Udostępnij przez

Łączenie Microsoft Sentinel z portalem Microsoft Defender

  • Dotyczy: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, z licencją Microsoft Defender XDR lub bez licencji E5. Korzystając z Microsoft Sentinel w portalu usługi Defender wraz z usługami Microsoft Defender XDR, ujednolicasz możliwości, takie jak zarządzanie zdarzeniami i zaawansowane wyszukiwanie zagrożeń. Zmniejsz przełączanie narzędzi i skompiluj bardziej ukierunkowane na kontekst badanie, które przyspiesza reagowanie na zdarzenia i szybciej zatrzymuje naruszenia.

Ten artykuł jest odpowiedni dla klientów, których Microsoft Sentinel obszary robocze nie są jeszcze połączone z portalem usługi Defender. W wielu przypadkach klienci dołączający do Microsoft Sentinel po 1 lipca 2025 r. są automatycznie dołączane do portalu usługi Defender.

Więcej informacji można znaleźć w następujących artykułach:

Wymagania wstępne

Przed rozpoczęciem zapoznaj się z dokumentacją funkcji, aby zrozumieć zmiany i ograniczenia produktu.

Portal Microsoft Defender obsługuje jedną dzierżawę Microsoft Entra oraz połączenie z podstawowym obszarem roboczym i wieloma pomocniczymi obszarami roboczymi. Jeśli podczas dołączania Microsoft Sentinel masz tylko jeden obszar roboczy, ten obszar roboczy jest wyznaczony jako podstawowy obszar roboczy. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender. W kontekście tego artykułu obszar roboczy jest obszarem roboczym usługi Log Analytics z włączoną Microsoft Sentinel.

Microsoft Sentinel wymagania wstępne

Aby dołączyć i używać Microsoft Sentinel w portalu usługi Defender, musisz mieć następujące zasoby i dostęp:

  • Obszar roboczy usługi Log Analytics z włączoną Microsoft Sentinel

  • Konto Azure z odpowiednimi rolami do dołączania, używania i tworzenia żądań pomocy technicznej dla Microsoft Sentinel w portalu usługi Defender. W portalu usługi Defender nie będą widoczne obszary robocze, do których nie masz wymaganych uprawnień. W poniższej tabeli przedstawiono niektóre z kluczowych ról.

    Zadanie wymagana jest wbudowana rola Microsoft Entra lub Azure Zakres
    Dołączanie Microsoft Sentinel do portalu usługi Defender administrator globalny lub administrator zabezpieczeń w Tożsamość Microsoft Entra
    ORAZ
    Właściciel lub
    administrator dostępu użytkowników i współautor Microsoft Sentinel    		 Dzierżawca


    — Subskrypcja dla ról

    właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor
    Łączenie lub rozłączanie pomocniczego obszaru roboczego administrator globalny lub administrator zabezpieczeń w Tożsamość Microsoft Entra
    ORAZ
    Właściciel lub
    administrator dostępu użytkowników i współautor Microsoft Sentinel    		 Dzierżawca


    — Subskrypcja dla ról

    właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor
    Zmienianie podstawowego obszaru roboczego administrator globalny lub administrator zabezpieczeń w Tożsamość Microsoft Entra
    ORAZ
    Właściciel lub
    administrator dostępu użytkowników i współautor Microsoft Sentinel    		 Dzierżawca


    — Subskrypcja dla ról

    właściciela lub administratora dostępu użytkowników — subskrypcja, grupa zasobów lub zasób obszaru roboczego dla Microsoft Sentinel Współautor
    Wyświetlanie Microsoft Sentinel w portalu usługi Defender czytelnik Microsoft Sentinel Subskrypcja, grupa zasobów lub zasób obszaru roboczego
    Wykonywanie zapytań Microsoft Sentinel tabel danych lub wyświetlanie zdarzeń Microsoft Sentinel czytelnika lub rolę z następującymi akcjami:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 Subskrypcja, grupa zasobów lub zasób obszaru roboczego
    Podjęcie działań dochodzeniowych w sprawie zdarzeń Microsoft Sentinel współautora lub rolę z następującymi akcjami:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 Subskrypcja, grupa zasobów lub zasób obszaru roboczego
    Tworzenie wniosku o pomoc techniczną Właściciel, współautor lub
    współautor żądania pomocy technicznej lub
    rola niestandardowa w witrynie Microsoft.Support/*    		 Subskrypcja

    Jeśli pracujesz z wieloma dzierżawami, pamiętaj, że szczegółowe delegowane uprawnienia administratora (GDAP) z usługą Azure Lighthouse nie są obsługiwane w przypadku danych Microsoft Sentinel w portalu usługi Defender. Zamiast tego użyj Microsoft Entra uwierzytelniania B2B. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzania Microsoft Defender wielodostępne.

