练习 - 将Microsoft Sentinel 连接到 Microsoft Defender XDR

  • 15 分钟

你是一名安全运营分析师,该公司部署了 Microsoft Defender XDR 和 Microsoft Sentinel。 您需要在 Microsoft Defender 门户中为 Microsoft Sentinel 做准备,通过将 Microsoft Sentinel 连接到 Defender XDR.

在本练习中,你将执行以下任务:

  • 安装 Microsoft Defender XDR 内容中心解决方案。
  • 部署 Microsoft Sentinel 连接器,将 Microsoft Sentinel 连接到 Microsoft Defender XDR。
  • 将Microsoft Sentinel 连接到 Microsoft Defender XDR。
  • 在 Microsoft Defender XDR 门户中浏览 Microsoft Sentinel 功能。

注释

本练习的环境是从产品生成的模拟环境。 由于是有限的模拟,因此页面上的链接可能未启用,并且不支持超出指定脚本范围的文本输入。 将显示一条弹出消息,指出“此功能在模拟中不可用。发生这种情况时,请选择“确定”并继续执行练习步骤。

弹出屏幕的屏幕截图,指示此功能在模拟中不可用。

任务 1:连接 Defender XDR

在此任务中,你将部署 Microsoft Defender XDR 连接器。

  1. 在 Microsoft Edge 浏览器中,通过选择以下链接打开模拟环境: Azure 门户

  2. 在 Azure 门户 主页 上,选择 Microsoft Sentinel 图标。

  3. Microsoft Sentinel 页上,选择 Woodgrove-LogAnalyiticWorkspace 工作区。

  4. 在“Microsoft Sentinel 导航菜单中,向下滚动并展开 ”内容管理 “部分。 然后选择 “内容中心”。

  5. 在“内容中心”,搜索“Microsoft Defender XDR”解决方案,并从列表中选择它。

  6. 在“Microsoft Defender XDR”解决方案详细信息页上,选择“安装”

  7. 安装完成后,搜索 Microsoft Defender XDR 解决方案并选择它。

  8. 在“Microsoft Defender XDR”解决方案详细信息页上,选择“管理”

  9. 选中“Microsoft Defender XDR 数据连接器”复选框,然后选择“打开连接器页面”。

  10. “配置 ”部分的“ 说明 ”选项卡下,选择 “连接事件和警报 ”按钮。

  11. 应会看到一条指示连接成功的消息。

任务 2:连接Microsoft Sentinel 和 Microsoft Defender XDR

在此任务中,请继续模拟并将 Microsoft Sentinel 工作区连接到 Microsoft Defender XDR。

  1. 导航回到Microsoft Sentinel 内容中心 (使用页面顶部的“痕迹导航”菜单链接),然后从导航菜单“常规”部分选择“ 概述”(预览 )。

  2. 选择“在一个位置获取 SIEM 和 XDR”信息上的“了解详细信息”按钮。

    SIEM 和 XDR 的屏幕截图,了解更多按钮信息。

  3. 选择“ 了解详细信息 ”按钮将在浏览器中为 Microsoft Defender XDR 门户打开一个新选项卡。

  4. Defender Defender 门户 主页 屏幕上,您应该会看到顶部有显示消息的横幅:在一个位置集中获取 SIEM 和 XDR。 选择“连接工作区”按钮。

    Defender XDR Connect 工作区按钮的屏幕截图。

  5. 在“ 选择工作区 ”页上,选择 woodgrove-loganalyiticsworkspace Microsoft Sentinel 工作区。

  6. 选择“下一步”按钮。

  7. “设置主工作区 ”页上,应在下拉菜单中看到 woodgrove-loganalyiticsworkspace Microsoft Sentinel 工作区。 选择“下一步”按钮。

  8. 审阅和完成页面上,确认工作区选择是否正确,并查看工作区连接后的注意事项部分中的项目符号内容。 选择“连接”按钮

  9. 会出现消息“即将连接工作区”。 选择“连接”按钮

  10. 现在应位于 “工作区已成功连接 ”页上。

  11. 选择关闭按钮。

    已成功连接的 Defender XDR 工作区页面的屏幕截图。

  12. 在“Defender XDR”门户的“主页”屏幕上,应该会在顶部看到一个横幅,其中显示消息“你的统一 SIEM 和 XDR 已准备就绪”。 选择“开始搜寻”按钮

  13. 在“高级搜寻”中,会出现一条消息“浏览 Microsoft Sentinel 中的内容”。 在 “高级搜寻 导航”菜单中,可以在相应的选项卡下找到 Microsoft Sentinel 表、函数和查询。

  14. 架构 选项卡下滚动到 Microsoft Sentinel 标题,然后双击 ThreatIntelligenceIndicator 表。

  15. “查询 ”窗格中,应会看到返回威胁情报指示器的 (KQL) 查询。 选择“运行查询”按钮

    Defender XDR Sentinel 高级搜寻表的屏幕截图。

  16. 如果左侧主菜单窗格已折叠,请展开它,然后展开新的 Microsoft Sentinel 菜单项。 应会看到 “搜索”、“ 威胁管理”、“ 内容管理”和 “配置” 选择。

    注释

    Azure Microsoft Sentinel 门户和 Microsoft Defender XDR Sentinel 门户之间存在功能差异,请参阅门户功能差异

  17. 从 Microsoft Defender XDR Microsoft Sentinel 菜单项中,选择 “配置 ”和“ 数据连接器”。

  18. “数据连接器”页中,您应会看到Azure 活动和其他已连接状态的数据连接器被列出。

注释

可以随意浏览和比较其他Microsoft Sentinel 功能,但由于这是一种模拟,因此,在 Microsoft Defender 门户中浏览 Microsoft Sentinel 的能力受到限制。 在实际环境中,你将能够在 Microsoft Defender 门户中探索完整的 Microsoft Sentinel 功能。