Microsoft Sentinel на портале Microsoft Defender
В этой статье описывается интерфейс Microsoft Sentinel на портале Microsoft Defender. Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender с XDR в Microsoft Defender. Дополнительные сведения см. в разделе:
- Запись блога: общая доступность платформы унифицированных операций безопасности Майкрософт
- Запись блога: часто задаваемые вопросы о единой платформе операций безопасности
- Подключение Microsoft Sentinel к XDR в Microsoft Defender
- Поддержка функций Microsoft Sentinel для коммерческих и других облаков Azure
Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5.
Новые и улучшенные возможности
В следующей таблице описываются новые или улучшенные возможности, доступные на портале Defender с интеграцией Microsoft Sentinel. Корпорация Майкрософт продолжает внедрять новые возможности с функциями, которые могут быть эксклюзивными на портале Defender.
| Capabilities | Description |
|---|---|
| Расширенная охота | Запрос с одного портала в разных наборах данных, чтобы повысить эффективность охоты и удалить необходимость переключения контекста. Используйте Copilot для обеспечения безопасности, чтобы создать KQL. Просмотр и запрос всех данных, включая данные из служб безопасности Майкрософт и Microsoft Sentinel. Используйте все существующие содержимое рабочей области Microsoft Sentinel, включая запросы и функции. Дополнительные сведения см. в следующих статьях: - Расширенная охота на портале Microsoft Defender - Безопасность Copilot в расширенной охоте |
| Оптимизация SOC | Получите рекомендации с высокой точностью и действиями, чтобы помочь вам определить области: — сокращение затрат — добавление элементов управления безопасностью — добавление отсутствующих данных Оптимизации SOC доступны в Defender и портал Azure, адаптированы к вашей среде и основаны на текущем охвате и ландшафте угроз. Дополнительные сведения см. в следующих статьях: - Оптимизация операций безопасности - Справочник по оптимизации SOC рекомендаций |
| Microsoft Copilot в Microsoft Defender | При расследовании инцидентов на портале Defender - Создание сводки по инцидентам - Анализ скриптов - Анализ файлов - Создание отчетов об инцидентах При поиске угроз в расширенной охоте создайте готовые запросы KQL с помощью помощника по запросу. Дополнительные сведения см. в статье Microsoft Security Copilot в расширенной охоте. |
В следующей таблице описаны дополнительные возможности, доступные на портале Defender с интеграцией Microsoft Sentinel и XDR в Microsoft Defender в рамках единой платформы операций безопасности Майкрософт.
| Capabilities | Description |
|---|---|
| Нарушение атаки | Разверните автоматическое нарушение атаки для SAP с помощью портала Defender и решения Microsoft Sentinel для приложений SAP. Например, содержат скомпрометированные активы путем блокировки подозрительных пользователей SAP в случае атаки на финансовые процессы. Возможности нарушения атак для SAP доступны только на портале Defender. Чтобы использовать нарушение атаки для SAP, обновите версию агента соединителя данных и убедитесь, что соответствующая роль Azure назначена удостоверению агента. Дополнительные сведения см. в разделе "Автоматическое нарушение атак" для SAP. |
| Унифицированные сущности | Страницы сущностей для устройств, пользователей, IP-адресов и ресурсов Azure на портале Defender отображают сведения из источников данных Microsoft Sentinel и Defender. Эти страницы сущностей предоставляют расширенный контекст для расследования инцидентов и оповещений на портале Defender. Дополнительные сведения см. в статье "Исследование сущностей с помощью страниц сущностей в Microsoft Sentinel". |
| Унифицированные инциденты | Управление и изучение инцидентов безопасности в одном расположении и из одной очереди на портале Defender. Используйте Службу безопасности Copilot, чтобы суммировать, отвечать и сообщать. К инцидентам относятся: — данные из широты источников — средства аналитики ИИ для управления информационной безопасностью и событиями (SIEM) — Средства для устранения контекста и устранения рисков, предлагаемые расширенным обнаружением и ответом (XDR) Дополнительные сведения см. в следующих статьях: - Реагирование на инциденты на портале Microsoft Defender - Исследование инцидентов Microsoft Sentinel в Безопасности Copilot |
| Microsoft Copilot в Microsoft Defender | При расследовании инцидентов с Microsoft Sentinel, интегрированных с XDR Defender, - Изучение инцидентов и изучение инцидентов с помощью интерактивных ответов - Сводка сведений об устройстве - Сводка сведений об удостоверениях Сводные сведения о соответствующих угрозах, влияющих на вашу среду, для определения приоритетов по устранению угроз на основе уровней риска или поиска субъектов угроз, которые могут быть нацелены на вашу отрасль с помощью Copilot в аналитике угроз. Дополнительные сведения см. в статье Об использовании Microsoft Security Copilot для аналитики угроз. |
Различия возможностей между порталами
Большинство возможностей Microsoft Sentinel доступны на порталах Azure и Defender. На портале Defender некоторые возможности Microsoft Sentinel открываются в портал Azure для выполнения задачи.
