你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 可以在 Microsoft Defender 门户中与 Microsoft Defender XDR 一起使用,或单独使用。 它跨 SIEM 和 XDR 提供统一的体验,以更快、更准确的威胁检测和响应、更简单的工作流和更好的运营效率。
本文介绍如何将 Microsoft Sentinel 体验从 Azure 门户过渡到 Defender 门户。 如果在 Azure 门户中使用 Microsoft Sentinel,请过渡到 Microsoft Defender,以利用统一的安全操作和最新功能。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel 或观看 YouTube 播放列表。
注释
即使是非 E5 客户,转换到 Defender 门户也不会产生额外费用。 客户仍将像往常一样,仅对其在 Sentinel 上的消费进行计费。
先决条件
在开始之前,请注意:
本文面向已启用 Microsoft Sentinel 的现有工作区客户,旨在帮助他们将 Microsoft Sentinel 的使用体验迁移至 Defender 门户。 如果您是新客户,并且以具有订阅 所有者 或 用户访问管理员 权限的身份被纳入,则您的工作区会自动加入 Defender 门户。
某些Microsoft Sentinel 功能在 Defender 门户中具有新位置。 有关详细信息,请参阅 “快速参考”。
相关时,每个步骤的链接文章中提供了详细的先决条件。
规划和设置过渡环境
受众:安全架构师
视频:
查看规划指南、完成先决条件并加入
在将工作区载入 Defender 门户之前,请查看所有规划指南并完成所有先决条件。 如需了解更多信息,请参阅以下文章:
在 Defender 门户中规划统一的安全操作。 登录 Defender 门户后,Microsoft Sentinel 贡献者 角色将分配给订阅中的 Microsoft 威胁防护 和 Windows Defender ATP 应用。
在 Defender 门户中为统一安全运营进行部署。 虽然本文适用于尚未在 Defender 门户中配置 Microsoft Sentinel 或其他服务工作区的新客户,但如果您需要迁移到 Defender 门户,请将此作为参考。
将Microsoft Sentinel 连接到 Defender 门户。 本文列出了将工作区加入 Defender 门户的先决条件。 如果打算在没有 Defender XDR 的情况下使用 Microsoft Sentinel,则需要执行额外的步骤来触发 Microsoft Sentinel 和 Defender 门户之间的连接。
查看数据存储和隐私的差异
使用 Azure 门户时,适用于数据存储、进程、保留和共享 的 Microsoft Sentinel 策略 适用。 使用 Defender 门户时,即使处理 Microsoft Sentinel 数据,也会应用 Microsoft Defender XDR 策略。
下表提供了其他详细信息和链接,以便可以比较 Azure 和 Defender 门户中的体验。
| 支持区域 | Azure 门户 | Defender 门户 |
|---|---|---|
| BCDR | 客户负责复制其数据 | Microsoft Defender 在控制平面上使用自动化实现业务连续性和灾难恢复。 |
| 数据存储和处理 |
-
数据存储位置 - 支持的区域 |
数据存储位置 |
| 数据保留 | 数据保留 | 数据保留 |
| 数据共享 | 数据共享 | 数据共享 |
有关详细信息,请参见:
使用客户管理的密钥(CMK)载入 Defender 门户
如果在载入之前启用 CMK,当您将启用 Microsoft Sentinel 的工作区载入 Defender 门户时,工作区中的所有日志数据将继续使用 CMK 加密,包括先前摄取的数据和新摄取的数据。
分析规则和其他 Sentinel 内容(如自动化规则)也将继续进行 CMK 加密。 但是,载入后将不再对警报和事件进行 CMK 加密。
有关 CMK 的详细信息,请参阅 设置 Microsoft Sentinel 客户管理的密钥。
重要
