Microsoft Sentinel csatlakoztatása a Microsoft Defender portálhoz

Microsoft Sentinel általánosan elérhető a Microsoft egységes biztonsági üzemeltetési (SecOps) platformján a Microsoft Defender portálon. Amikor Microsoft Defender XDR Microsoft Sentinel a Defender portálra, egyesítheti az olyan képességeket, mint az incidenskezelés és a speciális veszélyforrás-keresés. Csökkentse az eszközök közötti váltást, és hozzon létre egy környezetközpontúbb vizsgálatot, amely felgyorsítja az incidensmegoldást, és gyorsabban leállítja a biztonsági incidenseket. További információ:

• Blogbejegyzés: A Microsoft egységes biztonsági üzemeltetési platformjának általános elérhetősége
• Blogbejegyzés: Az egyesített biztonsági műveleti platformmal kapcsolatos gyakori kérdések
• Microsoft Sentinel a Microsoft Defender portálon
• Microsoft Defender XDR integráció a Microsoft Sentinel

Előzetes verzióként a Microsoft Sentinel Microsoft Defender XDR vagy E5 licenc nélkül érhető el a Defender portálon.

Előfeltételek

Mielőtt hozzákezdene, tekintse át a funkciódokumentációt a termék változásainak és korlátozásainak megismeréséhez.

• Microsoft Sentinel a Microsoft Defender portálon
• Speciális veszélyforrás-keresés a Microsoft Defender portálon
• Riasztások, incidensek és korreláció a Microsoft Defender XDR
• Automatizálás az egységes biztonsági üzemeltetési platformmal

A Microsoft Defender portál egyszerre egyetlen Microsoft Entra bérlőt és egy munkaterülethez való csatlakozást támogat. A cikk kontextusában a munkaterületek olyan Log Analytics-munkaterületek, amelyeken engedélyezve van a Microsoft Sentinel.

Microsoft Sentinel előfeltételek

A Microsoft Sentinel a Defender portálon való előkészítéséhez és használatához a következő erőforrásokkal és hozzáféréssel kell rendelkeznie:

• Olyan Log Analytics-munkaterület, amely Microsoft Sentinel engedélyezve van

• Az Microsoft Defender XDR adatösszekötője az incidensek és riasztások Microsoft Sentinel engedélyezve van. Telepítse a Defender XDR megoldást, és konfigurálja az adatösszekötőt a Microsoft Sentinel a Defender portálhoz való csatlakoztatásához. További információ: Microsoft Sentinel beépített tartalom felderítése és kezelése. Az Defender XDR adatösszekötőben az incidensek és riasztások csatlakoztatásának konfigurációs lehetősége ki van kapcsolva és le van tiltva, miután előkészítette Microsoft Sentinel a Defender portálra.

• Egy Azure-fiók, amely a megfelelő szerepkörökkel rendelkezik az Microsoft Sentinel támogatási kéréseinek előkészítéséhez, használatához és létrehozásához a Defender portálon. A Defender portálon nem jelennek meg olyan munkaterületek, amelyek előkészítéséhez nem rendelkezik a szükséges engedélyekkel. Az alábbi táblázat néhány fontos szerepkört emel ki.

  Feladat	Microsoft Entra vagy beépített Azure-szerepkör szükséges	Kiterjedés
  Microsoft Sentinel előkészítése a Defender portálra	globális rendszergazda vagy biztonsági rendszergazda a Microsoft Entra ID-ben	Bérlő
  Munkaterület csatlakoztatása vagy leválasztása Microsoft Sentinel engedélyezve	Tulajdonos vagy felhasználói hozzáférés rendszergazdája és Microsoft Sentinel közreműködő	– Előfizetés tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörökhöz – Előfizetés, erőforráscsoport vagy munkaterület erőforrása Microsoft Sentinel Közreműködő számára
  Microsoft Sentinel megtekintése a Defender portálon	Microsoft Sentinel Olvasó	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Adattáblák lekérdezése Sentinel vagy incidensek megtekintése	Microsoft Sentinel Olvasó vagy szerepkör a következő műveletekkel: Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Vizsgálati műveletek végrehajtása incidensekkel kapcsolatban	Microsoft Sentinel Közreműködő vagy szerepkör a következő műveletekkel: Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Előfizetés, erőforráscsoport vagy munkaterület erőforrása
  Támogatási kérelem létrehozása	Tulajdonos vagy közreműködő vagy támogatási kérelem közreműködője vagy egyéni szerepkör a Microsoft.Support/* használatával	Előfizetés