В этом разделе рассматриваются возможности Или интеграции Microsoft Sentinel, доступные только на портале портал Azure или Defender или других существенных различиях между порталами. Он исключает возможности Microsoft Sentinel, которые открывают портал Azure на портале Defender.
| Возможность | Availability | Description |
|---|---|---|
| Расширенная охота с помощью закладок | Только портал Azure | Закладки не поддерживаются в расширенном режиме охоты на портале Microsoft Defender. На портале Defender они поддерживаются в Службе управления > угрозами Microsoft Sentinel>. Дополнительные сведения см. в статье "Отслеживание данных во время охоты с помощью Microsoft Sentinel". |
| Нарушение атак для SAP | Портал Defender только с XDR Defender | Эта функция недоступна в портал Azure. Дополнительные сведения см. в статье "Автоматическое нарушение атак" на портале Microsoft Defender. |
| Автоматизация | Некоторые процедуры автоматизации доступны только в портал Azure. Другие процедуры автоматизации одинаковы в Defender и портал Azure, но отличаются в портал Azure между рабочими областями, подключенными к порталу Defender и рабочим областям, которые не являются. |
Дополнительные сведения см. в разделе автоматизации с помощью единой платформы операций безопасности. |
| Соединители данных: видимость соединителей, используемых платформой унифицированных операций безопасности | Только портал Azure | На портале Defender после подключения Microsoft Sentinel на странице соединителей данных не отображаются следующие соединители данных, которые являются частью единой платформы операций безопасности. В портал Azure эти соединители данных по-прежнему перечислены с установленными соединителями данных в Microsoft Sentinel. |
| Сущности: добавление сущностей в аналитику угроз из инцидентов | Только портал Azure | Эта функция недоступна на портале Defender. Дополнительные сведения см. в разделе "Добавление сущности в индикаторы угроз". |
| Fusion: расширенное обнаружение многоэтапных атак | Только портал Azure | Правило аналитики Fusion, которое создает инциденты на основе корреляций оповещений, сделанных подсистемой корреляции Fusion, отключается при подключении Microsoft Sentinel к порталу Defender. На портале Defender используются функции создания инцидентов и корреляции в Microsoft Defender XDR для замены функций подсистемы Fusion. Дополнительные сведения см. в статье "Расширенное обнаружение многоэтапных атак" в Microsoft Sentinel |
| Инциденты: добавление оповещений в инциденты / Удаление оповещений из инцидентов |
Только портал Defender | После подключения Microsoft Sentinel к порталу Defender вы больше не сможете добавлять оповещения или удалять оповещения из портал Azure. Вы можете удалить оповещение из инцидента на портале Defender, но только связав оповещение с другим инцидентом (существующим или новым). |
| Инциденты: редактирование комментариев | Только портал Azure | После подключения Microsoft Sentinel к порталу Defender можно добавить комментарии к инцидентам на любом портале, но не удается изменить существующие комментарии. Изменения, внесенные в комментарии в портал Azure, не синхронизируются с порталом Defender. |
| Инциденты: программное и ручное создание инцидентов | Только портал Azure | Инциденты, созданные в Microsoft Sentinel через API, сборник схем приложений логики или вручную из портал Azure, не синхронизируются с порталом Defender. Эти инциденты по-прежнему поддерживаются в портал Azure и API. См. статью "Создание собственных инцидентов" вручную в Microsoft Sentinel. |
| Инциденты: повторное открытие закрытых инцидентов | Только портал Azure | На портале Defender нельзя задать группирование оповещений в правилах аналитики Microsoft Sentinel, чтобы повторно открыть закрытые инциденты при добавлении новых оповещений. Закрытые инциденты не повторно открываются в этом случае, а новые оповещения активируют новые инциденты. |
| Инциденты: задачи | Только портал Azure | Задачи недоступны на портале Defender. Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel". |
| Управление несколькими рабочими областями для Microsoft Sentinel | Портал Defender: ограничено одной рабочей областью Microsoft Sentinel для каждого клиента портал Azure. Централизованное управление несколькими рабочими областями Microsoft Sentinel для клиентов |
В настоящее время на портале Defender поддерживается только одна рабочая область Microsoft Sentinel для каждого клиента. Таким образом, мультитенантное управление Microsoft Defender поддерживает одну рабочую область Microsoft Sentinel для каждого клиента. Дополнительные сведения см. в следующих статьях: — портал Defender: мультитенантное управление Microsoft Defender — портал Azure. Управление несколькими рабочими областями Microsoft Sentinel с помощью диспетчера рабочих областей |
Ограниченные или недоступные возможности
При подключении Microsoft Sentinel к порталу Defender без поддержки XDR Defender или других служб следующие функции, которые отображаются на портале Defender, в настоящее время ограничены или недоступны.
