Microsoft Sentinel di portal Microsoft Defender
Artikel ini menjelaskan pengalaman Microsoft Azure Sentinel di portal Pertahanan Microsoft. Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft dengan Pertahanan Microsoft XDR. Untuk informasi selengkapnya, lihat:
- Posting blog: Ketersediaan umum platform operasi keamanan terpadu Microsoft
- Posting blog: Tanya jawab umum tentang platform operasi keamanan terpadu
- Menyambungkan Microsoft Sentinel ke Pertahanan Microsoft XDR
- Dukungan fitur Microsoft Azure Sentinel untuk cloud komersial/lainnya Azure
Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5.
Kemampuan baru dan yang ditingkatkan
Tabel berikut ini menjelaskan kemampuan baru atau yang ditingkatkan yang tersedia di portal Defender dengan integrasi Microsoft Sentinel. Microsoft terus berinovasi dalam pengalaman baru ini dengan fitur yang mungkin eksklusif untuk portal Defender.
| Kemampuan | Deskripsi |
|---|---|
| Perburuan tingkat lanjut | Kueri dari satu portal di berbagai himpunan data untuk membuat perburuan lebih efisien dan menghapus kebutuhan akan peralihan konteks. Gunakan Copilot Keamanan untuk membantu menghasilkan KQL Anda. Menampilkan dan mengkueri semua data termasuk data dari layanan keamanan Microsoft dan Microsoft Azure Sentinel. Gunakan semua konten ruang kerja Microsoft Azure Sentinel yang sudah ada, termasuk kueri dan fungsi. Untuk informasi lebih lanjut, baca artikel berikut: - Perburuan tingkat lanjut di portal Pertahanan Microsoft - Copilot Keamanan dalam perburuan tingkat lanjut |
| Manajemen kasus | Kelola kasus SecOps secara asli di portal Defender tanpa kehilangan konteks keamanan. Tentukan alur kerja kasus Anda sendiri dengan nilai status kustom. Tetapkan tugas ke kolaborator dan konfigurasikan tanggal jatuh tempo. Tangani eskalasi dan kasus kompleks dengan menautkan beberapa insiden ke kasus. Untuk informasi selengkapnya, lihat Mengelola kasus secara asli di platform operasi keamanan terpadu Microsoft. |
| Microsoft Copilot di Pertahanan Microsoft | Saat menyelidiki insiden di portal Defender, - Meringkas insiden - Menganalisis skrip - Menganalisis file - Membuat laporan insiden Saat berburu ancaman dalam perburuan tingkat lanjut, buat kueri KQL yang siap dijalankan dengan menggunakan asisten kueri. Untuk informasi selengkapnya, lihat Microsoft Security Copilot dalam perburuan tingkat lanjut. |
| Pengoptimalan SOC | Dapatkan rekomendasi dengan keakuratan tinggi dan dapat ditindaklanjuti untuk membantu Anda mengidentifikasi area untuk: - Mengurangi biaya - Menambahkan kontrol keamanan - Tambahkan data yang hilang Pengoptimalan SOC tersedia di Defender dan portal Azure, disesuaikan dengan lingkungan Anda, dan didasarkan pada cakupan dan lanskap ancaman Anda saat ini. Untuk informasi lebih lanjut, baca artikel berikut: - Mengoptimalkan operasi keamanan Anda - Menggunakan pengoptimalan SOC secara terprogram - Referensi pengoptimalan SOC rekomendasi |
Tabel berikut ini menjelaskan kemampuan tambahan yang tersedia di portal Defender dengan integrasi Microsoft Sentinel dan Microsoft Defender XDR sebagai bagian dari platform operasi keamanan terpadu Microsoft.
