Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel доступен на портале Microsoft Defender с Microsoft Defender XDR или самостоятельно. Она обеспечивает унифицированный интерфейс siEM и XDR для ускорения, более точного обнаружения угроз и реагирования, более простых рабочих процессов и повышения эффективности работы.
В этой статье объясняется, как перенести интерфейс Microsoft Sentinel с портала Azure на портал Defender. Если вы используете Microsoft Sentinel на портале Azure, перейдите на Microsoft Defender для унифицированных операций безопасности и последних функций. Для получения дополнительной информации см. Microsoft Sentinel в портале Microsoft Defender или смотрите наш список воспроизведения на YouTube.
Предпосылки
Перед началом работы обратите внимание:
Эта статья предназначена для клиентов с существующей рабочей областью, включенной для Microsoft Sentinel, которые хотят перенести интерфейс Microsoft Sentinel на портал Defender. Если вы являетесь новым клиентом, который подключен с разрешениями владельца подписки или администратора доступа пользователей, ваши рабочие области автоматически подключены к порталу Defender.
Некоторые функции Microsoft Sentinel имеют новые расположения на портале Defender. Дополнительные сведения см. в кратком справочнике.
При необходимости подробные предварительные требования приведены в связанных статьях для каждого шага.
Планирование и настройка среды перехода
Аудитория: архитекторы безопасности
Видео:
- Настройка рабочей области Microsoft Sentinel в Microsoft Defender
- Управление унифицированным RBAC в Microsoft Defender
Ознакомьтесь с рекомендациями по планированию, выполнением предварительных требований и подключением
Просмотрите все рекомендации по планированию и завершите все предварительные требования, прежде чем подключить рабочую область к порталу Defender. Дополнительные сведения см. в следующих статьях:
Планирование унифицированных операций безопасности на портале Defender. После подключения к порталу Defender роль участника Microsoft Sentinel назначается приложениям Microsoft Threat Protection и WindowsDefenderATP в вашей подписке.
Развертывание унифицированных операций безопасности в портале Defender. Хотя эта статья предназначена для новых клиентов, которые еще не имеют рабочей области для Microsoft Sentinel или других служб, подключенных к порталу Defender, используйте его в качестве ссылки при переходе на портал Defender.
Подключите Microsoft Sentinel к порталу Defender. В этой статье перечислены необходимые условия для подключения рабочей области к порталу Defender. Если вы планируете использовать Microsoft Sentinel без XDR Defender, необходимо выполнить дополнительный шаг, чтобы активировать подключение между Microsoft Sentinel и порталом Defender.
Ознакомьтесь с различиями в хранении данных и конфиденциальности
При использовании портала Azure применяются политики Microsoft Sentinel для хранения данных, обработки, хранения и общего доступа. При использовании портала Defender вместо этого применяются политики Microsoft Defender XDR, даже когда вы работаете с данными Microsoft Sentinel.
В следующей таблице приведены дополнительные сведения и ссылки, позволяющие сравнивать интерфейсы на порталах Azure и Defender.
| Область поддержки | Портал Azure | Портал Defender |
|---|---|---|
| BCDR | Клиенты отвечают за репликацию своих данных | Microsoft Defender использует автоматизацию для BCDR на панелях управления. |
| Хранение и обработка данных |
-
Расположение хранилища данных - Поддерживаемые регионы |
Расположение хранилища данных |
| Хранение данных | Хранение данных | Хранение данных |
| Общий доступ к данным | Общий доступ к данным | Общий доступ к данным |
Дополнительные сведения можно найти здесь
- Географическая доступность и расположение данных в Microsoft Sentinel
- Безопасность и хранение данных в Microsoft Defender XDR
Подключение к порталу Defender с помощью ключей, управляемых клиентом (CMK)
Если вы включили CMK перед подключением, при подключении рабочей области с поддержкой Microsoft Sentinel на портал Defender все данные журнала в рабочей области по-прежнему шифруются с помощью CMK, включая как ранее, так и недавно отправленные данные.
