydentów i alertów z interfejsów API. Obsługuje wywołania interfejsu API oparte na interfejsie API REST programu Microsoft Graph w wersji 1.0, które mogą być używane do automatyzacji związanej z alertami, zdarzeniami, zaawansowanym wyszukiwaniem zagrożeń i nie tylko.
Interfejs API usługi Microsoft Sentinel nadal obsługuje akcje dotyczące zasobów usługi Microsoft Sentinel, takich jak reguły analizy, reguły automatyzacji i nie tylko. Aby korzystać z ujednoliconych zdarzeń i alertów, zalecamy korzystanie z interfejsu API REST programu Microsoft Graph.
Jeśli używasz interfejsu API usługi Microsoft Sentinel do interakcji ze zdarzeniami usługi Microsoft Sentinel SecurityInsights , może być konieczne zaktualizowanie warunków automatyzacji i kryteriów wyzwalania ze względu na zmiany w treści odpowiedzi.
W poniższej tabeli wymieniono pola, które są ważne w fragmentach kodu odpowiedzi, i porównują je w portalach platformy Azure i usługi Defender:
| Funkcjonalność | Azure Portal | Portal usługi Defender |
|---|---|---|
| Łącze do zdarzenia |
incidentUrl: bezpośredni adres URL zdarzenia w portalu usługi Microsoft Sentinel |
providerIncidentUrl : To dodatkowe pole zawiera bezpośredni link do zdarzenia, który może służyć do synchronizowania tych informacji z systemem obsługi biletów innych firm, takim jak ServiceNow. incidentUrl jest nadal dostępna, ale wskazuje do portalu usługi Microsoft Sentinel. |
| Źródła, które wyzwoliły wykrywanie i opublikowały alert | alertProductNames |
alertProductNames: Wymaga dodania ?$expand=alerts do żądania GET. Na przykład https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Nazwa dostawcy alertów |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Usługa lub produkt, który utworzył alert | Nie istnieje w witrynie Azure Portal | serviceSource Na przykład "microsoftDefenderForCloudApps" |
| Technologia wykrywania lub czujnik, który zidentyfikował godny uwagi składnik lub działanie | Nie istnieje w witrynie Azure Portal |
detectionSource Na przykład "cloudAppSecurity" |
| Nazwa produktu, który opublikował ten alert | Nie istnieje w witrynie Azure Portal |
productName Na przykład "Microsoft Defender for Cloud Apps" |
Uruchamianie operacji w portalu Defender
Odbiorcy: Analitycy zabezpieczeń
Wideo:
- Odnajdywanie zawartości i analizy zagrożeń w usłudze Microsoft Sentinel i zarządzanie nimi w usłudze Microsoft Defender
- Tworzenie automatyzacji i skoroszytów w usłudze Microsoft Defender
- Korelacja alertów w usłudze Microsoft Defender
- Badanie zdarzeń w usłudze Microsoft Defender
- Zarządzanie przypadkami w usłudze Microsoft Defender
- Zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender
- Optymalizacje SOC w usłudze Microsoft Defender
Aktualizowanie procesów klasyfikacji zdarzeń dla portalu usługi Defender
Jeśli używasz usługi Microsoft Sentinel w witrynie Azure Portal, zauważysz znaczące ulepszenia środowiska użytkownika w portalu usługi Defender. Chociaż może być konieczne zaktualizowanie procesów SOC i ponowne trenowanie analityków, projekt konsoliduje wszystkie istotne informacje w jednym miejscu, aby zapewnić bardziej usprawnione i wydajne przepływy pracy.
Ujednolicona kolejka incydentów w portalu Defender konsoliduje wszystkie incydenty z różnych produktów w jednym widoku, co wpływa na sposób priorytetyzacji incydentów przez analityków, które zawierają teraz wiele alertów obejmujących różne domeny bezpieczeństwa. Przykład:
- Tradycyjnie analitycy sortują incydenty na podstawie określonych domen zabezpieczeń lub wiedzy fachowej, często obsługując zgłoszenia w zależności od jednostki, takiej jak użytkownik lub host. Takie podejście może powodować ślepe punkty, które zintegrowane doświadczenie ma na celu rozwiązać.