Microsoft Sentinel data lake 中存储的数据对 CMK 加密的支持不完全。 引入到 Data Lake 中的所有数据(如自定义表或转换的数据)都使用Microsoft管理的密钥进行加密。
配置多工作区和多租户管理
Defender 通过多租户门户(该门户充当管理事件和警报、跨租户搜寻威胁的中心位置)支持跨多个租户的一个或多个工作区,并允许托管安全服务合作伙伴 (MSSP) 跨客户查看。
在多工作区方案中,多租户门户允许你为每个租户连接一个主要工作区和多个辅助工作区。 针对每个租户单独将每个工作区加入 Defender 门户,操作流程与单租户加入方式相同。
有关详细信息,请参见:
Azure Lighthouse 文档。 Azure Lighthouse 允许使用已加入工作区中其他租户的 Microsoft Sentinel 数据。 例如,可以在高级搜寻和分析规则中使用
workspace()运算符运行跨工作区查询。Microsoft Entra B2B。 Microsoft Entra B2B 允许跨租户访问数据。 Microsoft Sentinel 数据不支持 GDAP。
配置和查看设置和内容
受众:安全工程师
视频: 在 Microsoft Defender 中管理连接器
确认和配置数据收集
Microsoft Sentinel 与 Microsoft Defender 集成时,数据收集和遥测流的基本体系结构保持不变。 在 Microsoft Sentinel 中配置的现有连接器(无论是 Microsoft Defender 产品还是其他数据源),将继续不间断地运行。
从 Log Analytics 的角度来看,Microsoft Sentinel 集成到 Microsoft Defender 不会对基础引入管道或数据架构造成任何更改。 尽管前端统一,Microsoft Sentinel 后端仍与 Log Analytics 完全集成,用于数据存储、搜索和关联。
与 Defender 产品相关的警报直接从 Microsoft Defender XDR 连接器 流式传输,以确保一致性。 请确保您在工作区中已启用此连接器的事件和警报。 在工作区中配置此数据连接器后,将工作区从 Microsoft Defender 中移除 也会断开 Microsoft Defender XDR 连接器的连接。
有关详细信息,请参阅将 Microsoft Defender XDR 中的数据连接到 Microsoft Sentinel。
与 Microsoft Defender for Cloud 集成
- 如果使用 Defender for Cloud 的基于租户的数据连接器,请确保采取措施防止重复事件和警报。
- 如果改用基于订阅的旧连接器,请确保选择不将事件和警报同步到 Microsoft Defender。
有关详细信息,请参阅 Microsoft Defender 中的警报和事件。
Defender 门户中的数据连接器可见性
将工作区加入 Defender 后,以下数据连接器用于统一安全操作,并且不会显示在 Defender 门户网站的 数据连接器 页中。
- 微软云应用防护 (Microsoft Defender for Cloud Apps)
- Microsoft Defender 端点版
- Microsoft Defender for Identity
- Microsoft Defender for Office 365(预览版)
- Microsoft Defender XDR
- 基于订阅的 Microsoft Defender for Cloud(旧版)
- 基于租户的 Microsoft Defender for Cloud(预览版)
这些数据连接器将继续在 Azure 门户中的 Microsoft Sentinel 中列出。
配置生态系统
虽然Microsoft Sentinel 的 工作区管理器 在 Defender 门户中不可用,但使用以下替代功能之一将内容作为代码分发到工作区:
从您的存储库中以代码形式部署内容(公开预览版)。 使用 GitHub 或 Azure DevOps 中的 YAML 或 JSON 文件,通过统一的 CI/CD 工作流在 Microsoft Sentinel 和 Defender 中管理和部署配置。
多租户门户。 Microsoft Defender 多租户门户支持跨多个租户管理和分发内容。
