Перенос среды Microsoft Sentinel на портал Defender

Microsoft Sentinel доступна на портале Microsoft Defender с Microsoft Defender XDR или отдельно. Он обеспечивает унифицированный интерфейс в SIEM и XDR для более быстрого, точного обнаружения угроз и реагирования на нее, упрощения рабочих процессов и повышения операционной эффективности.

В этой статье объясняется, как перенести интерфейс Microsoft Sentinel с портал Azure на портал Defender. Если вы используете Microsoft Sentinel в портал Azure, перейдите на Microsoft Defender для унифицированных операций безопасности и новейших функций. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender или просмотрите список воспроизведения YouTube.

Примечание.

Переход на портал Defender даже для клиентов, не относящихся к E5, не требует дополнительных затрат. Клиенту по-прежнему выставляется счет как обычно за его потребление только на Sentinel.

Предварительные условия

Перед началом работы обратите внимание на следующее:

Планирование и настройка среды перехода

Аудитория: архитекторы безопасности

Видео:

Ознакомьтесь с рекомендациями по планированию, выполните предварительные требования и подключение

Ознакомьтесь со всеми рекомендациями по планированию и выполните все предварительные требования, прежде чем подключить рабочую область к порталу Defender. Дополнительные сведения см. в следующих статьях:

Просмотр различий в хранении данных и конфиденциальности

При использовании портал Azure применяются политики Microsoft Sentinel для хранения, обработки, хранения и общего доступа к данным. При использовании портала Defender вместо этого применяются политики Microsoft Defender XDR, даже если вы работаете с Microsoft Sentinel данными.

В следующей таблице приведены дополнительные сведения и ссылки для сравнения возможностей на порталах Azure и Defender.

Область поддержки Портал Azure Портал Defender
BCDR Клиенты несут ответственность за репликацию своих данных Microsoft Defender использует автоматизацию для BCDR на панелях управления.
Хранение и обработка данных - Расположение хранилища данных
- Поддерживаемые регионы
Расположение хранилища данных
Хранение данных Хранение данных Хранение данных
Общий доступ к данным Общий доступ к данным Общий доступ к данным

Дополнительные сведения см. в разделе:

Подключение к порталу Defender с помощью ключей, управляемых клиентом (CMK)

Если вы включили CMK перед подключением, при подключении рабочей области с поддержкой Microsoft Sentinel к порталу Defender все данные журнала в рабочей области по-прежнему шифруются с помощью CMK, включая как предыдущие, так и недавно обработанные данные.

Правила аналитики и другое содержимое Sentinel, например правила автоматизации, также по-прежнему шифруются CMK. Однако оповещения и инциденты больше не будут шифроваться CMK после подключения.

Дополнительные сведения о CMK см. в разделе Настройка ключа, управляемого клиентом Microsoft Sentinel.

Важно!

Шифрование CMK поддерживается не полностью для данных, хранящихся в озере данных Microsoft Sentinel. Все данные, передаваемые в озеро данных, такие как пользовательские таблицы или преобразованные данные, шифруются с помощью ключей, управляемых Корпорацией Майкрософт.

Настройка управления с несколькими рабочими областями и несколькими клиентами

Defender поддерживает одну или несколько рабочих областей в нескольких клиентах с помощью мультитенантного портала, который служит центральным местом для управления инцидентами и оповещениями, охоты на угрозы в клиентах и позволяет партнерам по управляемым службам безопасности (MSSP) видеть в разных клиентах.

В сценариях с несколькими рабочими областями мультитенантный портал позволяет подключать одну основную рабочую область и несколько дополнительных рабочих областей для каждого клиента. Подключение каждой рабочей области к порталу Defender отдельно для каждого клиента так же, как подключение для одного клиента.

Дополнительные сведения см. в разделе:

Настройка и проверка параметров и содержимого

Аудитория: инженеры по безопасности

Видео. Управление соединителями в Microsoft Defender

Подтверждение и настройка сбора данных

При интеграции Microsoft Sentinel с Microsoft Defender базовая архитектура потока сбора данных и телеметрии остается неизменной. Существующие соединители, настроенные в Microsoft Sentinel для Microsoft Defender продуктов или других источников данных, продолжают работать без прерывания.