Правила аналитики и другое содержимое Sentinel, такие как правила автоматизации, также продолжают шифроваться с помощью CMK. Однако оповещения и инциденты больше не будут зашифрованы с помощью CMK после подключения.
Дополнительные сведения о CMK см. в разделе "Настройка управляемого клиентом ключа Microsoft Sentinel".
Это важно
Шифрование CMK не полностью поддерживается для данных, хранящихся в озере данных Microsoft Sentinel. Все данные, передаваемые в озеро данных, такие как пользовательские таблицы или преобразованные данные, шифруются с помощью ключей, управляемых Корпорацией Майкрософт.
Настройка нескольких рабочих областей и мультитенантного управления
Defender поддерживает одну или несколько рабочих областей в нескольких арендаторах через мультитенантный портал, который служит центральным местом для управления инцидентами и оповещениями, поиска угроз между арендаторами и позволяет партнёрам по управляемым службам безопасности (MSSPs) получать представление о различных клиентах.
В сценариях с несколькими рабочими областями мультитенантный портал позволяет подключать одну основную рабочую область и несколько дополнительных рабочих областей для каждого клиента. Подключение каждой рабочей области к порталу Defender отдельно для каждого клиента, как подключение для одного клиента.
Дополнительные сведения можно найти здесь
Документация по Azure Lighthouse. Azure Lighthouse позволяет использовать данные Microsoft Sentinel из других клиентов в подключенных рабочих областях. Например, можно выполнять запросы между рабочими областями с помощью оператора
workspace()в аналитических правилах и правила расширенной охоты.Microsoft Entra B2B. Microsoft Entra B2B позволяет получать доступ к данным между арендаторами. GDAP не поддерживается для данных Microsoft Sentinel.
Настройка и проверка параметров и содержимого
Аудитория: инженеры безопасности
Видео: управление соединителями в Microsoft Defender
Подтверждение и настройка сбора данных
При интеграции Microsoft Sentinel с Microsoft Defender базовая архитектура сбора данных и потока телеметрии остается нетронутой. Существующие соединители, настроенные в Microsoft Sentinel, будь то для продуктов Microsoft Defender или других источников данных, продолжают работать без перебоев.
С точки зрения Log Analytics интеграция Microsoft Sentinel с Microsoft Defender не изменяет базовый конвейер приема или схему данных. Несмотря на объединение внешнего интерфейса, серверная часть Microsoft Sentinel остается полностью интегрированной с Log Analytics для хранения данных, поиска и корреляции.
Оповещения, связанные с продуктами Defender, передаются непосредственно из соединителя XDR в Microsoft Defender , чтобы обеспечить согласованность. Убедитесь, что в вашей рабочей области включены инциденты и оповещения из этого соединителя. После настройки этого соединителя данных в рабочей области, удаление рабочей области из Microsoft Defender также отключает соединитель Microsoft Defender XDR.
Дополнительные сведения см. в статье "Подключение данных из XDR Microsoft Defender к Microsoft Sentinel".
Интеграция с Microsoft Defender для облака
- Если вы используете соединитель данных на основе клиента для Defender for Cloud, обязательно выполните действия, чтобы предотвратить дублирующиеся события и оповещения.
- Если вы используете устаревший соединитель на основе подписки, не забудьте отказаться от синхронизации инцидентов и оповещений с Microsoft Defender.
Дополнительные сведения см. в разделе "Оповещения и инциденты" в Microsoft Defender.
Видимость соединителя данных на портале Defender
После подключения рабочей области к Defender следующие соединители данных используются для унифицированных операций безопасности и не отображаются на странице соединителей данных на портале Defender:
- Microsoft Defender для облачных приложений
- Microsoft Defender для Endpoint
- Microsoft Defender для идентификации
- Microsoft Defender для Office 365 (предварительная версия)
- Microsoft Defender XDR
- Microsoft Defender для облака по подписке (устаревшая версия)
- Microsoft Defender для облака для арендаторов (предварительная версия)
Эти соединители данных продолжают отображаться в Microsoft Sentinel на портале Azure.