否则,请继续部署解决方案包,其中包含 Defender 门户中内容中心的各种安全内容。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的内置内容。
配置分析规则
Defender 门户中提供了用于检测、配置和管理Microsoft Sentinel 分析规则。 分析规则的功能保持不变,包括通过向导、存储库和 Microsoft Sentinel API 创建、更新和管理。 事件关联和多阶段攻击检测也在 Defender 门户中继续工作。 由 Azure 门户中 Fusion 分析规则管理的警报关联功能由 Defender 门户中的 Defender XDR 引擎处理,后者将所有信号合并到一个位置。
移动到 Defender 门户时,请务必注意以下更改:
| 功能 / 特点 | DESCRIPTION |
|---|---|
| 自定义检测规则 | 如果你有涉及 Defender XDR 和 Microsoft Sentinel 数据的检测用例,则无需将 Defender XDR 数据保留 30 天以上,建议创建自定义 检测规则 来查询来自Microsoft Sentinel 和 Defender XDR 表的数据。 无需将 Defender XDR 数据引入 Microsoft Sentinel 即可支持此功能。 有关详细信息,请参阅 Microsoft Defender 中的高级搜寻中使用 Microsoft Sentinel 自定义函数。 |
| 警报关联 | 在 Defender 门户中,无论警报场景如何,相关性会自动应用于针对 Microsoft Defender 数据和从 Microsoft Sentinel 引入的第三方数据的警报。 用于在单个事件中将警报关联到一起的条件是 Defender 门户的专有内部关联逻辑的一部分。 有关详细信息,请参阅 Defender 门户中的警报关联和事件合并。 |
| 警报分组和事件合并 | 尽管在 Analytics 规则中仍会看到警报分组配置,但 Defender XDR 相关引擎 在 Defender 门户中在必要时完全控制警报分组和事件合并。 这通过合并多阶段攻击的相关警报,确保全面了解完整的攻击情景。 例如,配置为为每个警报生成事件的各个分析规则可能会导致合并事件(如果它们与 Defender XDR 关联逻辑匹配)。 |
| 警报可见性 | 如果Microsoft Sentinel 分析规则 配置为仅触发警报,且事件创建已关闭,则这些警报在 Defender 门户中不可见。 但是,虽然 高级搜寻 查询编辑器无法识别 SecurityAlerts 表架构,但仍可以在查询和分析规则中使用表。 |
| 警报优化 | Microsoft Sentinel 工作区载入 Defender 后,Defender XDR 引擎将生成所有事件,包括来自Microsoft Sentinel 分析规则的事件。 因此,Defender 门户中的 警报优化功能 (以前仅适用于 Defender XDR 警报)现在可以应用于来自Microsoft Sentinel 的警报。 此功能允许你通过自动解决常见警报、减少误报和最小化噪音来简化事件响应,以便分析人员可以优先处理重大安全事件。 |
| Fusion:高级多州攻击检测 | 将 Microsoft Sentinel 加入 Defender 门户时,会禁用 Fusion 分析规则,该规则在 Azure 门户中基于 Fusion 相关性引擎创建的警报相关性来创建事件。 不会丢失警报关联功能,因为 Defender 门户使用 Microsoft Defender XDR 的事件创建和关联功能来替换 Fusion 引擎的事件创建和关联功能。 有关详细信息,请参阅 Microsoft Sentinel 中的高级多阶段攻击检测 |
配置自动化规则和 playbook
在 Microsoft Sentinel 中,playbook 基于在 Azure 逻辑应用中构建的工作流。Azure 逻辑应用是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。
在 Defender 门户中工作时,以下限制适用于 Microsoft Sentinel 自动化规则和 playbook。 在进行转换时,可能需要在你的环境中进行一些更改。
| 功能性 | DESCRIPTION |
|---|---|