С точки зрения Log Analytics интеграция Microsoft Sentinel с Microsoft Defender не вносит никаких изменений в базовый конвейер приема или схему данных. Несмотря на унификацию внешнего интерфейса, серверная часть Microsoft Sentinel остается полностью интегрированной с Log Analytics для хранения данных, поиска и корреляции.

Оповещения, связанные с продуктами Defender, передаются непосредственно из соединителя Microsoft Defender XDR для обеспечения согласованности. Убедитесь, что в рабочей области включено сообщение об инцидентах и оповещениях из этого соединителя. После настройки этого соединителя данных в рабочей области при отключении рабочей области от Microsoft Defender также отключается соединитель Microsoft Defender XDR.

Примечание.

Это изменение в соединителях приводит к различиям в схемах для некоторых оповещений. Подробное сравнение см. в статье Различия схемы оповещений: изолированный и соединитель XDR.

Дополнительные сведения см. в статье Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.

Интеграция с Microsoft Defender для облака

  • Если вы используете соединитель данных на основе клиента для Defender для облака, обязательно выполните действия, чтобы предотвратить дублирование событий и оповещений.
  • Если вместо этого вы используете устаревший соединитель на основе подписки, не забудьте отказаться от синхронизации инцидентов и оповещений с Microsoft Defender.

Дополнительные сведения см. в разделе Оповещения и инциденты в Microsoft Defender.

Видимость соединителя данных на портале Defender

После подключения рабочей области к Defender для унифицированных операций безопасности используются следующие соединители данных, которые не отображаются на странице Соединители данных на портале Defender:

  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Microsoft Defender для удостоверений
  • Microsoft Defender для Office 365 (предварительная версия)
  • Microsoft Defender XDR
  • Microsoft Defender на основе подписки для облака (устаревшая версия)
  • Клиентская Microsoft Defender для облака (предварительная версия)

Эти соединители данных по-прежнему перечислены в Microsoft Sentinel в портал Azure.

Настройка экосистемы

Хотя диспетчер рабочих областей Microsoft Sentinel недоступен на портале Defender, используйте одну из следующих альтернативных возможностей для распространения содержимого в виде кода между рабочими областями:

В противном случае продолжайте развертывать пакеты решений, включающие различные типы содержимого безопасности из центра содержимого на портале Defender. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.

Настройка правил аналитики

Microsoft Sentinel правила аналитики доступны на портале Defender для обнаружения, настройки и управления. Функции правил аналитики остаются неизменными, включая создание, обновление и управление с помощью мастера, репозиториев и API Microsoft Sentinel. Корреляция инцидентов и обнаружение многоэтапных атак также продолжают работать на портале Defender. Функции корреляции оповещений, управляемые правилом аналитики Fusion в портал Azure, обрабатываются подсистемой Defender XDR на портале Defender, которая объединяет все сигналы в одном месте.

При переходе на портал Defender важно отметить следующие изменения:

Функция Описание
Правила настраиваемого обнаружения Если у вас есть варианты использования обнаружения, включающие как Defender XDR, так и Microsoft Sentinel данные, в которых не требуется хранить данные Defender XDR более 30 дней, рекомендуется создать настраиваемые правила обнаружения, которые запрашивают данные из Microsoft Sentinel и Defender XDR таблиц.

Это поддерживается без необходимости приема Defender XDR данных в Microsoft Sentinel. Дополнительные сведения см. в разделе Использование пользовательских функций Microsoft Sentinel в расширенной охоте в Microsoft Defender.
Корреляция оповещений На портале Defender корреляции автоматически применяются к оповещениям о Microsoft Defender данных и сторонних данных, полученных из Microsoft Sentinel, независимо от сценариев генерации оповещений.

Критерии, используемые для корреляции оповещений в одном инциденте, являются частью собственной внутренней логики корреляции портала Defender. Дополнительные сведения см . в статье Корреляция оповещений и объединение инцидентов на портале Defender.
Группирование оповещений и объединение инцидентов Хотя вы по-прежнему увидите конфигурацию группирования оповещений в правилах аналитики, подсистема корреляции Defender XDR полностью управляет группировкой оповещений и слиянием инцидентов при необходимости на портале Defender. Это обеспечивает полное представление всей истории атаки путем объединения соответствующих оповещений о многоэтапных атаках.