- Gdy atakujący przechodzi bocznie, powiązane alerty mogą kończyć się oddzielnymi incydentami ze względu na różne domeny zabezpieczeń. Ujednolicone środowisko eliminuje ten problem, zapewniając kompleksowy widok, zapewniając, że wszystkie powiązane alerty są skorelowane i zarządzane spójnie.
Analitycy mogą również wyświetlać źródła wykrywania i nazwy produktów w portalu Defender oraz stosować i udostępniać filtry w celu bardziej efektywnego triage'u incydentów i alertów.
Ujednolicony proces klasyfikacji może pomóc zmniejszyć obciążenia analityków, a nawet potencjalnie połączyć role analityków warstwy 1 i warstwy 2. Jednak jednolity proces klasyfikacji może również wymagać szerszej i głębszej wiedzy analityka. Zalecamy trenowanie w nowym interfejsie portalu, aby zapewnić bezproblemowe przejście.
Aby uzyskać więcej informacji, zobacz Incydenty i alerty w portalu Microsoft Defender.
Dowiedz się, jak alerty są skorelowane i jak zdarzenia są scalane w portalu Defender.
Aparat korelacji usługi Defender scala incydenty, gdy rozpoznaje wspólne elementy między alertami w oddzielnych incydentach. Gdy nowy alert spełnia kryteria korelacji, usługa Microsoft Defender agreguje i koreluje go z innymi powiązanymi alertami ze wszystkich źródeł wykrywania do nowego zdarzenia. Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender ujednolicona kolejka zdarzeń ujawnia bardziej kompleksowy atak, dzięki czemu analitycy są wydajniejsi i zapewniają pełny scenariusz ataku.
W scenariuszach obejmujących wiele obszarów roboczych tylko alerty z podstawowego obszaru roboczego są skorelowane z danymi XDR w usłudze Microsoft Defender. Istnieją również konkretne scenariusze, w których zdarzenia nie są scalane.
Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender następujące zmiany dotyczą zdarzeń i alertów:
| Funkcja | Opis |
|---|---|
| Opóźnienie tuż po wdrożeniu do obszaru roboczego | Pełne zintegrowanie z usługą Microsoft Sentinel zdarzeń usługi Microsoft Defender może potrwać do 5 minut. Nie ma to wpływu na funkcje udostępniane bezpośrednio przez usługę Microsoft Defender, takie jak automatyczne zakłócenia ataków. |
| Reguły tworzenia incydentów zabezpieczeń | Wszystkie aktywne reguły tworzenia zdarzeń zabezpieczeń firmy Microsoft są dezaktywowane, aby uniknąć tworzenia zduplikowanych zdarzeń. Ustawienia tworzenia zdarzeń w innych typach reguł analizy pozostają bez zmian i można je konfigurować w portalu Defender. |
| Nazwa dostawcy incydentu | W portalu usługi Defender nazwa dostawcy w przypadku incydentu to zawsze Microsoft XDR. |
| Dodawanie/usuwanie alertów ze zdarzeń | Dodawanie lub usuwanie alertów usługi Microsoft Sentinel do lub ze zdarzeń jest obsługiwane tylko w portalu usługi Defender. Aby usunąć alert ze zdarzenia w portalu usługi Defender, należy dodać alert do innego zdarzenia. |
| Edytowanie komentarzy | Dodawanie komentarzy do zdarzeń w portalu Defender lub w portalu Azure, ale edytowanie istniejących komentarzy nie jest obsługiwane w portalu Defender. Zmiany wprowadzone w komentarzach w witrynie Azure Portal nie są synchronizowane z portalem usługi Defender. |
| Programowe i ręczne tworzenie zdarzeń | Zdarzenia utworzone w usłudze Microsoft Sentinel za pośrednictwem interfejsu API, przez playbook Logic App, lub ręcznie z portalu Azure, nie są synchronizowane z portalem Defender. Te incydenty są nadal obsługiwane w portalu Azure i interfejsie API. Zobacz Ręczne tworzenie własnych zdarzeń w usłudze Microsoft Sentinel. |
| Ponowne otwieranie zamkniętych incydentów | W portalu usługi Defender nie można ustawić grupowania alertów w regułach analizy usługi Microsoft Sentinel w celu ponownego otwarcia zamkniętych zdarzeń w przypadku dodania nowych alertów. Zamknięte zdarzenia nie są ponownie otwierane w tym przypadku, a nowe alerty wyzwalają nowe zdarzenia. |
| Zadania | Zadania incydentu są niedostępne w portalu Defender. Aby uzyskać więcej informacji, zobacz Używanie zadań do zarządzania zdarzeniami w usłudze Microsoft Sentinel. |
Aby uzyskać więcej informacji, zobacz Zdarzenia i alerty w portalu usługi Microsoft Defender oraz Korelacja alertów i scalanie zdarzeń w portalu usługi Microsoft Defender.
