了解 Microsoft Defender XDR 门户和 Microsoft Sentinel 门户之间的功能差异

  • 15 分钟

Azure 和 Defender 门户中提供了大多数 Microsoft Sentinel 功能。 在 Defender 门户中,一些 Microsoft Sentinel 体验会打开到 Azure 门户,以便完成任务。

本部分介绍仅在 Azure 门户或 Defender 门户中可用的 Microsoft Defender 中的 Microsoft Sentinel 功能或集成,或者这些门户之间其他重大区别。 它不包括从 Defender 门户打开 Azure 门户的 Microsoft Sentinel 体验。

门户之间的功能差异

功能 可用性 描述
使用书签进行高级搜寻 仅 Azure 门户 Microsoft Defender 门户中的高级搜寻体验不支持书签。 在 Defender 门户中,“Microsoft Sentinel”>“威胁管理”>“搜寻”支持它们
SAP 的攻击中断 仅 Defender 门户 此功能在 Azure 门户中不可用。
自动化 某些自动化过程仅在 Azure 门户中可用。 Defender 门户和 Azure 门户中的其他自动化过程相同。 Azure 门户中不同之处在于,已集成到 Microsoft Defender 门户的工作区与未集成的工作区之间。
数据连接器:Microsoft Defender 使用的连接器的可见性 仅 Azure 门户 在 Defender 门户中,载入 Microsoft Sentinel 后,以下属于 Microsoft Defender 的数据连接器不会显示在 “数据连接器 ”页中:
  • 微软云应用防护 (Microsoft Defender for Cloud Apps)
  • Microsoft Defender 端点版
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365 (预览版)
  • Microsoft Defender XDR
  • 基于订阅的 Microsoft Defender for Cloud(旧版)
  • 基于租户的 Microsoft Defender for Cloud(预览版)

    在 Azure 门户中,这些数据连接器仍随 Microsoft Sentinel 中已安装的数据连接器一起列出。
    		•
    实体:将实体添加到事件的威胁情报 仅 Azure 门户 此功能在 Microsoft Defender 门户中不可用。

    Fusion:高级多阶段攻击检测 仅 Azure 门户 将 Microsoft Sentinel 加入 Microsoft Defender 时,会禁用 Fusion 分析规则,该规则基于 Fusion 相关引擎创建的警报关联来创建事件。

    Microsoft Defender 使用 Microsoft Defender XDR 的事件创建和关联功能来替换 Fusion 引擎的事件创建和关联功能。

    事件:向事件添加警报 /
    移除事件中的警报    		 仅 Defender 门户 将 Microsoft Sentinel 载入 Microsoft Defender 门户后,无法再向 Azure 门户中的事件添加警报或删除警报。

    可以在 Defender 门户中移除事件中的警报,但只能通过将警报链接到另一个事件(现有事件或新事件)来完成。
    事件:编辑注释 仅 Azure 门户 将 Microsoft Sentinel 载入 Microsoft Defender 门户后,可以在任一门户中向事件添加注释,但无法编辑现有注释。

    在 Azure 门户中对注释所做的编辑不会同步到 Microsoft Defender 门户。
    事件:以编程和手动方式创建事件 仅 Azure 门户 通过 API、Logic 应用 playbook 或通过 Azure 门户手动在 Microsoft Sentinel 中创建的事件不会同步到 Microsoft Defender 门户。 Azure 门户和 API 仍支持这些事件。
    事件:重新打开已关闭的事件 仅 Azure 门户 在 Microsoft Defender 门户中,无法在 Microsoft Sentinel 分析规则中设置警报分组,以在添加新警报时重新打开已关闭的事件。
    在这种情况下,不会重新打开已关闭的事件,新警报会触发新事件。
    事件:任务 仅 Azure 门户 任务在 Microsoft Defender 门户中不可用。

    Microsoft Sentinel 多工作管理 Defender 门户:限制为一个主要 Microsoft Sentinel 工作区

    Azure 门户:为租户集中管理多个 Microsoft Sentinel 工作区    		 在 Microsoft Defender 门户网站中,只能连接一个主要的 Microsoft Sentinel 工作区。 因此,Microsoft Defender 多租户管理支持每个租户一个主要Microsoft Sentinel 工作区。

    有关详细信息,请参阅 门户之间的功能差异