Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается интерфейс Microsoft Sentinel на портале Microsoft Defender. Microsoft Sentinel общедоступен в единой платформе операций безопасности Microsoft в портале Microsoft Defender с Microsoft Defender XDR. Дополнительные сведения см. в разделе:
- Что такое единая платформа операций безопасности Майкрософт?
- Подключите Microsoft Sentinel к Microsoft Defender XDR
- Поддержка функций Microsoft Sentinel для коммерческих и других облаков Azure
Microsoft Sentinel доступен для предварительного просмотра на портале Защитника без Microsoft Defender XDR или лицензии E5.
Новые и улучшенные возможности
В следующей таблице описываются новые или улучшенные возможности, доступные на портале Defender с интеграцией Microsoft Sentinel. Корпорация Майкрософт продолжает внедрять новые возможности с функциями, которые могут быть эксклюзивными на портале Defender.
| Возможности | Описание |
|---|---|
| Расширенная охота | Запрос с одного портала в разных наборах данных, чтобы повысить эффективность охоты и удалить необходимость переключения контекста. Используйте Security Copilot для помощи в создании KQL. Просмотр и запрос всех данных, включая данные из служб безопасности Майкрософт и Microsoft Sentinel. Используйте все существующие содержимое рабочей области Microsoft Sentinel, включая запросы и функции. Дополнительные сведения см. в следующих статьях: - Расширенная охота на портале Microsoft Defender - Безопасность Copilot в расширенной охоте |
| Управление обращениями | Управлять кейсами SecOps напрямую в портале Defender, не теряя контекста безопасности. Определите собственный рабочий процесс дела с пользовательскими значениями состояния. Назначение задач участникам совместной работы и настройка дат выполнения. Связывайте несколько инцидентов с инцидентным случаем для обработки эскалаций и сложных случаев.
Дополнительные сведения см. в статье "Управление случаями напрямую в платформе унифицированных операций безопасности Microsoft". |
| Microsoft Copilot в Microsoft Defender | При расследовании инцидентов на портале Defender - Создание сводки по инцидентам - Анализ скриптов - Анализ файлов - Создание отчетов об инцидентах При поиске угроз в продвинутой аналитике создайте готовые KQL-запросы с помощью помощника запросов. Дополнительные сведения см. в статье Microsoft Security Copilot в расширенной охоте. |
| Оптимизация SOC | Получите рекомендации с высокой детализацией и применимостью, чтобы помочь вам определить ключевые области для улучшения. — сокращение затрат — добавление элементов управления безопасностью — добавление отсутствующих данных Оптимизации Центра операций безопасности (SOC) доступны в Defender и в портале Azure, оптимизированы для вашей среды и основаны на текущем охвате и ландшафте угрозы. Дополнительные сведения см. в следующих статьях: - Оптимизация операций безопасности - Использование оптимизаций SOC программным способом - Справочник рекомендаций по оптимизации SOC |
В следующей таблице описаны дополнительные возможности, доступные на портале Defender с интеграцией Microsoft Sentinel и XDR в Microsoft Defender в рамках единой платформы операций безопасности Майкрософт.
| Возможности | Описание |
|---|---|
| Срыв атаки | Разверните автоматическое предотвращение атак для SAP в портале Defender и в решении Microsoft Sentinel для приложений SAP. Например, ограничивают доступ к скомпрометированным активам путем блокировки подозрительных пользователей SAP в случае атаки, направленной на манипуляции с финансовыми процессами. Возможности нарушения атак для SAP доступны только на портале Defender. Чтобы использовать защиту от атак для SAP, обновите версию агента соединителя данных и убедитесь, что соответствующая роль Azure назначена идентификатору агента. Дополнительные сведения см. в разделе "Автоматическое нарушение атак" для SAP. |
| Унифицированные сущности | Страницы сущностей для устройств, пользователей, IP-адресов и ресурсов Azure на портале Defender отображают сведения из источников данных Microsoft Sentinel и Defender. Эти страницы сущностей предоставляют расширенный контекст для расследования инцидентов и оповещений на портале Defender. Дополнительные сведения см. в статье "Исследование сущностей с помощью страниц сущностей в Microsoft Sentinel". |
| Унифицированные инциденты | Управляйте и расследуйте все инциденты безопасности в одном месте и из единой очереди в портале Defender. Используйте Службу безопасности Copilot, чтобы суммировать, отвечать и сообщать. К инцидентам относятся: — данные из разнообразных источников — средства аналитики ИИ для управления информационной безопасностью и событиями (SIEM) — Контекст и инструменты снижения угроз, предлагаемые системой расширенного обнаружения и реагирования (XDR) Дополнительные сведения см. в следующих статьях: - Реагирование на инциденты на портале Microsoft Defender - Исследуйте инциденты Microsoft Sentinel в Security Copilot |
| Microsoft Copilot в Microsoft Defender | При расследовании инцидентов с Microsoft Sentinel, интегрированным с Defender XDR, - Классификация и расследование инцидентов с использованием руководящих ответов - Сводка сведений об устройстве - Сводка сведений об идентификации Подведите итоги соответствующих угроз, влияющих на вашу инфраструктуру, для установки приоритетов устранения угроз на основе уровней риска или поиска угроз, которые могут быть нацелены на вашу отрасль, используя Security Copilot для анализа угроз. Дополнительные сведения см. в статье Об использовании Microsoft Security Copilot для аналитики угроз. |
Различия возможностей между порталами
Большинство возможностей Microsoft Sentinel доступны на порталах Azure и Defender. На портале Defender некоторые возможности Microsoft Sentinel переключают вас на портал Azure для выполнения задачи.