Например, несколько отдельных правил аналитики, настроенных для создания инцидента для каждого оповещения, могут привести к объединённым инцидентам, если они соответствуют Defender XDR логике корреляции.
Видимость оповещений Если у вас есть Microsoft Sentinel правила аналитики, настроенные только для активации оповещений, если создание инцидента отключено, эти оповещения не отображаются на портале Defender.
Настройка оповещений После подключения рабочей области Microsoft Sentinel к Defender все инциденты, в том числе из правил Microsoft Sentinel аналитики, создаются подсистемой Defender XDR. В результате возможности настройки оповещений на портале Defender, ранее доступные только для Defender XDR оповещений, теперь можно применять к оповещениям от Microsoft Sentinel.

Эта функция позволяет упростить реагирование на инциденты, автоматизируя разрешение распространенных оповещений, уменьшая количество ложных срабатываний и сводя к минимуму шум, чтобы аналитики могли определять приоритеты для важных инцидентов безопасности.
Fusion: расширенное обнаружение атак с несколькими состояниеми Правило аналитики Fusion, которое в портал Azure создает инциденты на основе корреляций оповещений, созданных подсистемой корреляции Fusion, отключается при подключении Microsoft Sentinel на портал Defender.

Вы не потеряете функции корреляции оповещений, так как портал Defender использует функции создания инцидентов и корреляции Microsoft Defender XDR для замены функций подсистемы Fusion.

Дополнительные сведения см. в статье Расширенное обнаружение многоэтапных атак в Microsoft Sentinel

Настройка правил автоматизации и сборников схем

В Microsoft Sentinel сборники схем основаны на рабочих процессах, встроенных в Azure Logic Apps, облачной службе, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в разных системах на предприятии.

Следующие ограничения применяются к правилам и сборникам схем автоматизации Microsoft Sentinel при работе на портале Defender. При переходе может потребоваться внести некоторые изменения в среду.

функциональность. Описание
Правила автоматизации с триггерами оповещений На портале Defender правила автоматизации с триггерами оповещений действуют только для Microsoft Sentinel оповещений.

Дополнительные сведения см. в разделе Триггер создания оповещений.
Правила автоматизации с триггерами инцидентов В портал Azure и на портале Defender свойство условия поставщика инцидентов удаляется, так как для всех инцидентов в качестве поставщика инцидентов используется Microsoft XDR (значение в поле ProviderName).

На этом этапе все существующие правила автоматизации выполняются как для Microsoft Sentinel, так и для инцидентов Microsoft Defender XDR, включая те, где для условия поставщика инцидентов задано значение только Microsoft Sentinel или Microsoft 365 Defender.

Однако правила автоматизации, указывающие определенное имя правила аналитики, выполняются только для инцидентов, содержащих оповещения, созданные указанным правилом аналитики. Это означает, что можно определить свойство условия имени правила аналитики для правила аналитики, существующего только в Microsoft Sentinel чтобы ограничить выполнение правила для инцидентов только в Microsoft Sentinel.

Кроме того, после подключения к порталу Defender таблица SecurityIncident больше не содержит поле Описание . Поэтому:

— Если вы используете это поле "Описание " в качестве условия для правила автоматизации с триггером создания инцидента, это правило автоматизации не будет работать после подключения к порталу Defender. В таких случаях обязательно обновите конфигурацию соответствующим образом. Дополнительные сведения см. в разделе Условия триггера инцидента.
— Если у вас настроена интеграция с внешней системой обработки билетов, например ServiceNow, описание инцидента будет отсутствовать.
Задержка в триггерах сборника схем На появление Microsoft Defender инцидентов в Microsoft Sentinel может потребоваться до 5 минут. Если эта задержка присутствует, запуск сборника схем также задерживается.
Изменения существующих имен инцидентов Портал Defender использует уникальный механизм для корреляции инцидентов и оповещений. При подключении рабочей области к порталу Defender существующие имена инцидентов могут быть изменены, если применяется корреляция. Чтобы убедиться, что правила автоматизации всегда работают правильно, рекомендуется избегать использования заголовков инцидентов в качестве условий в правилах автоматизации, а вместо этого рекомендуется использовать имя любого правила аналитики, которое создало оповещения, включенные в инцидент, и теги, если требуется дополнительная специфика.
Обновлено по полю
  • После подключения рабочей области поле Обновлено содержитновый набор поддерживаемых значений, которые больше не включают Microsoft 365 Defender. В существующих правилах автоматизации Microsoft 365 Defender заменяется значением Other после подключения рабочей области.