    Po nawiązaniu połączenia Microsoft Sentinel z portalem usługi Defender istniejące uprawnienia kontroli dostępu opartej na rolach (RBAC) Azure umożliwiają pracę z funkcjami Microsoft Sentinel, do których masz dostęp. Kontynuuj zarządzanie rolami i uprawnieniami użytkowników Microsoft Sentinel z Azure Portal, ponieważ wszelkie Azure zmiany RBAC są odzwierciedlane w portalu usługi Defender.

    Aby uzyskać więcej informacji, zobacz Role i uprawnienia w Microsoft Sentinel i Zarządzanie dostępem do Microsoft Sentinel danych według zasobu.

    Ważna

    Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Wymagania wstępne dotyczące ujednoliconych operacji zabezpieczeń

Aby ujednolicić operacje zabezpieczeń Microsoft Defender XDR i Microsoft Sentinel w portalu usługi Defender, musisz mieć następujące zasoby i dostęp:

Jeśli ma to zastosowanie, wykonaj następujące wymagania wstępne:

Usługa Wymagania wstępne
Zarządzanie ryzykiem wewnętrznym usługi Microsoft Purview Jeśli Organizacja używa Zarządzanie ryzykiem wewnętrznym w Microsoft Purview, zintegruj te dane, włączając łącznik danych Microsoft 365 Insider Risk Management w podstawowym obszarze roboczym dla Microsoft Sentinel. Wyłącz ten łącznik we wszystkich pomocniczych obszarach roboczych dla Microsoft Sentinel, które planujesz dołączyć do portalu usługi Defender.

— Zainstaluj rozwiązanie Zarządzanie ryzykiem wewnętrznym w Microsoft Purview z centrum zawartości w podstawowym obszarze roboczym.
— Skonfiguruj łącznik danych.

Aby uzyskać więcej informacji, zobacz Odnajdywanie zawartości Microsoft Sentinel out-of-the-box i zarządzanie nią.
Microsoft Defender for Cloud Aby przesyłać strumieniowo zdarzenia usługi Defender for Cloud, które są skorelowane we wszystkich subskrypcjach dzierżawy z podstawowym obszarem roboczym dla Microsoft Sentinel:

— Łączenie łącznika danych Microsoft Defender dla chmury (wersja zapoznawcza) opartego na dzierżawie w podstawowym obszarze roboczym.
— Odłącz łącznik alertów usługi Microsoft Defender for Cloud (Starsza wersja) oparty na subskrypcji ze wszystkich obszarów roboczych w dzierżawie.

Jeśli nie chcesz przesyłać strumieniowo skorelowanych danych dzierżawy usługi Defender for Cloud do podstawowego obszaru roboczego, w obszarach roboczych nadal używaj łącznika Microsoft Defender for Cloud (Starsza wersja) opartego na subskrypcji. Aby uzyskać więcej informacji, zobacz Pozyskiwanie Microsoft Defender dla zdarzeń w chmurze z integracją Microsoft Defender XDR.

Dołączanie Microsoft Sentinel

W tej procedurze opisano sposób dołączania obszaru roboczego z obsługą Microsoft Sentinel do portalu usługi Defender.

  1. Przejdź do portalu Microsoft Defender i zaloguj się.
  2. Wybierz pozycjęUstawienia>systemu>Microsoft Sentinel>Połącz obszar roboczy.
  3. Wybierz obszary robocze, z którymi chcesz nawiązać połączenie, a następnie wybierz pozycję Dalej.
  4. Wybierz podstawowy obszar roboczy.
  5. Zapoznaj się ze zmianami produktu skojarzonymi z nawiązywaniem połączenia z obszarem roboczym i zapoznaj się z nimi.
  6. Wybierz pozycję Połącz.

Po nawiązaniu połączenia z obszarem roboczym baner na stronie głównej pokazuje, że środowisko jest gotowe. Strona główna została zaktualizowana o nowe sekcje, które zawierają metryki z Microsoft Sentinel, takie jak liczba łączników danych i reguł automatyzacji.

Eksplorowanie funkcji Microsoft Sentinel w portalu usługi Defender

Po połączeniu obszaru roboczego z portalem usługi Defender Microsoft Sentinel znajduje się w okienku nawigacji po lewej stronie. Jeśli masz włączoną Defender XDR, strony takie jak Strona główna, Incydenty i Zaawansowane wyszukiwanie zagrożeń mają ujednolicone dane z podstawowego obszaru roboczego dla Microsoft Sentinel i Defender XDR. Jeśli nie masz włączonego Defender XDR, te strony zawierają tylko dane z Microsoft Sentinel. Aby uzyskać więcej informacji na temat ujednoliconych możliwości i różnic między portalami, zobacz Microsoft Sentinel w portalu Microsoft Defender.