В этом разделе рассматриваются возможности или интеграции Microsoft Sentinel, доступные только на портале Azure или Defender, или другие существенные различия между этими порталами. Он исключает возможности Microsoft Sentinel, которые открывают портал Azure на портале Defender.
| Возможность | Доступность | Описание |
|---|---|---|
| Расширенная охота с помощью закладок | Только портал Azure | Закладки не поддерживаются в расширенном режиме охоты на портале Microsoft Defender. На портале Defender они поддерживаются в поиске угроз> Microsoft Sentinel>. Дополнительные сведения см. в статье "Отслеживание данных во время охоты с помощью Microsoft Sentinel". |
| Противодействие атакам для SAP | Портал Defender доступен только с Defender XDR | Эта функция недоступна в портал Azure. Дополнительные сведения см. в статье "Автоматическое нарушение атак" на портале Microsoft Defender. |
| Автоматизация | Некоторые процедуры автоматизации доступны только в портал Azure. Другие процедуры автоматизации одинаковы в порталах Defender и Azure, но отличаются в портале Azure между рабочими областями, подключёнными к порталу Defender, и рабочими областями, которые не подключены. |
Дополнительные сведения см. в разделе автоматизации с помощью единой платформы операций безопасности. |
| Соединители данных: видимость соединителей, используемых платформой унифицированных операций безопасности | Только портал Azure | На портале Defender после подключения Microsoft Sentinel на странице соединителей данных не отображаются следующие соединители данных, которые являются частью единой платформы операций безопасности. В портале Azure эти соединители данных по-прежнему указаны вместе с установленными соединителями данных в Microsoft Sentinel. |
| Сущности: добавление сущностей в аналитику угроз из инцидентов | Только портал Azure | Эта функция недоступна на портале Defender. Дополнительные сведения см. в разделе "Добавление сущности в индикаторы угроз". |
| Fusion: расширенное обнаружение многоэтапных атак | Только портал Azure | Правило аналитики Fusion, которое создает инциденты на основе корреляций оповещений, сделанных подсистемой корреляции Fusion, отключается при подключении Microsoft Sentinel к порталу Defender. На портале Defender используются функции создания инцидентов и корреляции в Microsoft Defender XDR для замены функций подсистемы Fusion. Дополнительные сведения см. в статье "Расширенное обнаружение многоэтапных атак" в Microsoft Sentinel |
| Инциденты: добавление предупреждений к инцидентам Удаление предупреждений из инцидентов |
Только портал Defender | После подключения Microsoft Sentinel к порталу Defender вы больше не сможете добавлять оповещения, или удалять оповещения из портала Azure. Вы можете удалить оповещение из инцидента на портале Defender, но только связав оповещение с другим инцидентом (существующим или новым). |
| Инциденты: создание | После подключения к порталу Defender: инциденты создаются подсистемой корреляции на портале Microsoft Defender. | Инциденты, созданные на портале Defender для оповещений, сформированных Microsoft Sentinel, имеют имя поставщика инцидентов Microsoft Defender XDR. Все активные правила создания инцидентов безопасности Майкрософт деактивируются, чтобы избежать создания повторяющихся инцидентов. Параметры создания инцидентов в других типах правил аналитики остаются неизменными, но эти параметры реализуются на портале Defender, а не в Microsoft Sentinel. Для отображения инцидентов Microsoft Defender в Microsoft Sentinel может потребоваться до 5 минут. Это не влияет на функции, предоставляемые непосредственно Microsoft Defender, такие как автоматическое прерывание атак. Дополнительные сведения см. в следующих статьях: - Инциденты и оповещения на портале Microsoft Defender - Корреляция оповещений и слияние инцидентов на портале Microsoft Defender |
| Инциденты: редактирование комментариев | Только портал Azure | После подключения Microsoft Sentinel к порталу Defender можно добавить комментарии к инцидентам на любом портале, но не удается изменить существующие комментарии. Изменения, внесенные в комментарии в портал Azure, не синхронизируются с порталом Defender. |
| Инциденты: программное и ручное создание инцидентов | Только портал Azure | Инциденты, созданные в Microsoft Sentinel через API, плейбук Logic App или вручную из портала Azure, не синхронизируются с порталом Defender. Эти инциденты по-прежнему поддерживаются в портале Azure и в API. См. Создайте собственные инциденты вручную в Microsoft Sentinel. |
| Инциденты: повторное открытие закрытых инцидентов | Только портал Azure | На портале Defender нельзя задать группирование оповещений в правилах аналитики Microsoft Sentinel, чтобы повторно открыть закрытые инциденты при добавлении новых оповещений. Закрытые инциденты не открываются повторно в этом случае, а новые оповещения активируют новые инциденты. |