  • Если в один и тот же инцидент за 5–10 минут внесены несколько изменений, одно обновление отправляется в Microsoft Sentinel с только последним изменением.

    Дополнительные сведения см. в разделе Триггер обновления инцидента.
  • Создание правил автоматизации непосредственно из инцидента Создание правил автоматизации непосредственно из инцидента поддерживается только в портал Azure. Если вы работаете на портале Defender, создайте правила автоматизации с нуля на странице Автоматизация .
    Правила создания инцидентов Майкрософт Правила создания инцидентов Майкрософт не поддерживаются на портале Defender.

    Дополнительные сведения см. в Microsoft Defender XDR инцидентах и правилах создания инцидентов Майкрософт.
    Выполнение правил автоматизации с портала Defender Это может занять до 10 минут с момента активации оповещения и создания или обновления инцидента на портале Defender до выполнения правила автоматизации. Эта задержка связана с тем, что инцидент создается на портале Defender, а затем перенаправлен в Microsoft Sentinel для правила автоматизации.
    Вкладка "Активные сборники схем" После подключения к порталу Defender на вкладке Активные сборники схем по умолчанию отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure добавьте данные для других подписок с помощью фильтра подписки.

    Дополнительные сведения см. в статье Создание и настройка Microsoft Sentinel сборников схем на основе шаблонов.
    Запуск сборников схем вручную по запросу Следующие процедуры в настоящее время не поддерживаются на портале Defender.
  • Запуск сборника схем вручную в оповещении
  • Запуск сборника схем вручную для сущности
  • Для выполнения сборников схем для инцидентов требуется синхронизация Microsoft Sentinel Если вы попытаетесь запустить сборник схем для инцидента на портале Defender и увидите сообщение "Не удается получить доступ к данным, связанным с этим действием. Обновите экран через несколько минут". Это означает, что инцидент еще не синхронизирован с Microsoft Sentinel.

    Обновите страницу инцидента после синхронизации инцидента, чтобы успешно запустить сборник схем.
    Инциденты: добавление оповещений в инциденты /
    Удаление оповещений из инцидентов
    Так как добавление оповещений в или удаление оповещений из инцидентов не поддерживается после подключения рабочей области к порталу Defender, эти действия также не поддерживаются из сборников схем. Дополнительные сведения см. в статье Сведения о корреляции оповещений и объединии инцидентов на портале Defender.
    интеграция Microsoft Defender XDR в нескольких рабочих областях Если вы интегрировали данные XDR с несколькими рабочими областями в одном клиенте, данные теперь будут приниматься только в основную рабочую область на портале Defender. Перенесите правила автоматизации в соответствующую рабочую область, чтобы обеспечить их выполнение.
    Автоматизация и подсистема корреляции Подсистема корреляции может объединять оповещения из нескольких сигналов в один инцидент, что может привести к автоматизации получения данных, которые вы не ожидали. Мы рекомендуем просмотреть правила автоматизации, чтобы убедиться, что вы видите ожидаемые результаты.

    Настройка API

    Единый интерфейс на портале Defender вносит важные изменения в инциденты и оповещения из API. Он поддерживает вызовы API на основе REST API Microsoft Graph версии 1.0, который можно использовать для автоматизации, связанной с оповещениями, инцидентами, расширенной охотой и т. д.

    API Microsoft Sentinel по-прежнему поддерживает действия с Microsoft Sentinel ресурсами, такими как правила аналитики, правила автоматизации и многое другое. Для взаимодействия с унифицированными инцидентами и оповещениями рекомендуется использовать REST API Microsoft Graph. Если вы используете API Microsoft Sentinel SecurityInsights для взаимодействия с Microsoft Sentinel инцидентами, вам может потребоваться обновить условия автоматизации и критерии активации из-за изменений в тексте ответа.