| 使用警报触发器的自动化规则 | 在 Defender 门户中,使用警报触发器的自动化规则仅适用于 Microsoft Sentinel 警报。 有关详细信息,请参阅警报创建触发器。 |
| 使用事件触发器的自动化规则 | 在 Azure 门户和 Defender 门户中,事件提供程序 条件属性被去除,因为所有事件的提供程序都是 Microsoft XDR(在 ProviderName 字段中的值)。 此时,任何现有自动化规则都对 Microsoft Sentinel 和 Microsoft Defender XDR 事件运行,包括“事件提供程序”条件设置为仅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 但是,指定特定分析规则名称的自动化规则将仅对包含警报且由该指定分析规则创建的事件运行。 这意味着,可以将“分析规则名称”条件属性定义为仅存在于 Microsoft Sentinel 中的分析规则,从而限制规则仅对 Microsoft Sentinel 中的事件运行。 此外,在加入 Defender 门户后, SecurityIncident 表不再包含 “说明” 字段。 因此: - 如果使用此 说明 字段作为包含事件创建触发器的自动化规则的条件,则载入 Defender 门户后,该自动化规则将无法工作。 在这种情况下,请确保正确更新配置。 有关详细信息,请参阅事件触发器条件。 - 如果已配置与外部票证系统(如 ServiceNow)的集成,则事件说明将丢失。 |
| Playbook 触发器中的延迟 | Microsoft Defender 事件可能需要长达 5 分钟才能显示在 Microsoft Sentinel 中。 如果出现这种延迟,则 playbook 触发也会延迟。 |
| 对现有事件名称的更改 | Defender 门户使用独一无二的引擎来关联事件和警报。 将工作区载入 Defender 门户时,如果应用了关联,则现有事件名称可能会更改。 为了确保自动化规则始终正常运行,因此建议避免在自动化规则中使用事件标题作为条件标准,并建议改用创建事件中的警报的任何分析规则的名称,如果需要更具体的信息,则改用标记。 |
| “更新者”字段 | 有关详细信息,请参阅事件更新触发器。 |
| 直接从事件创建自动化规则 | 仅在 Azure 门户中支持直接从事件创建自动化规则。 如果在 Defender 门户中工作,请从“自动化”页从头开始创建自动化规则。 |
| Microsoft 事件创建规则 | Defender 门户不支持 Microsoft 事件创建规则。 有关详细信息,请参阅 Microsoft Defender XDR 事件和 Microsoft 事件创建规则。 |
| 从 Defender 门户运行自动化规则 | 从触发警报并在 Defender 门户中创建或更新事件到运行自动化规则可能需要长达 10 分钟的时间。 之所以出现此时间延迟,是因为事件先在 Defender 门户中创建,然后又转发到 Microsoft Sentinel 以获取自动化规则。 |
| “活动 playbook”选项卡 | 载入 Defender 门户后,“活动 playbook”选项卡默认显示包含已加入工作区的订阅的预定义筛选器。 在 Azure 门户中,使用订阅筛选器为其他订阅添加数据。 有关详细信息,请参阅 从模板创建和自定义 Microsoft Sentinel 剧本。 |
| 按需手动运行 playbook | Defender 门户目前不支持以下过程: |
| 针对事件运行 playbook 需要 Microsoft Sentinel 同步 | 如果你尝试在 Defender 门户中针对事件运行 playbook,并看到“无法访问与此操作相关的数据。请在几分钟后刷新屏幕。”消息,则意味着事件尚未同步到 Microsoft Sentinel。 事件同步后刷新事件页面即可成功运行 playbook。 |
|
事件:向事件添加警报 / 从事件中删除警报 |
由于将工作区载入 Defender 门户后,不支持向事件添加警报或从事件中删除警报,因此 playbook 中也不支持这些操作。 有关详细信息,请参阅 了解如何关联警报,以及如何在 Defender 门户中合并事件。 |
| Microsoft Defender XDR 在多个工作区中的集成 | 如果已将 XDR 数据与单个租户中的多个工作区集成,则数据现在只会引入 Defender 门户中的主工作区。 将自动化规则传输到相关工作区以使其保持运行状态。 |