| Kemampuan | Deskripsi |
|---|---|
| Gangguan serangan | Terapkan gangguan serangan otomatis untuk SAP dengan portal Defender dan solusi Microsoft Sentinel untuk aplikasi SAP. Misalnya, berisi aset yang disusupi dengan mengunci pengguna SAP yang mencurigakan jika terjadi serangan manipulasi proses keuangan. Kemampuan gangguan serangan untuk SAP hanya tersedia di portal Defender. Untuk menggunakan gangguan serangan untuk SAP, perbarui versi agen konektor data Anda dan pastikan bahwa peran Azure yang relevan ditetapkan ke identitas agen Anda. Untuk informasi selengkapnya, lihat Gangguan serangan otomatis untuk SAP. |
| Entitas terpadu | Halaman entitas untuk perangkat, pengguna, alamat IP, dan sumber daya Azure di portal Defender menampilkan informasi dari sumber data Microsoft Azure Sentinel dan Defender. Halaman entitas ini memberi Anda konteks yang diperluas untuk penyelidikan insiden dan pemberitahuan Anda di portal Defender. Untuk informasi selengkapnya, lihat Menyelidiki entitas dengan halaman entitas di Microsoft Azure Sentinel. |
| Insiden terpadu | Kelola dan selidiki insiden keamanan di satu lokasi dan dari satu antrean di portal Defender. Gunakan Salinan Keamanan untuk meringkas, merespons, dan melaporkan. Insiden meliputi: - Data dari luasnya sumber - Alat analitik AI informasi keamanan dan manajemen peristiwa (SIEM) - Alat konteks dan mitigasi yang ditawarkan oleh deteksi dan respons yang diperluas (XDR) Untuk informasi lebih lanjut, baca artikel berikut: - Respons insiden di portal Pertahanan Microsoft - Menyelidiki insiden Microsoft Sentinel di Salinan Keamanan |
| Microsoft Copilot di Pertahanan Microsoft | Saat menyelidiki insiden dengan Microsoft Sentinel yang terintegrasi dengan Defender XDR, - Triase dan selidiki insiden dengan respons terpandu - Meringkas informasi perangkat - Meringkas informasi identitas Ringkas ancaman relevan yang memengaruhi lingkungan Anda, untuk memprioritaskan penyelesaian ancaman berdasarkan tingkat paparan Anda, atau untuk menemukan pelaku ancaman yang mungkin menargetkan industri Anda dengan menggunakan Salinan Keamanan dalam inteligensi ancaman. Untuk informasi selengkapnya, lihat Menggunakan Microsoft Security Copilot untuk inteligensi ancaman. |
Perbedaan kemampuan antar portal
Sebagian besar kemampuan Microsoft Azure Sentinel tersedia di portal Azure dan Defender. Di portal Pertahanan, beberapa pengalaman Microsoft Azure Sentinel terbuka untuk portal Azure bagi Anda untuk menyelesaikan tugas.
Bagian ini mencakup kemampuan atau integrasi Microsoft Azure Sentinel yang hanya tersedia di portal portal Azure atau Defender atau perbedaan signifikan lainnya antara portal. Ini mengecualikan pengalaman Microsoft Azure Sentinel yang membuka portal Azure dari portal Defender.
| Kemampuan | Ketersediaan | Deskripsi |
|---|---|---|
| Perburuan tingkat lanjut menggunakan marka buku | Hanya portal Azure | Marka buku tidak didukung dalam pengalaman berburu tingkat lanjut di portal Microsoft Defender. Di portal Defender, mereka didukung dalam Perburuan manajemen > Ancaman Microsoft Sentinel>. Untuk informasi selengkapnya, lihat Melacak data selama berburu dengan Microsoft Sentinel. |
| Gangguan serangan untuk SAP | Portal Defender hanya dengan Defender XDR | Fungsionalitas ini tidak tersedia di portal Azure. Untuk informasi selengkapnya, lihat Gangguan serangan otomatis di portal Pertahanan Microsoft. |
| Automation | Beberapa prosedur otomatisasi hanya tersedia di portal Azure. Prosedur otomatisasi lainnya sama di Defender dan portal Azure, tetapi berbeda dalam portal Azure antara ruang kerja yang di-onboard ke portal Defender dan ruang kerja yang tidak. |
Untuk informasi selengkapnya, lihat Automation dengan platform operasi keamanan terpadu. |
| Konektor data: visibilitas konektor yang digunakan oleh platform operasi keamanan terpadu | Hanya portal Azure | Di portal Defender, setelah Anda melakukan onboarding Microsoft Sentinel, konektor data berikut yang merupakan bagian dari platform operasi keamanan terpadu tidak ditampilkan di halaman Konektor data : Dalam portal Azure, konektor data ini masih tercantum dengan konektor data yang diinstal di Microsoft Azure Sentinel. |