    В следующей таблице перечислены поля, важные в фрагментах ответов, и сравниваются на порталах Azure и Defender.

    функциональность. Портал Azure Портал Defender
    Ссылка на инцидент incidentUrl: прямой URL-адрес инцидента на портале Microsoft Sentinel. providerIncidentUrl: это дополнительное поле предоставляет прямую ссылку на инцидент, который можно использовать для синхронизации этой информации со сторонней системой обработки билетов, например ServiceNow.

    incidentUrlпо-прежнему доступен, но указывает на портал Microsoft Sentinel.
    Источники, которые активировали обнаружение и опубликовали оповещение alertProductNames alertProductNames: требуется добавить ?$expand=alerts в GET.

    Пример: https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts
    Имя поставщика оповещений providerName= "Azure Sentinel" providerName = "Microsoft XDR"
    Служба или продукт, создавший оповещение Не существует в портал Azure serviceSource

    Например, "microsoftDefenderForCloudApps"
    Технология обнаружения или датчик, которые идентифицировали важный компонент или действие Не существует в портал Azure detectionSource Например, cloudAppSecurity
    Имя продукта, опубликовавшего это оповещение Не существует в портал Azure productNameНапример, "Microsoft Defender for Cloud Apps"

    Выполнение операций на портале Defender

    Аудитория: аналитики по безопасности

    Видео:

    Обновление процессов рассмотрения инцидентов на портале Defender

    Если вы использовали Microsoft Sentinel в портал Azure, вы заметите значительные улучшения взаимодействия с пользователем на портале Defender. Хотя вам может потребоваться обновить процессы SOC и переобучение аналитиков, проект объединяет всю важную информацию в одном месте, чтобы обеспечить более оптимизированные и эффективные рабочие процессы.

    Единая очередь инцидентов на портале Defender объединяет все инциденты между продуктами в единое представление, влияя на то, как аналитики рассматривают инциденты, которые теперь содержат несколько оповещений между доменами безопасности. Например, вы можете:

    • Традиционно аналитики обрабатывают инциденты на основе конкретных доменов безопасности или опыта, часто обрабатывая запросы на каждую сущность, например пользователя или узел. Такой подход может создать слепые зоны, которые призваны устранить в едином интерфейсе.
    • При боковом перемещении злоумышленника связанные оповещения могут оказаться отдельными инцидентами из-за разных доменов безопасности. Унифицированный интерфейс устраняет эту проблему, предоставляя комплексное представление, гарантируя, что все связанные оповещения коррелируются и управляются согласованно.

    Аналитики также могут просматривать источники обнаружения и названия продуктов на портале Defender, а также применять фильтры и совместно использовать их для более эффективного рассмотрения инцидентов и оповещений.

    Единый процесс рассмотрения может помочь уменьшить рабочие нагрузки аналитиков и даже потенциально объединить роли аналитиков уровней 1 и 2. Однако для единого процесса рассмотрения также могут потребоваться более широкие и глубокие знания аналитика. Мы рекомендуем обучать новому интерфейсу портала, чтобы обеспечить плавный переход.

    Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.

    Сведения о корреляции оповещений и объединяемых инцидентах на портале Defender

    Подсистема корреляции Defender объединяет инциденты, когда распознает общие элементы между оповещениями в отдельных инцидентах. Когда новое оповещение соответствует критериям корреляции, Microsoft Defender агрегирует и сопоставляет его с другими связанными оповещениями из всех источников обнаружения в новый инцидент. После подключения Microsoft Sentinel к порталу Defender унифицированная очередь инцидентов показывает более комплексную атаку, что делает аналитиков более эффективными и предоставляет полную историю атаки.

    В сценариях с несколькими рабочими областями только оповещения из основной рабочей области сопоставляются с Microsoft Defender XDR данными. Существуют также определенные сценарии, в которых инциденты не объединяются.