Настройка экосистемы
Хотя диспетчер рабочей области Microsoft Sentinel недоступен на портале Defender, используйте одну из следующих альтернативных возможностей для распространения содержимого в виде кода в рабочих областях:
Разверните содержимое в виде кода из репозитория (общедоступная предварительная версия). Используйте ФАЙЛЫ YAML или JSON в GitHub или Azure DevOps для управления конфигурацией в Microsoft Sentinel и Defender с помощью унифицированных рабочих процессов CI/CD.
Мультитенантный портал. Мультитенантный портал Microsoft Defender поддерживает управление и распространение контента для нескольких арендаторов.
В противном случае перейдите к развертыванию пакетов решений, включающих различные типы содержимого безопасности из концентратора контента на портале Defender. Дополнительные сведения см. в статье «Обнаружение и управление встроенным содержимым Microsoft Sentinel».
Настройка правил аналитики
Правила аналитики Microsoft Sentinel доступны на портале Defender для обнаружения, настройки и управления. Функции правил аналитики остаются неизменными, включая создание, обновление и управление с помощью мастера, репозиториев и API Microsoft Sentinel. Корреляция инцидентов и обнаружение многоэтапных атак также продолжают работать на портале Defender. Функции корреляции оповещений, управляемые правилом Аналитики Fusion на портале Azure, обрабатываются подсистемой XDR Defender на портале Defender, которая объединяет все сигналы в одном месте.
При переходе на портал Defender важны следующие изменения:
| Функция | Описание |
|---|---|
| Правила настраиваемого обнаружения | Если у вас есть варианты использования, связанные с данными XDR Defender и Microsoft Sentinel, в которых не требуется хранить данные XDR Defender в течение более 30 дней, рекомендуется создавать пользовательские правила обнаружения , запрашивающие данные из таблиц XDR Microsoft Sentinel и Defender XDR. Это возможно без необходимости интеграции данных XDR Defender в Microsoft Sentinel. Дополнительные сведения см. в статье Об использовании пользовательских функций Microsoft Sentinel в расширенном поиске в Microsoft Defender. |
| Корреляция оповещений | На портале Defender корреляции автоматически применяются к оповещениям как к данным Microsoft Defender, так и к сторонним данным, поступающим из Microsoft Sentinel, независимо от сценариев оповещений. Критерии, используемые для сопоставления оповещений в одном инциденте, являются частью собственной логики корреляции портала Defender. Дополнительные сведения см. в разделе "Корреляция оповещений" и объединение инцидентов на портале Defender. |
| Объединение групп оповещений и слияние инцидентов | Хотя вы по-прежнему увидите конфигурацию группирования оповещений в правилах аналитики, подсистема корреляции XDR Defender полностью управляет группировкой оповещений и слиянием инцидентов при необходимости на портале Defender. Это обеспечивает комплексное представление полной истории атаки путем объединения соответствующих оповещений о многоэтапных атаках. Например, несколько отдельных правил аналитики, настроенных для создания инцидента для каждого оповещения, могут привести к объединенным инцидентам, если они соответствуют логике корреляции XDR Defender. |
| Видимость оповещений | Если у вас есть правила аналитики Microsoft Sentinel, настроенные только для активации оповещений, и создание инцидентов отключено, эти оповещения не отображаются на портале Defender. Однако, хотя редактор запросов Продвинутой охоты не распознает схему таблицы, вы все равно можете использовать таблицу в запросах и аналитических правилах. |
| Настройка оповещений | После подключения рабочей области Microsoft Sentinel к Defender все инциденты, в том числе из правил аналитики Microsoft Sentinel, создаются обработчиком XDR Defender. В результате возможности настройки оповещений на портале Defender, ранее доступные только для оповещений XDR Defender, теперь можно применить к оповещениям из Microsoft Sentinel. Эта функция позволяет оптимизировать реагирование на инциденты, автоматизируя решение распространенных оповещений, уменьшая ложные срабатывания и уменьшая шум, чтобы аналитики могли определять приоритеты важных инцидентов безопасности. |
| Fusion: расширенное обнаружение многосоставных атак | Правило аналитики Fusion, которое на портале Azure создает инциденты на основе корреляций оповещений, сделанных подсистемой корреляции Fusion, отключается при подключении Microsoft Sentinel к порталу Defender. Вы не теряете функции корреляции оповещений, так как портал Defender использует функции создания инцидентов и корреляции Microsoft Defender XDR для замены функций подсистемы Fusion. Дополнительные сведения см. в статье "Расширенное обнаружение многоэтапных атак" в Microsoft Sentinel |
Настройка правил автоматизации и сборников схем
В Microsoft Sentinel сборники схем основаны на рабочих процессах, встроенных в Azure Logic Apps, облачной службе, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в разных системах по всей организации.