Wiele istniejących funkcji Microsoft Sentinel jest zintegrowanych z portalem usługi Defender. W przypadku tych funkcji zwróć uwagę, że środowisko między Microsoft Sentinel w Azure Portal i portalu usługi Defender jest podobne. Poniższe artykuły ułatwiają rozpoczęcie pracy z Microsoft Sentinel w portalu usługi Defender. Podczas korzystania z tych artykułów należy pamiętać, że punktem wyjścia w tym kontekście jest portal usługi Defender, a nie Azure Portal.

Kategoria funkcji Linki
Szukać - Wyszukiwanie w długich przedziałach czasu w dużych zestawach danych
- Przywracanie zarchiwizowanych dzienników z wyszukiwania
Zarządzanie zagrożeniami - Wizualizowanie i monitorowanie danych przy użyciu skoroszytów
- Przeprowadzanie kompleksowego wyszukiwania zagrożeń za pomocą polowań
- Używanie zakładek wyszukiwania zagrożeń do badania danych
- Wykrywanie zagrożeń przy użyciu transmisji strumieniowej na żywo wyszukiwania zagrożeń w Microsoft Sentinel
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
- Zbiorcze dodawanie wskaźników w celu Microsoft Sentinel analizy zagrożeń z pliku CSV lub JSON
- Praca ze wskaźnikami zagrożeń w Microsoft Sentinel
- Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK
Zarządzanie zawartością - Odnajdywanie zawartości Microsoft Sentinel i zarządzanie nią
- Microsoft Sentinel katalogu centrum zawartości
- Wdrażanie zawartości niestandardowej z repozytorium
Konfiguracja - Znajdowanie łącznika danych Microsoft Sentinel
- Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń
- Praca z regułami analizy wykrywania niemal w czasie rzeczywistym (NRT) w Microsoft Sentinel
- Tworzenie list obserwowanych
- Zarządzanie listami obserwowanych w Microsoft Sentinel
- Tworzenie reguł automatyzacji
- Tworzenie i dostosowywanie podręczników Microsoft Sentinel na podstawie szablonów zawartości

Znajdź ustawienia Microsoft Sentinel w portalu usługi Defender w obszarzeUstawienia>systemu>Microsoft Sentinel.

Zmienianie podstawowego obszaru roboczego

Jednocześnie z portalem usługi Defender może być połączony tylko jeden podstawowy obszar roboczy. Można jednak zmienić podstawowy obszar roboczy.

  1. W portalu usługi Defender przejdź do pozycjiUstawienia>systemu>Microsoft Sentinel>Przestępcje robocze.
  2. Wybierz nazwę obszaru roboczego, który chcesz utworzyć jako podstawowy.
  3. Wybierz pozycję Ustaw jako podstawowy.
  4. Przeczytaj i zrozum zmiany produktu związane ze zmianą podstawowego obszaru roboczego.
  5. Wybierz pozycję Potwierdź i kontynuuj.

Po przełączeniu podstawowego obszaru roboczego dla Microsoft Sentinel łącznik Defender XDR jest połączony z nowym podstawowym i automatycznie odłączony od poprzedniego. Aby uzyskać więcej informacji, zobacz Wiele obszarów roboczych Microsoft Sentinel w portalu usługi Defender.

Microsoft Sentinel odłączanie

Jeśli zdecydujesz się na odłączenie obszaru roboczego z portalu usługi Defender, odłącz obszar roboczy od ustawień Microsoft Sentinel.

Jeśli obszar roboczy ma skonfigurowany łącznik Microsoft Defender XDR, odłączenie obszaru roboczego z portalu usługi Defender spowoduje również odłączenie łącznika Microsoft Defender XDR.

  1. Przejdź do portalu Microsoft Defender i zaloguj się.

  2. W portalu usługi Defender w obszarze System wybierz pozycję Ustawienia>Microsoft Sentinel.

  3. Na stronie Obszary robocze wybierz połączony obszar roboczy i Odłącz obszar roboczy.

  4. Podaj powód rozłączania obszaru roboczego.

  5. Potwierdź wybór.

    Po rozłączeniu obszaru roboczego sekcja Microsoft Sentinel zostanie usunięta z nawigacji po lewej stronie portalu usługi Defender. Dane z Microsoft Sentinel nie są już uwzględniane na stronie głównej.

Jeśli chcesz nawiązać połączenie z innym obszarem roboczym, na stronie Obszary robocze wybierz obszar roboczy i połącz obszar roboczy.

Zawartość pokrewna

  • Last updated on