    После подключения Microsoft Sentinel к порталу Defender к инцидентам и оповещениям применяются следующие изменения:

    Функция Описание
    Задержка сразу после подключения рабочей области Полная интеграция Microsoft Defender инцидентов с Microsoft Sentinel может занять до 5 минут. Это не влияет на функции, предоставляемые непосредственно Microsoft Defender, такие как автоматическое нарушение атаки.
    Правила создания инцидентов безопасности Все активные правила создания инцидентов безопасности Майкрософт деактивируются, чтобы избежать создания повторяющихся инцидентов. Параметры создания инцидентов в других типах правил аналитики остаются такими, как они есть, и их можно настроить на портале Defender.
    Имя поставщика инцидентов На портале Defender имя поставщика инцидентов всегда — Microsoft XDR.
    Добавление и удаление оповещений из инцидентов Добавление или удаление оповещений Microsoft Sentinel инцидентов и из инцидентов поддерживается только на портале Defender. Чтобы удалить оповещение из инцидента на портале Defender, необходимо добавить его в другой инцидент.
    Редактирование примечаний Добавление комментариев к инцидентам в Defender или портал Azure, но редактирование существующих комментариев не поддерживается на портале Defender. Изменения, внесенные в комментарии в портал Azure, не синхронизируются с порталом Defender.
    Программное и ручное создание инцидентов Инциденты, созданные в Microsoft Sentinel через API, с помощью сборника схем приложения логики или вручную из портал Azure, не синхронизируются с порталом Defender. Эти инциденты по-прежнему поддерживаются в портал Azure и API. См. статью Создание собственных инцидентов вручную в Microsoft Sentinel.
    Повторное открытие закрытых инцидентов На портале Defender нельзя настроить группирование оповещений в Microsoft Sentinel правила аналитики, чтобы повторно открывать закрытые инциденты при добавлении новых оповещений.
    Закрытые инциденты в этом случае не открываются повторно, и новые оповещения активируют новые инциденты.

    Дополнительные сведения см. в разделах Инциденты и оповещения на портале Microsoft Defender и Корреляция оповещений и объединение инцидентов на портале Microsoft Defender.

    Обратите внимание на изменения для исследований с помощью расширенной охоты

    После подключения Microsoft Sentinel к порталу Defender получите доступ и используйте все существующие таблицы журналов, запросы язык запросов Kusto (KQL) и функции на странице Расширенный поиск. Все оповещения Microsoft Sentinel, связанные с инцидентами, попадают в таблицуAlertInfo, доступную на странице Расширенная охота.

    Существуют некоторые различия, например закладки не поддерживаются в расширенной охоте. Вместо этого закладки поддерживаются на портале Defender в разделе Microsoft Sentinel > Охота на управление угрозами>.

    Дополнительные сведения см. в разделах Расширенная охота с Microsoft Sentinel данными в Microsoft Defender, особенно список известных проблем, и Отслеживание данных во время охоты с помощью Microsoft Sentinel.

    Исследование с помощью сущностей на портале Defender

    На портале Microsoft Defender сущности, как правило, являются либо ресурсами, такими как учетные записи, узлы или почтовые ящики, либо свидетельством, например IP-адресами, файлами или URL-адресами.

    После подключения Microsoft Sentinel к порталу Defender страницы сущностей для пользователей, устройств и IP-адресов объединяются в единое представление с полным представлением о действиях и контексте сущности, а также данных из Microsoft Sentinel и Microsoft Defender XDR.

    На портале Defender также предоставляется панель глобальный поиск, которая централизует результаты из всех сущностей, чтобы можно было выполнять поиск в SIEM и XDR.

    Дополнительные сведения см. в разделе Страницы сущностей в Microsoft Sentinel.

    Исследование с помощью UEBA на портале Defender

    Большинство функций аналитики поведения пользователей и сущностей (UEBA) остаются теми же на портале Defender, что и в портал Azure, за следующими исключениями:

    • Добавление сущностей в аналитику угроз из инцидентов поддерживается только в портал Azure. Дополнительные сведения см. в разделе Добавление сущности в индикаторы угроз.