Zanotuj zmiany w badaniach z zaawansowanym wyszukiwaniem zagrożeń
Po dołączeniu Microsoft Sentinel do portalu Defender, uzyskaj dostęp do wszystkich istniejących tabel dzienników, zapytań w Języku zapytań Kusto (KQL) i funkcji na stronie Zaawansowane polowanie. Wszystkie alerty Microsoft Sentinel powiązane z incydentami są pozyskiwane do tabeli AlertInfo, dostępnej na stronie Zaawansowane polowanie.
Istnieją pewne różnice, takie jak:
- Zakładki nie są obsługiwane w obszarze Wyszukiwanie zaawansowane. Zamiast tego zakładki są obsługiwane w portalu usługi Defender w obszarze Microsoft Sentinel > Wyszukiwanie zagrożeń>.
- Chociaż tabela SecurityAlert nie pojawia się na liście tabel Zaawansowane wyszukiwanie>Schema, nadal jest używana w zapytaniach.
Aby uzyskać więcej informacji, zobacz Advanced hunting with Microsoft Sentinel data in Microsoft Defender (Zaawansowane wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel w usłudze Microsoft Defender, szczególnie lista znanych problemów) i Keep track of data during hunting with Microsoft Sentinel (Śledzenie danych podczas wyszukiwania w usłudze Microsoft Sentinel).
Badanie przy użyciu elementów w portalu Defender
W portalu Microsoft Defender jednostki są zazwyczaj zasobami, takimi jak konta, hosty lub skrzynki pocztowe, albo dowodami, takimi jak adresy IP, pliki lub adresy URL.
Po dołączeniu usługi Microsoft Sentinel do portalu usługi Defender strony jednostek dla użytkowników, urządzeń i adresów IP są konsolidowane w jeden widok z kompleksowym widokiem działań i kontekstu jednostki oraz danych zarówno z usług Microsoft Sentinel, jak i Microsoft Defender XDR.
Portal usługi Defender udostępnia również globalny pasek wyszukiwania, który centralizuje wyniki ze wszystkich jednostek, dzięki czemu można przeszukiwać rozwiązania SIEM i XDR.
Aby uzyskać więcej informacji, zobacz Entity pages in Microsoft Sentinel (Strony jednostek w usłudze Microsoft Sentinel).
Badanie za pomocą analizy UEBA w portalu Defender
Większość funkcji analizy zachowań użytkowników i jednostek (UEBA) pozostaje taka sama w portalu usługi Defender, jak w witrynie Azure Portal, z następującymi wyjątkami:
Dodawanie jednostek do analizy zagrożeń ze zdarzeń jest obsługiwane tylko w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Dodawanie jednostki do wskaźników zagrożeń.
Po dołączeniu Microsoft Sentinel do portalu Defender tabela
IdentityInfoużywana w portalu Defender zawiera ujednolicone pola zarówno z Defender XDR, jak i Microsoft Sentinel. Niektóre pola, które istniały w przypadku użycia w witrynie Azure Portal, zostały zmienione w portalu usługi Defender lub w ogóle nie są obsługiwane. Zalecamy sprawdzenie zapytań pod kątem wszelkich odwołań do tych pól i zaktualizowanie ich w razie potrzeby. Aby uzyskać więcej informacji, zobacz Tabela IdentityInfo.
Ważne
Po przejściu do portalu usługi Defender tabela stanie się natywną tabelą usługi Defender, IdentityInfo która nie obsługuje kontroli dostępu opartej na rolach (RBAC) na poziomie tabeli. Jeśli twoja organizacja używa kontroli dostępu opartej na rolach na poziomie tabeli w celu ograniczenia dostępu do tabeli w Azure portal, ta kontrola dostępu nie będzie już dostępna po przejściu do portalu Defender.