| 自动化和关联引擎 | 相关引擎可以将来自多个信号的警报合并到单个事件中,这可能会导致自动化接收到你未预料到的数据。 建议查看自动化规则,以确保看到预期结果。 |
配置 API
Defender 门户的统一体验对来自 API 的事件和警报进行了显著更改。 它支持基于 Microsoft Graph REST API v1.0 的 API 调用,可用于与警报、事件、高级搜寻等相关的自动化。
Microsoft Sentinel API 继续支持对 Microsoft Sentinel 资源(例如分析规则、自动化规则等)执行的操作。 若要与统一事件和警报交互,建议使用Microsoft图形 REST API。
如果使用 Microsoft Sentinel API 与 Microsoft Sentinel SecurityInsights 事件进行交互,则可能需要更新自动化条件和触发条件,因为响应正文发生更改。
下表列出了响应代码片段中重要的字段,并将它们与 Azure 和 Defender 门户进行比较:
| 功能性 | Azure 门户 | Defender 门户 |
|---|---|---|
| 指向事件的链接 |
incidentUrl:Microsoft Sentinel 门户中事件的直接 URL |
providerIncidentUrl :此附加字段提供事件的直接链接,该链接可用于将此信息与 ServiceNow 等第三方票证系统同步。 incidentUrl 仍可用,但它指向 Microsoft Sentinel 门户。 |
| 触发检测并发布警报的源 | alertProductNames |
alertProductNames:需要将 ?$expand=alerts 添加到 GET。 例如: https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| 警报提供程序的名称 |
providerName = “Azure Sentinel” |
providerName = “Microsoft XDR” |
| 创建警报的服务或产品 | Azure 门户中不存在 | serviceSource 例如,“microsoftDefenderForCloudApps” |
| 识别显著组件或活动的检测技术或传感器 | Azure 门户中不存在 |
detectionSource 例如,“cloudAppSecurity” |
| 发布此警报的产品的名称 | Azure 门户中不存在 |
productName 例如,“Microsoft Defender for Cloud Apps” |
在 Defender 门户中运行操作
受众:安全分析师
视频:
- 在 Microsoft Defender 中发现和管理Microsoft Sentinel 内容和威胁情报
- 在 Microsoft Defender 中创建自动化和工作簿
- Microsoft Defender 中的警报关联
- Microsoft Defender 中的事件调查
- Microsoft Defender 中的案例管理
- Microsoft Defender 中的高级搜寻
- Microsoft Defender 中的 SOC 优化
更新 Defender 门户的事件会审过程
如果在 Azure 门户中使用了 Microsoft Sentinel,你将注意到 Defender 门户中的显著用户体验增强功能。 尽管可能需要更新 SOC 流程并重新训练分析师,但设计将所有相关信息整合在一个位置,以提供更简化且高效的工作流。
Defender 门户中的统一事件队列将跨产品的所有事件整合到单一视图中,从而影响分析师如何对当前包含多个跨安全域警报的事件进行会审。 例如:
- 传统上,分析人员基于特定安全域或专业知识对事件进行会审,通常会按实体(如用户或主机)处理票证。 此方法可以创建盲点,统一体验旨在解决这些盲点。
- 当攻击者横向移动时,由于不同的安全域,相关警报可能最终出现在不同的事件中。 统一体验通过提供全面的视图来消除此问题,确保所有相关警报相互关联和管理。
分析师还可以在 Defender 门户中查看检测源和产品名称,并应用和共享筛选器,以便更高效地进行事件和警报会审。
统一会审过程可以帮助减少分析师工作负荷,甚至可能将第 1 层和第 2 层分析师的角色组合在一起。 但是,统一会审过程还需要更广泛的和更深入的分析师知识。 建议在新门户界面上进行训练,以确保平稳过渡。