  Miután csatlakoztatta Microsoft Sentinel a Defender portálhoz, a meglévő Azure-beli szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyei lehetővé teszik, hogy azokkal a Microsoft Sentinel funkciókkal dolgozzon, amelyekhez hozzáféréssel rendelkezik. Folytassa a Microsoft Sentinel-felhasználók szerepköreinek és engedélyeinek kezelését a Azure Portal. Az Azure RBAC módosításai a Defender portálon is megjelennek. Az Microsoft Sentinel engedélyekkel kapcsolatos további információkért lásd: Szerepkörök és engedélyek a Microsoft Sentinel | Microsoft Learn és Microsoft Sentinel adatokhoz való hozzáférés kezelése erőforrásonként | Microsoft Learn.

A Microsoft egységes SecOps-platformjának előfeltételei

A Microsoft egységesített SecOps platformjának Defender XDR funkcióinak egységesítéséhez a következő erőforrásokkal és hozzáféréssel kell rendelkeznie:

• A Defender XDR licencelése Microsoft Defender XDR előfeltételekben leírtak szerint
• Az Defender XDR fiókja ugyanannak a Microsoft Entra bérlőnek a tagja, amelyhez Microsoft Sentinel társítva van
• Hozzáférés a Microsoft Defender XDR a Defender portálon az Microsoft Defender XDR előfeltételeiben leírtak szerint

Microsoft Sentinel előkészítése

Ha egy Microsoft Sentinel-munkaterületet szeretne csatlakoztatni a Defender portálhoz, hajtsa végre az alábbi lépéseket. Ha Microsoft Sentinel Defender XDR (előzetes verzió) nélkül készít elő, egy további lépéssel aktiválhatja a kapcsolatot a Microsoft Sentinel és a Defender portállal.

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.
2. Microsoft Sentinel előkészítése Defender XDR nélkül a Defender portálon:
   1. A Microsoft Sentinel való kapcsolat aktiválásához válassza a Vizsgálat & incidensek lehetőséget>.
   2. Várjon néhány percet, amíg a kapcsolat befejeződik.
3. A Defender portálon válassza az Áttekintés lehetőséget.
4. Válassza a Munkaterület csatlakoztatása lehetőséget.
5. Válassza ki a csatlakoztatni kívánt munkaterületet, és válassza a Tovább gombot.
6. Olvassa el és ismerje meg a munkaterület csatlakoztatásával kapcsolatos termékmódosításokat.
7. Válassza a Csatlakozás lehetőséget.

A munkaterület csatlakoztatása után az Áttekintés lapon látható szalagcímen látható, hogy a környezet készen áll. Az Áttekintés lap új szakaszokkal frissül, amelyek olyan metrikákat tartalmaznak Microsoft Sentinel, mint az adatösszekötők száma és az automatizálási szabályok.

A Defender portál Microsoft Sentinel funkcióinak megismerése

Miután csatlakoztatta a munkaterületet a Defender portálhoz, Microsoft Sentinel a bal oldali navigációs panelen található. Ha Defender XDR engedélyezve van, az olyan oldalak, mint az Áttekintés, az Incidensek és a Speciális veszélyforrás-keresés, egyesített adatokat Microsoft Sentinel és Defender XDR. Ha nincs engedélyezve Defender XDR, ezek a lapok csak Microsoft Sentinel (előzetes verzió) adatait tartalmazzák. Az egyesített funkciókról és a portálok közötti különbségekről további információt a Microsoft Sentinel a Microsoft Defender portálon című témakörben talál.