Следующие ограничения применяются к правилам автоматизации Microsoft Sentinel и сборникам схем при работе на портале Defender. При переходе может потребоваться внести некоторые изменения в среду.
| Функция | Описание |
|---|---|
| Правила автоматизации с триггерами оповещений | На портале Defender правила автоматизации с триггерами оповещений действуют только в оповещениях Microsoft Sentinel. Дополнительные сведения см. в разделе "Триггер создания оповещений". |
| Правила автоматизации с триггерами инцидентов | На портале Azure и на портале Defender свойство условия поставщика инцидентов удаляется, так как все инциденты имеют Microsoft XDR в качестве поставщика инцидентов (значение в поле ProviderName ). На этом этапе все существующие правила автоматизации выполняются как в инцидентах Microsoft Sentinel, так и в XDR в Microsoft Defender, в том числе в тех случаях, когда условие поставщика инцидентов установлено только для Microsoft Sentinel или Microsoft 365 Defender. Однако правила автоматизации, указывающие определенное имя правила аналитики, выполняются только в инцидентах, содержащих оповещения, созданные указанным правилом аналитики. Это означает, что свойство условия имени правила аналитики можно определить в правиле аналитики, которое существует только в Microsoft Sentinel, чтобы ограничить выполнение правила на инциденты только в Microsoft Sentinel. Кроме того, после подключения к порталу Defender таблица SecurityIncident больше не содержит поле "Описание ". Следовательно: — Если вы используете это поле Description в качестве условия для правила автоматизации с триггером создания инцидента, это правило автоматизации не будет работать после подключения к порталу Defender. В таких случаях обязательно обновите конфигурацию соответствующим образом. Дополнительные сведения см. в разделе "Условия триггера инцидента". — Если у вас настроена интеграция с внешней системой запросов, например ServiceNow, то описание инцидента будет пропущено. |
| Задержка в триггерах сборника схем | Для появления инцидентов Microsoft Defender в Microsoft Sentinel может потребоваться до 5 минут . Если эта задержка присутствует, активация сборника схем также задерживается. |
| Изменения существующих имен инцидентов | Портал Defender использует уникальный механизм для сопоставления инцидентов и оповещений. При подключении рабочей области к порталу Defender существующие имена инцидентов могут быть изменены, если применяется корреляция. Чтобы правила автоматизации всегда выполнялись правильно, рекомендуется избегать использования заголовков инцидентов в качестве условий в правилах автоматизации и предлагать вместо этого использовать имя любого правила аналитики, которое создало оповещения, включенные в инцидент, и теги, если требуется более конкретное значение. |
| Обновлено по полю | Дополнительные сведения см. в разделе "Триггер обновления инцидентов". |
| Создание правил автоматизации непосредственно из инцидента | Создание правил автоматизации непосредственно из инцидента поддерживается только в портал Azure. Если вы работаете на портале Defender, создайте правила автоматизации с нуля со страницы автоматизации . |
| Правила создания инцидентов Майкрософт | Правила создания инцидентов Майкрософт не поддерживаются на портале Defender. Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт. |