| Инциденты: задачи | Только портал Azure | Задачи недоступны на портале Defender. Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel". |
| Управление несколькими рабочими областями для Microsoft Sentinel | Портал Defender. Управление основной рабочей областью и несколькими дополнительными рабочими областями для клиента. портал Azure. Централизованное управление несколькими рабочими областями Microsoft Sentinel для клиентов |
Портал Defender позволяет подключиться к одной основной рабочей области и нескольким дополнительным рабочим областям для Microsoft Sentinel. Оповещения основной рабочей области соотносятся с данными Defender XDR, что приводит к инцидентам, включающим сигналы тревоги из основной рабочей области Microsoft Sentinel и Defender XDR. Все остальные подключенные рабочие области считаются дополнительными рабочими областями. Дополнительные сведения см. в следующих статьях: — портал Defender: несколько рабочих областей Microsoft Sentinel на портале Defender — портал Azure. Управление несколькими рабочими областями Microsoft Sentinel с помощью диспетчера рабочих областей |
Ограниченные или недоступные возможности
При подключении Microsoft Sentinel к порталу Defender без поддержки XDR Defender или других служб следующие функции, которые отображаются на портале Defender, в настоящее время ограничены или недоступны.
| Возможность | Требуется обслуживание |
|---|---|
| Управление экспозицией | Управление воздействием безопасности Майкрософт |
| Настраиваемые правила обнаружения | Microsoft Defender XDR |
| Центр действий | Microsoft Defender XDR |
Следующие ограничения также применяются к Microsoft Sentinel на портале Defender без поддержки XDR Defender или других служб:
- Новые клиенты Microsoft Sentinel не могут подключить рабочую область Log Analytics, созданную в регионе Израиль. Чтобы подключиться к порталу Defender, создайте другую рабочую область для Microsoft Sentinel в другом регионе. Эта дополнительная рабочая область не должна содержать никаких данных.
- Клиенты, использующие аналитику поведения пользователей и сущностей Microsoft Sentinel (UEBA), получают ограниченную версию таблицы IdentityInfo.
Краткий справочник
Некоторые возможности Microsoft Sentinel, такие как единая очередь инцидентов, интегрируются с Microsoft Defender XDR на платформе унифицированных операций безопасности Майкрософт. Многие другие возможности Microsoft Sentinel доступны в разделе Microsoft Sentinel на портале Defender.
На следующем рисунке показано меню Microsoft Sentinel на портале Defender:
В следующих разделах описывается, где найти функции Microsoft Sentinel на портале Defender. Разделы организованы так же, как Microsoft Sentinel в портале Azure.
Общие
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Общие" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Обзор | Обзор |
| Логи | Исследование и реагирование > охота > расширенная охота |
| Новости и руководства | Недоступно |
| Поиск (Search) | Поиск Microsoft Sentinel > |
Управление угрозами
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Управление угрозами" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Инциденты | Исследование и реагирование > инциденты и оповещения > инциденты |
| рабочие тетради | Microsoft Sentinel > Рабочие тетради по управлению угрозами> |
| Охота | Управление угрозами Microsoft Sentinel: Поиск и выявление |
| Записные книжки | Записные книжки Microsoft Sentinel для управления угрозами |
| Поведение сущностей |
Страница сущности пользователя: Активы > Идентичности >{user}> события Sentinel Страница сущности устройства: Активы > Устройства >{device}> События Sentinel Кроме того, найдите страницы сущностей для пользователей, устройств, IP-адресов и сущностей ресурсов Azure из инцидентов и оповещений по мере их появления. |
| Аналитика угроз | Аналитика угроз Microsoft Sentinel > Управление угрозами > Интеллект угроз |
| MITRE ATT&CK | Microsoft Sentinel > Управление угрозами > MITRE ATT&CK |
Управление содержимым
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела управления контентом в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Центр содержимого | Управление содержимым Microsoft Sentinel > Центр содержимого > |
| Репозитории | Репозитории управления > содержимым Microsoft Sentinel > |
| Сообщество | Сообщество по управлению контентом > Microsoft Sentinel > |
Настройка
В следующей таблице перечислены изменения навигации между порталами Azure и Defender для раздела "Конфигурация" в портал Azure.
| Портал Azure | Портал Defender |
|---|---|
| Диспетчер рабочей области | Недоступно |
| Соединители данных | Конфигурационные соединители данных > Microsoft Sentinel > |
| Аналитика | Конфигурация > Microsoft Sentinel > Аналитика |
| Списки отслеживания | Списки отслеживания Microsoft Sentinel: конфигурация |
| Автоматизация | Автоматизация конфигурации > Microsoft Sentinel > |
| Настройки | Системные >> параметры Microsoft Sentinel |