Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender предоставляет единое решение для кибербезопасности, которое интегрирует защиту конечных точек, облачную безопасность, защиту идентификации, защиту электронной почты, аналитику угроз, управление рисками и SIEM в централизованную платформу на основе современного озера данных. Она использует защиту на основе ИИ, чтобы помочь организациям предвидеть и останавливать атаки, обеспечивая эффективные и эффективные операции безопасности.
Microsoft Sentinel общедоступна на портале Microsoft Defender либо с Microsoft Defender XDR, либо самостоятельно, обеспечивая единый интерфейс в SIEM и XDR для более быстрого и точного обнаружения угроз и реагирования на нее, упрощенных рабочих процессов и повышения операционной эффективности.
В этой статье описывается интерфейс Microsoft Sentinel на портале Defender.
Microsoft Sentinel общедоступна на портале Microsoft Defender, в том числе для клиентов без Microsoft Defender XDR или лицензии E5. Это означает, что вы можете использовать Microsoft Sentinel на портале Defender, даже если вы не используете другие Microsoft Defender службы.
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender.
Если в настоящее время вы используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender сейчас, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Дополнительные сведения см. в разделе:
- Перенос среды Microsoft Sentinel на портал Defender
- Планирование перехода на портал Microsoft Defender для всех клиентов Microsoft Sentinel (блог)
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Новые и улучшенные возможности
В следующей таблице описаны новые или улучшенные возможности, доступные на портале Defender с интеграцией Microsoft Sentinel. Корпорация Майкрософт продолжает внедрять инновации в этом новом интерфейсе с функциями, которые могут быть эксклюзивными для портала Defender.
| Возможности | Описание | Дополнительные сведения |
|---|---|---|
| Упрощенные операции | Управляйте всеми инцидентами безопасности, оповещениями и расследованиями с помощью единого единого интерфейса. - На страницах унифицированных сущностей для устройств, пользователей, IP-адресов и ресурсов Azure на портале Defender отображаются сведения из Microsoft Sentinel и источников данных Defender. Эти страницы сущностей предоставляют расширенный контекст для изучения инцидентов и оповещений на портале Defender. - Унифицированные инциденты позволяют управлять инцидентами безопасности и исследовать их в одном расположении и из одной очереди на портале Defender. Используйте Security Copilot для подведения итогов, реагирования и создания отчетов. К унифицированным инцидентам относятся данные из широкого ряда источников, средства аналитики ИИ для управления информационной безопасностью и событиями безопасности (SIEM), а также средства контекста и устранения рисков, предоставляемые расширенным обнаружением и реагированием (XDR). — Используйте расширенную охоту для запросов с одного портала к разным наборам данных, чтобы повысить эффективность охоты и устранить необходимость переключения контекста. Используйте Security Copilot для создания KQL, просмотра и запроса всех данных, включая данные из служб безопасности Майкрософт и Microsoft Sentinel, а затем используйте все существующее содержимое рабочей области Microsoft Sentinel, включая запросы и функции, для исследования. |
-
Исследование сущностей с помощью страниц сущностей в Microsoft Sentinel - Реагирование на инциденты на портале Microsoft Defender - Исследование инцидентов Microsoft Sentinel в Security Copilot - Расширенная охота на портале Microsoft Defender Security Copilot при расширенной охоте |
| Расширенное обнаружение угроз | Используйте расширенный ИИ и машинное обучение для более быстрого и точного обнаружения угроз и реагирования на нее. Преимущества улучшенного соотношения сигналов к шуму и улучшенной корреляции оповещений обеспечивают оперативное устранение критических угроз. | Обнаружение угроз для унифицированных операций безопасности |
| Новые функции | Получите доступ к надежным средствам, таким как управление обращениями, для организации инцидентов безопасности и управления ими, автоматическое нарушение атак для устранения скомпрометированных сущностей с высоким уровнем точности истинных положительных результатов, а также встроенный интерфейс Security Copilot для автоматической сводки инцидентов и управляемых действий реагирования, а также многое другое. Например, при расследовании инцидентов на портале Defender используйте Security Copilot для анализа скриптов, файлов и создания отчетов об инцидентах. При поиске угроз в расширенной охоте создайте готовые к выполнению запросы KQL с помощью помощник запроса. |
-
Управление обращениями - Автоматическое прерывание атаки - Сводка по автоматизированным инцидентам - Действия интерактивного реагирования - Анализ скриптов - Анализ файлов - Создание отчетов об инцидентах - Создание готовых к выполнению запросов KQL |