| Выполнение правил автоматизации на портале Defender | Это может занять до 10 минут с момента активации оповещения и создания или обновления инцидента на портале Defender до момента запуска правила автоматизации. На этот раз задержка связана с тем, что инцидент создается на портале Defender, а затем пересылается в Microsoft Sentinel для правила автоматизации. |
| Вкладка "Активные сборники схем" | После подключения к порталу Defender по умолчанию на вкладке "Активные сборники схем" отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure добавьте данные для других подписок с помощью фильтра подписки. Дополнительные сведения см. в статье Создание и настройка плейбуков Microsoft Sentinel по шаблонам. |
| Выполнение сборников схем вручную по запросу | В настоящее время на портале Defender не поддерживаются следующие процедуры: |
| Выполнение сборников схем в инцидентах требует синхронизации Microsoft Sentinel | Если вы попытаетесь запустить сборник схем на портале Defender и увидите сообщение "Не удается получить доступ к данным, связанным с этим действием. Обновите экран через несколько минут". сообщение, это означает, что инцидент еще не синхронизирован с Microsoft Sentinel. Обновите страницу инцидента после синхронизации инцидента, чтобы успешно запустить сборник схем. |
|
Инциденты: добавление оповещений в инциденты / Удаление оповещений из инцидентов |
Так как добавление оповещений или удаление оповещений из инцидентов не поддерживается после подключения рабочей области к порталу Defender, эти действия также не поддерживаются из сборников схем. Дополнительные сведения см. в статье о сопоставлении оповещений и объединения инцидентов на портале Defender. |
| Интеграция XDR в Microsoft Defender в нескольких рабочих областях | Если вы интегрировали данные XDR с более чем одной рабочей областью в одном арендаторе, теперь данные будут приниматься только в основную рабочую область на портале Defender. Перенесите правила автоматизации в соответствующую рабочую область, чтобы обеспечить их выполнение. |
| Автоматизация и подсистема корреляции | Подсистема корреляции может объединять оповещения из нескольких сигналов в один инцидент, что может привести к автоматизации получения данных, которые вы не ожидали. Мы рекомендуем просмотреть правила автоматизации, чтобы убедиться, что вы видите ожидаемые результаты. |
Настройка API
Единый интерфейс на портале Defender вводит заметные изменения в инциденты и оповещения через API. Он поддерживает вызовы API на основе REST API Microsoft Graph версии 1.0, который можно использовать для автоматизации, связанных с оповещениями, инцидентами, расширенной охотой и т. д.
API Microsoft Sentinel продолжает поддерживать действия в отношении ресурсов Microsoft Sentinel, таких как правила аналитики, правила автоматизации и многое другое. Для взаимодействия с унифицированными инцидентами и оповещениями рекомендуется использовать REST API Microsoft Graph.
Если вы используете API Microsoft Sentinel для взаимодействия с инцидентами Microsoft Sentinel SecurityInsights , возможно, потребуется обновить условия автоматизации и активировать критерии из-за изменений в тексте ответа.