Aktualizowanie procesów badania w celu korzystania z analizy zagrożeń w usłudze Microsoft Defender
W przypadku klientów usługi Microsoft Sentinel przechodzących z portalu Azure do portalu Defender, znane funkcje analizy zagrożeń są zachowane w portalu Defender w sekcji zarządzanie funkcją Intel i zostały wzbogacone o inne funkcje analizy zagrożeń dostępne w portalu Defender. Obsługiwane funkcje zależą od posiadanych licencji, takich jak:
| Funkcja | Opis |
|---|---|
| Analiza zagrożeń | Obsługiwane dla klientów Microsoft Defender XDR. Rozwiązanie w produkcie udostępniane przez badaczy ds. zabezpieczeń firmy Microsoft, zaprojektowane w celu ułatwienia zespołom ds. zabezpieczeń, oferując szczegółowe informacje na temat pojawiających się zagrożeń, aktywnych zagrożeń i ich wpływu. Dane są prezentowane na intuicyjnym pulpicie nawigacyjnym z kartami, wierszami danych, filtrami i nie tylko. |
| Profile firmy Intel | Obsługa dla klientów usługi Microsoft Defender Threat Intelligence. Kategoryzowanie zagrożeń i zachowań według profilu aktora zagrożeń, co ułatwia śledzenie i korelowanie. Profile te obejmują wszystkie wskaźniki naruszenia (IoC) związane z taktyką, technikami i narzędziami używanymi w atakach. |
| Intel Explorer | Obsługa dla klientów usługi Microsoft Defender Threat Intelligence. Konsoliduje dostępne IoCs i udostępnia artykuły związane z zagrożeniami, które są publikowane, umożliwiając zespołom ds. zabezpieczeń pozostanie na bieżąco z pojawiającymi się zagrożeniami. |
| Projekty Intel | Obsługa dla klientów usługi Microsoft Defender Threat Intelligence. Umożliwia zespołom skonsolidowanie analizy zagrożeń w projekcie na potrzeby przeglądania wszystkich artefaktów związanych z konkretnym scenariuszem zainteresowania. |
W portalu usługi Defender użyj elementów ThreatIntelOjbects i ThreatIntelIndicators wraz ze wskaźnikami naruszenia bezpieczeństwa na potrzeby wyszukiwania zagrożeń, reagowania na zdarzenia, copilota, raportowania i tworzenia relacyjnych grafów pokazujących połączenia między wskaźnikami i jednostkami.
W przypadku klientów korzystających ze źródła danych usługi Microsoft Defender Threat Intelligence (MDTI) bezpłatna wersja jest dostępna za pośrednictwem łącznika danych usługi Microsoft Sentinel dla usługi MDTI. Użytkownicy z licencjami MDTI mogą również pozyskiwać dane MDTI i używać rozwiązania Security Copilot do analizy zagrożeń, aktywnego przeglądu zagrożeń i badań aktorów zagrożeń.
Aby uzyskać więcej informacji, zobacz:
- zarządzanie zagrożeniami
- Analiza zagrożeń w usłudze Microsoft Defender XDR
- Korzystanie z projektów
- Analiza zagrożeń w usłudze Microsoft Sentinel
Wizualizowanie i raportowanie danych usługi Microsoft Defender za pomocą skoroszytów
Skoroszyty platformy Azure nadal są podstawowym narzędziem do wizualizacji danych i interakcji w portalu usługi Defender, działają tak samo jak w portalu Azure.
Aby używać skoroszytów z danymi z Zaawansowanego wyszukiwania zagrożeń, upewnij się, że dzienniki są przekazywane do usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.
Podobne zdarzenia (wersja zapoznawcza) nie są obsługiwane w portalu usługi Defender
Funkcja podobnych zdarzeń usługi Microsoft Sentinel jest dostępna w wersji zapoznawczej, nie jest obsługiwana w portalu usługi Defender. Oznacza to, że podczas wyświetlania strony szczegółów zdarzenia w portalu usługi Defender karta Podobne zdarzenia nie jest dostępna.
Treści powiązane
- Najlepsze rozwiązania Microsoft Sentinel — teraz w usłudze Microsoft Defender (blog)
- Obejrzyj seminarium internetowe: Przejście na ujednoliconą platformę SOC: szczegółowe omówienie i interaktywne Q&A dla specjalistów SOC.
- Zobacz często zadawane pytania w blogu TechCommunity lub w centrum Microsoft Community Hub.