有关详细信息,请参阅 Microsoft Defender 门户中的事件和警报。
了解在 Defender 门户中如何关联警报和合并事件。
Defender 的相关引擎在识别不同事件中的警报之间的常见元素时合并事件。 当新警报满足相关条件时,Microsoft Defender 聚合,并将其与来自所有检测源的其他相关警报关联到新事件中。 将Microsoft Sentinel 加入 Defender 门户后,统一事件队列会显示更全面的攻击,使分析师更高效,并提供完整的攻击故事。
在多工作区场景中,只有来自主工作区的警报与 Microsoft Defender XDR 数据相关联。 在某些特定情境下,事件无法合并。
将 Microsoft Sentinel 载入 Defender 门户后,以下更改适用于事件和警报:
| 功能 / 特点 | DESCRIPTION |
|---|---|
| 刚加入工作区后出现延迟 | Microsoft Defender 事件可能需要长达 5 分钟才能与 Microsoft Sentinel 完全集成。 这不会影响 Microsoft Defender 提供的直接功能,例如自动攻击中断。 |
| 安全事件创建规则 | 停用任何活动 Microsoft安全事件创建规则 ,以避免创建重复的事件。 其他类型的分析规则中的事件创建设置保持不变,可在 Defender 门户中进行配置。 |
| 事件提供程序名称 | 在 Defender 门户中,事件提供程序名称始终是 Microsoft XDR。 |
| 从事件中添加/删除警报 | 仅在 Defender 门户中支持将 Microsoft Sentinel 警报添加到事件或从事件中删除。 若要从 Defender 门户中的事件中删除警报,必须将 警报添加到另一个事件。 |
| 编辑批注 | 在 Defender 或 Azure 门户中向事件添加注释,但在 Defender 门户中不支持编辑现有注释。 在 Azure 门户中对注释所做的编辑不会同步到 Defender 门户。 |
| 以编程方式和手动创建事件 | 通过 API 在 Microsoft Sentinel 中创建的事件(由逻辑应用 playbook 或从 Azure 门户手动创建)不会同步到 Defender 门户。 Azure 门户和 API 仍支持这些事件。 请参阅在 Microsoft Sentinel 中手动创建自己的事件。 |
| 重新打开已关闭的事件 | 在 Defender 门户中,如果添加了新警报,则无法在 Microsoft Sentinel 分析规则中设置警报分组来重新打开已关闭的事件。 在这种情况下,不会重新打开已关闭的事件,新警报会触发新事件。 |
| 任务 | 事件任务在 Defender 门户中不可用。 有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件。 |
有关详细信息,请参阅 Microsoft Defender 门户中的事件和警报 ,以及 Microsoft Defender 门户中的警报关联和事件合并。
注意因高级搜寻而导致的调查更改
将 Microsoft Sentinel 载入 Defender 门户后,访问和使用所有现有日志表、Kusto 查询语言(KQL)查询以及 高级搜寻 页中的函数。 与事件关联的所有Microsoft Sentinel 警报都引入到 AlertInfo 表中,可从 “高级搜寻 ”页访问。
存在一些差异,例如:
- 高级搜寻不支持书签。 Defender 门户的“Microsoft Sentinel”>>“威胁管理”“搜寻”下支持书签。
- 虽然 SecurityAlert 表没有出现在 高级搜寻>架构 的表列表中,但是查询中仍然支持使用。
有关详细信息,请参阅 使用 Microsoft Defender 中的 Microsoft Sentinel 数据进行高级搜寻,尤其是 已知问题列表,并在 使用 Microsoft Sentinel 搜寻期间跟踪数据。
使用 Defender 门户中的实体进行调查
在 Microsoft Defender 门户中,实体通常是 资产,例如帐户、主机或邮箱,或 证据,例如 IP 地址、文件或 URL。