В следующей таблице перечислены поля, важные в фрагментах ответа, и сравниваются с ними на порталах Azure и Defender:
| Функция | Портал Azure | Портал Defender |
|---|---|---|
| Ссылка на инцидент |
incidentUrl: прямой URL-адрес инцидента на портале Microsoft Sentinel |
providerIncidentUrl : это дополнительное поле предоставляет прямую ссылку на инцидент, который можно использовать для синхронизации этих сведений с сторонней системой билетов, такой как ServiceNow. incidentUrl по-прежнему доступен, но он указывает на портал Microsoft Sentinel. |
| Источники, которые активировали обнаружение и опубликовали оповещение | alertProductNames |
alertProductNames: требуется добавить ?$expand=alerts в GET. Например: https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Имя поставщика оповещений |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Служба или продукт, создавший оповещение | Не существует на портале Azure | serviceSource Например, microsoftDefenderForCloudApps |
| Технология обнаружения или датчик, определяющий важный компонент или действие | Не существует на портале Azure |
detectionSource Например, cloudAppSecurity |
| Имя продукта, опубликованного в этом оповещении | Не существует на портале Azure |
productName Например, "Microsoft Defender для облачных приложений" |
Выполнение операций на портале Defender
Аудитория: аналитики безопасности
Видео:
- Обнаруживайте и управляйте содержимым и сведениями об угрозах Microsoft Sentinel в Microsoft Defender
- Создавайте автоматизацию и рабочие тетради в Microsoft Defender
- Корреляция оповещений в Microsoft Defender
- Расследование инцидентов в Microsoft Defender
- Управление делами в Microsoft Defender
- Расширенная охота в Microsoft Defender
- Оптимизация SOC в Microsoft Defender
Обновление процессов обработки инцидентов на портале Defender
Если вы использовали Microsoft Sentinel на портале Azure, вы заметите значительные улучшения взаимодействия с пользователем на портале Defender. Хотя вам может потребоваться обновить процессы SOC и переобучить аналитиков, проект объединяет все соответствующие сведения в одном месте, чтобы обеспечить более упрощенные и эффективные рабочие процессы.
Единая очередь инцидентов на портале Defender объединяет все инциденты из различных продуктов в едином виде, влияя на то, как аналитики проводят сортировку инцидентов, которые теперь содержат многочисленные междудоменные оповещения. Рассмотрим пример.
- Традиционно аналитики обрабатывают инциденты в зависимости от определенного домена безопасности или области опыта, часто обрабатывая запросы по каждой персоне, такой как пользователь или узел. Этот подход может создать слепые пятна, которые унифицированное взаимодействие стремится устранить.
- Когда злоумышленник движется боком, связанные сигналы тревоги могут оказаться в отдельных инцидентах из-за различных зон безопасности. Унифицированное взаимодействие устраняет эту проблему, предоставляя комплексное представление и гарантируя корреляцию всех связанных оповещений, обеспечивая целостное управление.
Аналитики также могут просматривать источники обнаружения и названия продуктов на портале Defender, а также применять и предоставлять доступ к фильтрам для повышения эффективности инцидентов и генерации оповещений.
Единый процесс обработки может помочь сократить рабочие нагрузки аналитиков и даже объединить роли аналитиков уровня 1 и уровня 2. Однако единый процесс триажа также может требовать более широких и глубоких знаний аналитика. Мы рекомендуем обучаться работе с новым интерфейсом портала, чтобы обеспечить плавный переход.
Дополнительные сведения см. в разделе Инциденты и оповещения на портале Microsoft Defender.
Поймите, как оповещения сопоставляются и инциденты объединяются на портале Defender
Подсистема корреляции Defender объединяет инциденты, когда он распознает общие элементы между оповещениями в отдельных инцидентах. Когда новое оповещение соответствует критериям корреляции, Microsoft Defender агрегирует и сопоставляет его с другими связанными оповещениями из всех источников обнаружения в новый инцидент. После подключения Microsoft Sentinel к порталу Defender единая очередь инцидентов показывает более полную атаку, что делает аналитиков более эффективными и предоставляя полную историю атаки.
В сценариях с несколькими рабочими областями только оповещения из основной рабочей области сопоставляются с данными XDR в Microsoft Defender. Существуют также конкретные сценарии, в которых инциденты не объединяются.