Számos meglévő Microsoft Sentinel funkció integrálva van a Defender portálba. Ezeknél a funkcióknál megfigyelheti, hogy a Azure Portal és a Defender portál Microsoft Sentinel közötti élmény hasonló. Az alábbi cikkek segítségével elkezdheti használni a Microsoft Sentinel a Defender portálon. A cikkek használatakor vegye figyelembe, hogy ebben a környezetben a kiindulási pont a Defender portál, nem pedig a Azure Portal.

• Keresés
  • Keresés hosszú időtartományokban nagy adathalmazokban
  • Archivált naplók visszaállítása a keresésből
• Veszélyforrások kezelése
  • Adatok megjelenítése és monitorozása munkafüzetek használatával
  • Teljes körű veszélyforrás-keresés végrehajtása a Hunts használatával
  • Veszélyforrás-keresési könyvjelzők használata adatvizsgálatokhoz
  • Veszélyforrás-keresés élő közvetítése a Microsoft Sentinel-ben a fenyegetés észleléséhez
  • Biztonsági fenyegetések keresése Jupyter-notebookokkal
  • Jelölők tömeges hozzáadása Microsoft Sentinel fenyegetésfelderítéshez CSV- vagy JSON-fájlból
  • Veszélyforrás-jelzők Microsoft Sentinel
  • A MITRE ATT&CK-keretrendszer biztonsági lefedettségének ismertetése
• Tartalomkezelő
  • Microsoft Sentinel beépített tartalom felderítése és kezelése
  • tartalomközpont-katalógus Microsoft Sentinel
  • Egyéni tartalom üzembe helyezése az adattárból
• Konfiguráció
  • A Microsoft Sentinel adatösszekötő megkeresése
  • Egyéni elemzési szabályok létrehozása a fenyegetések észleléséhez
  • Közel valós idejű (NRT) észlelési elemzési szabályok használata Microsoft Sentinel
  • Figyelőlisták létrehozása
  • Figyelőlisták kezelése Microsoft Sentinel
  • Automatizálási szabályok létrehozása
  • Microsoft Sentinel forgatókönyvek létrehozása és testreszabása tartalomsablonokból

Keresse meg Microsoft Sentinel beállításokat a Defender portál Rendszerbeállítások>>területén Microsoft Sentinel.

Microsoft Sentinel kivezetése

Egyszerre csak egy munkaterület csatlakoztatható a Defender portálhoz. Ha egy másik, Microsoft Sentinel engedélyezett munkaterülethez szeretne csatlakozni, bontsa le az aktuális munkaterületet, és csatlakoztassa a másik munkaterületet.

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. A Defender portál Rendszer területén válassza a Beállítások>Microsoft Sentinel lehetőséget.

3. A Munkaterületek lapon válassza ki a csatlakoztatott munkaterületet és a Munkaterület leválasztása lehetőséget.

4. Adja meg a munkaterület leválasztásának okát.

5. Erősítse meg a kijelölést.

   A munkaterület leválasztásakor a Microsoft Sentinel szakasz el lesz távolítva a Defender portál bal oldali navigációs sávjából. A Microsoft Sentinel adatai már nem szerepelnek az Áttekintés lapon.

Ha egy másik munkaterülethez szeretne csatlakozni, a Munkaterületek lapon válassza ki a munkaterületet, majd a Munkaterület csatlakoztatása lehetőséget.

Kapcsolódó tartalom

• Microsoft Sentinel a Microsoft Defender portálon
• Speciális veszélyforrás-keresés a Microsoft Defender portálon
• Automatikus támadáskimaradás Microsoft Defender XDR
• Incidensek vizsgálata Microsoft Defender portálon
• A biztonsági műveletek optimalizálása