| Entitas: Menambahkan entitas ke inteligensi ancaman dari insiden | Hanya portal Azure | Fungsionalitas ini tidak tersedia di portal Defender. Untuk informasi selengkapnya, lihat Menambahkan entitas ke indikator ancaman. |
| Fusion: Deteksi serangan multistage tingkat lanjut | Hanya portal Azure | Aturan analitik Fusion, yang membuat insiden berdasarkan korelasi pemberitahuan yang dibuat oleh mesin korelasi Fusion, dinonaktifkan saat Anda onboard Microsoft Sentinel ke portal Pertahanan. Portal Defender menggunakan fungsionalitas pembuatan insiden dan korelasi Microsoft Defender XDR untuk menggantikan fungsionalitas mesin Fusion. Untuk informasi selengkapnya, lihat Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel |
| Insiden: Menambahkan pemberitahuan ke insiden / Menghapus pemberitahuan dari insiden |
Hanya portal Defender | Setelah onboarding Microsoft Azure Sentinel ke portal Pertahanan, Anda tidak dapat lagi menambahkan pemberitahuan ke, atau menghapus pemberitahuan dari insiden di portal Azure. Anda dapat menghapus pemberitahuan dari insiden di portal Defender, tetapi hanya dengan menautkan pemberitahuan ke insiden lain (yang sudah ada atau baru). |
| Insiden: Pembuatan | Setelah onboarding ke portal Defender: Insiden dibuat oleh mesin korelasi di portal Pertahanan Microsoft. | Insiden yang dibuat di portal Defender untuk pemberitahuan yang dihasilkan oleh Microsoft Sentinel memiliki nama = penyedia Insiden Microsoft Defender XDR. Setiap aturan pembuatan insiden keamanan Microsoft aktif dinonaktifkan untuk menghindari pembuatan insiden duplikat. Pengaturan pembuatan insiden di jenis aturan analitik lainnya tetap seperti sematannya, tetapi pengaturan tersebut diterapkan di portal Defender, bukan di Microsoft Azure Sentinel. Mungkin perlu waktu hingga 5 menit agar insiden Pertahanan Microsoft ditampilkan di Microsoft Sentinel. Ini tidak memengaruhi fitur yang disediakan langsung oleh Microsoft Defender, seperti gangguan serangan otomatis. Untuk informasi selengkapnya, lihat artikel berikut ini: - Insiden dan pemberitahuan di portal Pertahanan Microsoft - Korelasi pemberitahuan dan penggabungan insiden di portal Pertahanan Microsoft |
| Insiden: Mengedit komentar | Hanya portal Azure | Setelah onboarding Microsoft Sentinel ke portal Defender, Anda dapat menambahkan komentar ke insiden di salah satu portal, tetapi Anda tidak dapat mengedit komentar yang ada. Pengeditan yang dibuat untuk komentar di portal Azure tidak disinkronkan ke portal Defender. |
| Insiden: Pembuatan insiden terprogram dan manual | Hanya portal Azure | Insiden yang dibuat di Microsoft Azure Sentinel melalui API, oleh playbook Aplikasi Logika, atau secara manual dari portal Azure, tidak disinkronkan ke portal Defender. Insiden ini masih didukung di portal Azure dan API. Lihat Membuat insiden Anda sendiri secara manual di Microsoft Azure Sentinel. |
| Insiden: Membuka kembali insiden tertutup | Hanya portal Azure | Di portal Defender, Anda tidak dapat mengatur pengelompokan pemberitahuan di aturan analitik Microsoft Sentinel untuk membuka kembali insiden tertutup jika pemberitahuan baru ditambahkan. Insiden tertutup tidak dibuka kembali dalam kasus ini, dan pemberitahuan baru memicu insiden baru. |
| Insiden: Tugas | Hanya portal Azure | Tugas tidak tersedia di portal Defender. Untuk informasi selengkapnya, lihat Menggunakan tugas untuk mengelola insiden di Microsoft Azure Sentinel. |
| Beberapa manajemen ruang kerja untuk Microsoft Azure Sentinel | Portal pertahanan: Terbatas pada satu ruang kerja Microsoft Azure Sentinel per penyewa portal Azure: Mengelola beberapa ruang kerja Microsoft Azure Sentinel secara terpusat untuk penyewa |
Hanya satu ruang kerja Microsoft Azure Sentinel per penyewa yang saat ini didukung di portal Defender. Jadi, manajemen multipenyewa Microsoft Defender mendukung satu ruang kerja Microsoft Azure Sentinel per penyewa. Untuk informasi lebih lanjut, baca artikel berikut: - Portal pertahanan: Manajemen multipenyewa Pertahanan Microsoft - portal Azure: Mengelola beberapa ruang kerja Microsoft Azure Sentinel dengan manajer ruang kerja |
Kemampuan terbatas atau tidak tersedia
Saat Anda onboard Microsoft Sentinel ke portal Defender tanpa Defender XDR atau layanan lain diaktifkan, fitur berikut yang ditampilkan di portal Defender saat ini terbatas atau tidak tersedia.