После подключения Microsoft Sentinel к порталу Defender следующие изменения применяются к инцидентам и оповещениям:
| Функция | Описание |
|---|---|
| Задержка сразу после подключения рабочей области | Для полной интеграции инцидентов Microsoft Defender с Microsoft Sentinel может потребоваться до 5 минут. Это не влияет на функции, предоставляемые непосредственно Microsoft Defender, такие как автоматическое прерывание атак. |
| Правила создания инцидентов безопасности | Все активные правила создания инцидентов безопасности Майкрософт деактивируются, чтобы избежать создания повторяющихся инцидентов. Параметры создания инцидентов в других типах правил аналитики остаются неизменными и настраиваются на портале Defender. |
| Имя поставщика инцидентов | На портале Defender имя поставщика инцидентов всегда — Microsoft XDR. |
| Добавление и удаление оповещений из инцидентов | Добавление или удаление оповещений Microsoft Sentinel в инциденты или из них поддерживается только в портале Microsoft Defender. Чтобы удалить оповещение из инцидента на портале Defender, необходимо добавить оповещение в другой инцидент. |
| Редактирование комментариев | Добавьте комментарии к инцидентам на портале Defender или Azure, но редактирование существующих комментариев не поддерживается на портале Defender. Изменения, внесенные в комментарии на портале Azure, не синхронизируются с порталом Defender. |
| Программное и ручное создание инцидентов | Инциденты, созданные в Microsoft Sentinel через API, плейбук Logic App или вручную из портала Azure, не синхронизируются с порталом Defender. Эти инциденты по-прежнему поддерживаются в портале Azure и в API. См. Создавайте собственные инциденты вручную в Microsoft Sentinel. |
| Повторное открытие закрытых инцидентов | На портале Defender нельзя задать группирование оповещений в правилах аналитики Microsoft Sentinel, чтобы повторно открыть закрытые инциденты при добавлении новых оповещений. Закрытые инциденты не открываются повторно в этом случае, а новые оповещения активируют новые инциденты. |
| задачи | Задачи инцидентов недоступны на портале Microsoft Defender. Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel". |
Дополнительные сведения см. в разделе "Инциденты и оповещения" на портале Microsoft Defender и в разделе "Корреляция оповещений и слияние инцидентов" на портале Microsoft Defender.
Обратите внимание на изменения для исследований с расширенной охотой
После интеграции Microsoft Sentinel с порталом Defender вы получите доступ и сможете использовать все существующие таблицы регистрации, запросы языка Kusto Query Language (KQL) и функции на странице расширенного поиска. Все оповещения Microsoft Sentinel, связанные с инцидентами, передаются в AlertInfo таблицу, доступную на странице Advanced Hunting.
Существуют некоторые различия, такие как:
- Закладки не поддерживаются в расширенной охоте. Вместо этого закладки поддерживаются на портале Microsoft Defender в Microsoft Sentinel > Управление угрозами > Охота.
- Хотя таблица SecurityAlert не отображаетсяв списке таблиц >, она по-прежнему поддерживается в запросах.
Дополнительные сведения см. в статье "Расширенная охота с данными Microsoft Sentinel" в Microsoft Defender, особенно в списке известных проблем и отслеживании данных во время охоты с помощью Microsoft Sentinel.
Исследуйте сущности на портале Defender
На портале Microsoft Defender сущности обычно являются ресурсами, такими как учетные записи, узлы или почтовые ящики, или доказательства, такие как IP-адреса, файлы или URL-адреса.
После подключения Microsoft Sentinel к порталу Defender страницы сущностей для пользователей, устройств и IP-адресов объединяются в единое представление с исчерпывающим представлением о действиях и контексте сущности и данных как от Microsoft Sentinel, так и от XDR Microsoft Defender.
Портал Defender также предоставляет глобальную панель поиска, которая централизует результаты всех сущностей, позволяя вам выполнять поиск по SIEM и XDR.
Дополнительные сведения см. на страницах сущностей в Microsoft Sentinel.
Исследуйте с помощью UEBA на портале Defender
Большинство функций Аналитики поведения пользователей и сущностей (UEBA) остаются неизменными на портале Defender, как и на портале Azure, с следующими исключениями:
Добавление сущностей в аналитику угроз из инцидентов поддерживается только на портале Azure. Дополнительные сведения см. в разделе "Добавление сущности в индикаторы угроз".