| Улучшенная видимость и снижение риска | Проанализируйте пути атаки, чтобы увидеть, как кибер-злоумышленник может использовать уязвимости. Используйте интерактивные рекомендации по оптимизации SOC, чтобы снизить затраты и уязвимость, а также определить приоритеты действий на основе потенциального воздействия. |
-
Оптимизация операций безопасности - Использование оптимизаций SOC программными средствами - Справочник по оптимизации SOC по рекомендациям |
| Специализированные рекомендации после инцидента | Предотвращение подобных или повторных кибератак с помощью специализированных рекомендаций, связанных с Управление рисками Microsoft Security инициативами. | Управление рисками Microsoft Security для повышения уровня безопасности |
| Оптимизация затрат и данных | Клиенты могут получить доступ к данным Microsoft Sentinel и Defender XDR в единой и согласованной схеме на портале Defender. Расширенные охотничьи необработанные журналы доступны в течение 30 дней для охоты бесплатно без необходимости принимать их в Microsoft Sentinel. |
Что следует ожидать для Defender XDR таблиц, потоковой передачи в Microsoft Sentinel |
| Единое, экономичное озеро данных | Повысьйте затраты и масштабируйтесь с помощью упрощенного подключения данных, динамических рекомендаций, надежных встроенных решений и централизованного и экономичного озера данных, что обеспечивает видимость на уровне предприятия. | Что такое озеро данных Microsoft Sentinel |
Ограниченные или недоступные возможности с Microsoft Sentinel только на портале Defender
При подключении Microsoft Sentinel к порталу Defender без включения Defender XDR или других служб следующие возможности ограничены или недоступны.
- Управление рисками Microsoft Security
- Настраиваемые правила обнаружения, предоставляемые Microsoft Defender XDR
- Центр уведомлений, предоставляемый Microsoft Defender XDR
Краткий справочник
Некоторые возможности Microsoft Sentinel, такие как единая очередь инцидентов, интегрированы с Microsoft Defender XDR на портале Defender. Многие другие возможности Microsoft Sentinel доступны в разделе Microsoft Sentinel на портале Defender.
На следующем рисунке показано меню Microsoft Sentinel на портале Defender:
В следующих разделах описывается, где найти Microsoft Sentinel функции на портале Defender. Они предназначены для существующих клиентов, которые переходят на портал Defender. Разделы организованы так, как Microsoft Sentinel находится в портал Azure.
Дополнительные сведения см. в разделе Перенос среды Microsoft Sentinel на портал Defender.
Общие
В следующей таблице перечислены изменения в навигации между Azure и порталами Defender для раздела Общие в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Обзор | Обзор |
| Журналы | Ответ >на & исследованияОхота>Расширенная охота |
| Руководства по & новостей | Недоступно |
| Поиск | > Microsoft Sentinel Поиск |
Управление угрозами
В следующей таблице перечислены изменения в навигации между Azure и порталами Defender для раздела Управление угрозами в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Инциденты | Ответ >на & исследованияОповещения >об инцидентах &Инцидентов |
| Workbooks | > книги управления> Microsoft Sentinel Threat |
| Охота | > Охота на управление> Microsoft Sentinel Threat |
| Ноутбуков | > Microsoft SentinelЗаписные книжкидля управления> |
| Поведение сущности |
Страница сущности пользователя:Удостоверения>ресурсов>{user}>Sentinel события И Страница сущности устройства:Активы>устройств>{device}>Sentinel события Кроме того, найдите страницы сущностей для пользователя, устройства, IP-адреса и Azure типов сущностей ресурсов из инцидентов и оповещений по мере их появления. |
| Аналитика угроз | Аналитика> угрозУправление Intel |
| MITRE ATT&CK | > Microsoft Sentinel Threat management>MITRE ATT&CK |
Управление контентом
В следующей таблице перечислены изменения в навигации между Azure и порталами Defender для раздела Управление содержимым в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Центр содержимого | > Центр содержимого управления > Microsoft Sentinel Content |
| Репозитории | > Репозитории управления > Microsoft Sentinel Content |
| Сообщество | > Сообществопо управлению> Microsoft Sentinel Content |
Конфигурация
В следующей таблице перечислены изменения в навигации между Azure и порталами Defender для раздела Конфигурация в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Диспетчер рабочей области | Недоступно |
| Соединители данных | Соединители>данных Microsoft SentinelНастройка> |
| Аналитика. |
аналитика >>конфигураций Microsoft Sentinel И Исследование и реагирование>Охота>Настраиваемые правила обнаружения |
| Списки просмотров | > Спискиотслеживания Microsoft Sentinel Настройка> |
| Автоматизация | > автоматизация Microsoft SentinelНастройка> |
| Параметры | Системы>Параметры>Microsoft Sentinel |