| Возможность | Требуется служба |
|---|---|
| Управление экспозицией | Управление воздействием безопасности Майкрософт |
| Настраиваемые правила обнаружения | Microsoft Defender XDR |
| Центр уведомлений | Microsoft Defender XDR |
Следующие ограничения также применяются к Microsoft Sentinel на портале Defender без поддержки XDR Defender или других служб:
- Новые клиенты Microsoft Sentinel не могут подключить рабочую область Log Analytics, созданную в регионе Израиль. Чтобы подключиться к порталу Defender, создайте другую рабочую область для Microsoft Sentinel в другом регионе.
- Клиенты, использующие аналитику поведения пользователей и сущностей Microsoft Sentinel (UEBA), предоставляются с ограниченной версией таблицы IdentityInfo.
Краткий справочник
Некоторые возможности Microsoft Sentinel, такие как единая очередь инцидентов, интегрируются с Microsoft Defender XDR на платформе унифицированных операций безопасности Майкрософт. Многие другие возможности Microsoft Sentinel доступны в разделе Microsoft Sentinel на портале Defender.
На следующем рисунке показано меню Microsoft Sentinel на портале Defender:
В следующих разделах описывается, где найти функции Microsoft Sentinel на портале Defender. Разделы организованы по мере того, как Microsoft Sentinel находится в портал Azure.
Общие
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Общие" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Обзор | Обзор |
| Журналы | Исследование и реагирование > охота > расширенный охоты |
| Новости и руководства | Недоступно |
| Поиск (Search) | Поиск Microsoft Sentinel > |
Управление угрозами
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Управление угрозами" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Инциденты | Исследование и реагирование > на инциденты и оповещения > инцидентов |
| Workbooks | Книги По управлению> угрозами Microsoft Sentinel > |
| Охота | Поиск управления угрозами > Microsoft Sentinel > |
| Записные книжки | Записные книжки для управления > угрозами Microsoft Sentinel > |
| Поведение сущностей | Страница сущности пользователя: события Assets > Удостоверений> {user}> Sentinel Страница сущности устройства: события Assets > Devices >{device}> Sentinel Кроме того, найдите страницы сущностей для пользователей, устройств, IP-адресов и сущностей ресурсов Azure из инцидентов и оповещений по мере их появления. |
| Аналитика угроз | Аналитика угроз microsoft Sentinel > Threat Management > |
| MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Управление содержимым
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела управления контентом в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Центр содержимого | Центр содержимого управления > содержимым Microsoft Sentinel > |
| Репозитории | Репозитории управления > содержимым Microsoft Sentinel > |
| Сообщество | Сообщество по управлению контентом > Microsoft Sentinel > |
Настройка
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Конфигурация" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Диспетчер рабочей области | Недоступно |
| Соединители данных | Соединители данных конфигурации > Microsoft Sentinel > |
| Аналитика | Аналитика конфигурации > Microsoft Sentinel > |
| Списки отслеживания | Списки отслеживания конфигурации > Microsoft Sentinel > |
| Автоматизация | Автоматизация конфигурации > Microsoft Sentinel > |
| Настройки | Системные > > параметры Microsoft Sentinel |