После подключения Microsoft Sentinel к порталу Defender таблица, используемая там, включает объединенные поля, полученные из XDR Defender и Microsoft Sentinel. Некоторые поля, которые существуют при использовании на портале Azure, переименованы на портале Defender или не поддерживаются вообще. Мы рекомендуем проверить запросы на все ссылки на эти поля и обновить их по мере необходимости. Дополнительные сведения см. в таблице IdentityInfo.
Обновление процессов исследования для использования аналитики угроз Microsoft Defender
Для клиентов Microsoft Sentinel, переходящих с портала Azure на портал Defender, знакомые функции аналитики угроз сохраняются на портале Defender под управлением Intel и улучшены с помощью других функций аналитики угроз, доступных на портале Defender. Поддерживаемые функции зависят от лицензий, которые у вас есть, например:
| Функция | Описание |
|---|---|
| Аналитика угроз | Поддерживается для клиентов Microsoft Defender XDR. Решение в продукте, предоставляемое исследователями по безопасности Майкрософт, предназначенное для поддержки групп безопасности, предлагая аналитические сведения о новых угрозах, активных угрозах и их влиянии. Данные представлены на интуитивно понятной панели мониторинга с карточками, строками данных, фильтрами и т. д. |
| Профили Intel | Поддерживается для клиентов Microsoft Defender Threat Intelligence . Классифицируйте угрозы и поведение по профилю субъекта угроз, что упрощает отслеживание и корреляцию. Эти профили включают любые индикаторы компрометации (IoC), связанные с тактикой, методами и инструментами, используемыми в атаках. |
| Intel Обозреватель | Поддерживается для клиентов Microsoft Defender Threat Intelligence . Объединяет доступные Индикаторы компрометации и предоставляет статьи, связанные с угрозами, по мере их размещения, что позволяет командам безопасности оставаться в курсе появляющихся угроз. |
| Проекты Intel | Поддерживается для клиентов Microsoft Defender Threat Intelligence . Позволяет командам консолидировать аналитику угроз в "проект" для просмотра всех артефактов, связанных с конкретным сценарием. |
На портале Defender используйте ThreatIntelOjbects и ThreatIntelIndicators вместе с индикаторами компрометации для поиска угроз, реагирования на инциденты, Copilot, отчетности и для создания реляционных графов, показывающих взаимосвязи между индикаторами и сущностями.
Для клиентов, использующих ленту Microsoft Defender Threat Intelligence (MDTI), бесплатная версия доступна через коннектор данных Microsoft Sentinel для MDTI. Пользователи с лицензиями MDTI также могут получать данные MDTI и использовать Security Copilot для анализа угроз, активного анализа угроз и исследования связанных с угрозами субъектов.
Дополнительные сведения можно найти здесь
- управления угрозами
- Аналитика угроз в Microsoft Defender XDR
- Использование проектов
- Аналитика угроз в Microsoft Sentinel
Используйте рабочие книги для визуализации и создания отчетов на основе данных Microsoft Defender
Книги Azure по-прежнему являются основным инструментом для визуализации и взаимодействия с данными на портале Defender, функционируют так же, как и на портале Azure.
Чтобы использовать книги с данными из Продвинутой охоты, убедитесь, что вы загружаете логи в Microsoft Sentinel.
Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью рабочих тетрадей в Microsoft Sentinel.
Аналогичные инциденты (предварительная версия) не поддерживаются на портале Defender
Функция Microsoft Sentinel аналогичных инцидентов, доступная в предварительной версии, не поддерживается на портале Defender. Это означает, что при просмотре страницы сведений об инциденте на портале Defender вкладка "Похожие инциденты " недоступна.
Связанный контент
- Лучший из Microsoft Sentinel — теперь в Microsoft Defender (блог)
- Просмотрите вебинар: переход на единую платформу SOC: глубокое погружение и интерактивный Q&A для специалистов SOC.
- Ознакомьтесь с часто задаваемыми вопросами в блоге TechCommunity или в Центре сообщества Майкрософт.