| Kemampuan | Layanan diperlukan |
|---|---|
| Manajemen paparan | Manajemen Paparan Keamanan Microsoft |
| Aturan deteksi kustom | Pertahanan Microsoft XDR |
| Pusat tindakan | Pertahanan Microsoft XDR |
Batasan berikut juga berlaku untuk Microsoft Azure Sentinel di portal Defender tanpa Defender XDR atau layanan lain yang diaktifkan:
- Pelanggan Microsoft Azure Sentinel baru tidak memenuhi syarat untuk onboarding ruang kerja Analitik Log yang dibuat di wilayah Israel. Untuk onboarding ke portal Defender, buat ruang kerja lain untuk Microsoft Azure Sentinel di wilayah yang berbeda. Ruang kerja tambahan ini tidak perlu berisi data apa pun.
- Pelanggan yang menggunakan analitik perilaku pengguna dan entitas (UEBA) Microsoft Azure Sentinel disediakan dengan versi terbatas tabel IdentityInfo.
Referensi cepat
Beberapa kemampuan Microsoft Azure Sentinel, seperti antrean insiden terpadu, terintegrasi dengan Microsoft Defender XDR di platform operasi keamanan terpadu Microsoft. Banyak kemampuan Microsoft Azure Sentinel lainnya tersedia di bagian Microsoft Azure Sentinel di portal Pertahanan.
Gambar berikut menunjukkan menu Microsoft Azure Sentinel di portal Defender:
Bagian berikut menjelaskan tempat menemukan fitur Microsoft Azure Sentinel di portal Defender. Bagian diatur karena Microsoft Azure Sentinel berada di portal Azure.
Umum
Tabel berikut ini mencantumkan perubahan navigasi antara portal Azure dan Defender untuk bagian Umum di portal Azure.
| Portal Azure | Portal pertahanan |
|---|---|
| Gambaran Umum | Gambaran Umum |
| Log | Investigasi & respons > Berburu Lanjutan > |
| Berita & Panduan | Tidak tersedia |
| Cari | Pencarian Microsoft Azure Sentinel > |
Manajemen ancaman
Tabel berikut mencantumkan perubahan navigasi antara portal Azure dan Defender untuk bagian Manajemen ancaman di portal Azure.
| Portal Azure | Portal pertahanan |
|---|---|
| Insiden | Insiden Investigasi & respons > & pemberitahuan > Insiden |
| Buku kerja | Buku Kerja Manajemen> Ancaman Microsoft Azure Sentinel > |
| Berburu | Perburuan Manajemen > Ancaman Microsoft Sentinel > |
| Notebook | Notebook manajemen > Ancaman Microsoft Azure Sentinel > |
| Perilaku Entitas |
Halaman entitas pengguna: Identitas> Aset > {user}> peristiwa Sentinel Halaman entitas perangkat: Perangkat> Aset > {device}> Peristiwa Sentinel Selain itu, temukan halaman entitas untuk pengguna, perangkat, IP, dan jenis entitas sumber daya Azure dari insiden dan pemberitahuan saat muncul. |
| Inteligensi ancaman | Inteligensi Ancaman Manajemen > Ancaman Microsoft Sentinel > |
| MITRE ATT&CK | Manajemen > Ancaman Microsoft Sentinel > MITRE ATT&CK |
Manajemen konten
Tabel berikut ini mencantumkan perubahan navigasi antara portal Azure dan Defender untuk bagian Manajemen konten di portal Azure.
| Portal Azure | Portal pertahanan |
|---|---|
| Hub konten | Hub Konten Manajemen > Konten Microsoft Azure Sentinel > |
| Repositori | Repositori manajemen > Konten Microsoft Sentinel > |
| Komunitas | Komunitas Manajemen > Konten Microsoft Azure Sentinel > |
Konfigurasi
Tabel berikut ini mencantumkan perubahan navigasi antara portal Azure dan Defender untuk bagian Konfigurasi di portal Azure.
| Portal Azure | Portal pertahanan |
|---|---|
| Manajer ruang kerja | Tidak tersedia |
| Konektor data | Konektor Data Konfigurasi > Microsoft Sentinel > |
| Analitik | Analitik Konfigurasi > Microsoft Azure Sentinel > |
| Daftar Pantau | Daftar Pengawasan Konfigurasi > Microsoft Azure Sentinel > |
| Automation | Otomatisasi Konfigurasi > Microsoft Azure Sentinel > |
| Pengaturan | Pengaturan > Sistem > Microsoft Azure Sentinel |