将 Microsoft Sentinel 载入 Defender 门户后, 用户、 设备和 IP 地址的实体页合并到单个视图中,其中包含来自Microsoft Sentinel 和 Microsoft Defender XDR 的实体活动和上下文和数据的综合视图。
Defender 门户还提供一个全局搜索栏,用于集中所有实体的结果,以便可以跨 SIEM 和 XDR 进行搜索。
有关详细信息,请参阅 Microsoft Sentinel 中的实体页。
使用 Defender 门户中的 UEBA 进行调查
用户和实体行为分析(UEBA)的大多数功能在 Defender 门户中保持不变,但有以下例外:
仅 Azure 门户支持将实体从事件添加至威胁情报。 有关详细信息,请参阅将实体添加到威胁指示器。
将 Microsoft Sentinel 加入 Defender 门户后,Defender 门户中使用的表中包含来自 Defender XDR 和 Microsoft Sentinel 的统一字段。 在 Azure 门户中使用时存在的某些字段在 Defender 门户中重命名,或者根本不受支持。 建议检查查询中是否有对这些字段的任何引用,并根据需要更新它们。 有关详细信息,请参阅 IdentityInfo 表。
更新调查过程以使用 Microsoft Defender 威胁情报
对于从 Azure 门户迁移到 Defender 门户的 Microsoft Sentinel 客户,Defender 门户中将保留熟悉的威胁情报功能,这些功能位于 Intel 管理下,并结合 Defender 门户中提供的其他威胁情报功能进行了增强。 支持的功能取决于你拥有的许可证,例如:
| 功能 / 特点 | DESCRIPTION |
|---|---|
| 威胁分析 | 支持 Microsoft Defender XDR 客户。 由Microsoft安全研究人员提供的产品内解决方案,旨在通过提供有关新兴威胁、主动威胁及其影响的见解来帮助安全团队。 数据显示在直观的仪表板中,其中包含卡片、数据行、筛选器等。 |
| Intel 配置文件 | 支持 Microsoft Defender 威胁智能客户。 按威胁参与者配置文件对威胁和行为进行分类,以便更轻松地跟踪和关联。 这些配置文件包括与攻击中使用的策略、技术和工具相关的任何入侵指标 (IoC)。 |
| Intel 浏览器 | 支持 Microsoft Defender 威胁智能客户。 整合可用的 IoC,并在威胁相关文章发布时提供这些文章,使安全团队能够及时掌握新兴威胁动态。 |
| Intel 项目 | 支持 Microsoft Defender 威胁智能客户。 允许团队将威胁情报合并到“项目”中,用于审查与特定目标场景相关的所有项目。 |
在 Defender 门户中,将 ThreatIntelOjbects 和 ThreatIntelIndicators 与入侵指标结合使用,以进行威胁搜寻、事件响应、Copilot、报告,以及创建显示指标和实体之间连接的关系图。
对于使用 Microsoft Defender 威胁智能 (MDTI) 源的客户,可通过 Microsoft Sentinel 的 MDTI 数据连接器获取免费版本。 具有 MDTI 许可证的用户还可以引入 MDTI 数据,并使用安全 Copilot 进行威胁分析、主动威胁评审和威胁参与者研究。
有关详细信息,请参见:
使用工作簿可视化和报告 Microsoft Defender 数据
Azure 工作簿仍然是 Defender 门户中数据可视化和交互的主要工具,就像在 Azure 门户中一样运行。
若要使用包含高级搜寻数据的工作簿,请确保将日志导入 Microsoft Sentinel。
有关详细信息,请参阅 在 Microsoft Sentinel 中使用工作簿可视化和监视数据。
Defender 门户中不支持类似事件(预览版)
Microsoft Sentinel 类似事件功能目前处于预览状态,在 Defender 门户中不受支持。 这意味着,在 Defender 门户中查看事件详细信息页时,“ 类似事件 ”选项卡不可用。
相关内容
- Microsoft Sentinel 的精华功能 - 现已集成到 Microsoft Defender(博客)
- 观看网络研讨会: 转型至统一 SOC 平台:针对 SOC 专业人员的深入探讨与互动问答。
- 请参阅 TechCommunity 博客 或 Microsoft 社区中心中的常见问题。