    • При подключении Microsoft Sentinel к порталу IdentityInfo Microsoft Defender таблица будет доступна как в интерфейсе Microsoft Defender Advanced Hunting, так и в рабочей области Log Analytics Sentinel. Таблица, используемая IdentityInfo в advanced hunting, содержит унифицированные поля как из Defender XDR, так и Microsoft Sentinel. Некоторые поля, существующие в таблице рабочей области Sentinel Log Analytics, либо переименованы, либо не поддерживаются в таблице Advanced Hunting. Обязательно просмотрите и обновите все запросы, выполняемые в Microsoft Defender, например запросы расширенной охоты или пользовательские обнаружения. Microsoft Sentinel правила аналитики, книги и другие запросы Sentinel по-прежнему используют таблицу IdentityInfo в рабочей области Log Analytics и не затрагиваются. Дополнительные сведения и сравнение схем таблиц в расширенных возможностях охоты и Log Analytics см. в разделе Таблица IdentityInfo.

    Важно!

    При переходе на портал Defender таблица становится собственной таблицей Defender, IdentityInfo которая не поддерживает управление доступом на основе ролей на уровне таблицы (RBAC). Если ваша организация использует RBAC табличного уровня для ограничения доступа к IdentityInfo таблице в портал Azure, это управление доступом больше не будет доступно после перехода на портал Defender.

    Обновление процессов исследования для использования аналитики угроз Microsoft Defender

    Для Microsoft Sentinel клиентов, переходящих с портал Azure на портал Defender, знакомые функции аналитики угроз сохраняются на портале Defender под управлением Intel и дополняются другими функциями аналитики угроз, доступными на портале Defender. Поддерживаемые функции зависят от имеющихся лицензий, например:

    Функция Описание
    Аналитика угроз Поддерживается для Microsoft Defender XDR клиентов. Встроенное решение, предоставляемое специалистами корпорации Майкрософт по безопасности, предназначенное для помощи группам безопасности, предлагая аналитические сведения о возникающих угрозах, активных угрозах и их последствиях. Данные отображаются на интуитивно понятной панели мониторинга с карточками, строками данных, фильтрами и т. д.
    Профили Intel Поддерживается для Аналитика угроз Microsoft Defender клиентов. Классифицируйте угрозы и поведение по профилю субъекта угроз, упрощая отслеживание и корреляцию. Эти профили включают любые индикаторы компрометации (IoC), связанные с тактикой, методами и инструментами, используемыми в атаках.
    Intel Обозреватель Поддерживается для Аналитика угроз Microsoft Defender клиентов. Объединяет доступные операции ввода-вывода и предоставляет статьи, связанные с угрозами, по мере их публикации, что позволяет группам безопасности оставаться в курсе новых угроз.
    Проекты Intel Поддерживается для Аналитика угроз Microsoft Defender клиентов. Позволяет командам консолидировать аналитику угроз в "проект" для просмотра всех артефактов, связанных с конкретным интересующим сценарием.

    На портале Defender используйте ThreatIntelOjbects и ThreatIntelIndicators вместе с индикаторами компрометации для охоты на угрозы, реагирования на инциденты, copilot, отчетов, а также для создания реляционных графов, показывающих связи между индикаторами и сущностями.

    Для клиентов, использующих веб-канал Аналитика угроз Microsoft Defender (MDTI), бесплатная версия доступна через соединитель данных Microsoft Sentinel для MDTI. Пользователи с лицензиями MDTI также могут принимать данные MDTI и использовать Security Copilot для анализа угроз, активного анализа угроз и исследования субъектов угроз.

    Дополнительные сведения см. в разделе:

    Использование книг для визуализации данных Microsoft Defender и создания отчетов по ней

    Azure книги по-прежнему являются основным инструментом для визуализации данных и взаимодействия на портале Defender, работая так же, как и в портал Azure.

    Чтобы использовать книги с данными из расширенной охоты, убедитесь, что вы используете журналы в Microsoft Sentinel.

    Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.

    Аналогичные инциденты (предварительная версия) не поддерживаются на портале Defender

    Функция Microsoft Sentinel аналогичных инцидентов находится в предварительной версии, не поддерживается на портале Defender. Это означает, что при просмотре страницы сведений об инциденте на портале Defender вкладка Похожие инциденты недоступна.