Подключение Microsoft Sentinel к порталу Microsoft Defender

Microsoft Sentinel общедоступна на портале Microsoft Defender с Microsoft Defender XDR или лицензией E5 или без нее. При подключении Microsoft Sentinel к порталу Defender вместе Microsoft Defender XDR вы объединяете такие возможности, как управление инцидентами и расширенная охота. Сократите переключение инструментов и создайте более контекстно-ориентированное исследование, которое ускоряет реагирование на инциденты и быстрее останавливает нарушения. Дополнительные сведения см. в разделе:

• Что такое унифицированные операции безопасности?
• Microsoft Sentinel на портале Microsoft Defender
• интеграция Microsoft Defender XDR с Microsoft Sentinel

Предварительные условия

Прежде чем приступить к работе, ознакомьтесь с документацией по функциям, чтобы узнать об изменениях и ограничениях продукта.

• Microsoft Sentinel на портале Microsoft Defender
• Расширенная охота на портале Microsoft Defender
• Оповещения, инциденты и корреляция в Microsoft Defender XDR
• Microsoft Sentinel автоматизации на портале Defender

Портал Microsoft Defender поддерживает один клиент Microsoft Entra и подключение к основной рабочей области и нескольким дополнительным рабочим областям. Если при подключении Microsoft Sentinel у вас есть только одна рабочая область, она назначается в качестве основной рабочей области. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.

предварительные требования Microsoft Sentinel

Чтобы подключить и использовать Microsoft Sentinel на портале Defender, необходимо иметь следующие ресурсы и доступ:

• Рабочая область Log Analytics с включенным Microsoft Sentinel

• Учетная запись Azure с соответствующими ролями для подключения, использования и создания запросов на поддержку для Microsoft Sentinel на портале Defender. Вы не увидите рабочие области на портале Defender для подключения, где у вас нет необходимых разрешений. В следующей таблице выделены некоторые ключевые роли, необходимые.

  Задача	требуется Microsoft Entra или встроенная роль Azure	Scope
  Подключение Microsoft Sentinel к порталу Defender	Одно из следующих действий в Microsoft Entra ID: - глобальный администратор и владелец подписки - Администратор безопасности И владелец подписки - глобальный администратор и администратор доступа пользователей и участник Microsoft Sentinel - Администратор безопасности And User Access Administrator AND Microsoft Sentinel участник	Tenant
  Подключение или отключение дополнительной рабочей области	Один из следующих продуктов: - глобальный администратор и владелец подписки - Администратор безопасности И владелец подписки - глобальный администратор и администратор доступа пользователей и участник Microsoft Sentinel - Администратор безопасности And User Access Administrator AND Microsoft Sentinel участник — Владелец подписки - Администратор доступа пользователей И участник Microsoft Sentinel	— Роли владельца подписки или администратора доступа пользователей — подписка, группа ресурсов или ресурс рабочей области для Microsoft Sentinel участника.
  Изменение основной рабочей области	глобальный администратор или администратор безопасности в Microsoft Entra ID	Tenant
  Просмотр Microsoft Sentinel на портале Defender	Средство чтения Microsoft Sentinel	Подписка, группа ресурсов или ресурс рабочей области
  Запрос Microsoft Sentinel таблиц данных или просмотр инцидентов	Microsoft Sentinel читателя или роль со следующими действиями: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Подписка, группа ресурсов или ресурс рабочей области
  Проведение следственных действий по инцидентам	Microsoft Sentinel участник или роль со следующими действиями: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write — Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Подписка, группа ресурсов или ресурс рабочей области
  Создание запроса в службу поддержки	Владелец, участник или запрос на поддержку участник или настраиваемой роли в Microsoft.Support/*	Подписка

  После подключения Microsoft Sentinel к порталу Defender существующие разрешения на управление доступом на основе ролей Azure (RBAC) позволяют работать с Microsoft Sentinel функциями, к которым у вас есть доступ. Продолжайте управлять ролями и разрешениями для пользователей Microsoft Sentinel из портал Azure, так как любые изменения Azure RBAC отражаются на портале Defender.

  Дополнительные сведения см. в разделах Роли и разрешения в Microsoft Sentinel и Управление доступом к Microsoft Sentinel данным по ресурсу.

  Важно!

  Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Предварительные требования для унифицированных операций безопасности

Для объединения Microsoft Defender XDR и Microsoft Sentinel операций безопасности на портале Defender необходимо иметь следующие ресурсы и доступ:

• Лицензирование для Defender XDR, как описано в разделе предварительные требования Microsoft Defender XDR
• Учетная запись для Defender XDR является членом того же клиента Microsoft Entra, с которым связана Microsoft Sentinel.
• Доступ к Microsoft Defender XDR на портале Defender, как описано в разделе предварительные требования Microsoft Defender XDR

Если применимо, выполните следующие предварительные требования:

Подключение Microsoft Sentinel

Чтобы подключить рабочую область Microsoft Sentinel к порталу Defender, выполните следующие действия. Если вы выполняете подключение Microsoft Sentinel без Defender XDR, существует дополнительный шаг для активации подключения к Microsoft Sentinel и порталу Defender.

1. Перейдите на портал Microsoft Defender и выполните вход.
2. Чтобы подключить Microsoft Sentinel без Defender XDR на портале Defender:
   1. Чтобы активировать подключение с Microsoft Sentinel, выберите Исследование & реагирования>Инциденты.
   2. Подождите несколько минут, пока подключение завершится.
3. На портале Defender выберите Обзор.
4. Выберите Подключить рабочую область.
5. Выберите рабочие области, которые требуется подключить, и нажмите кнопку Далее.
6. Выберите основную рабочую область.
7. Ознакомьтесь с изменениями продукта, связанными с подключением рабочей области.
8. Нажмите Подключиться.

После подключения рабочей области баннер на странице Обзор показывает, что ваша среда готова. Страница Обзор обновлена новыми разделами, включающими метрики из Microsoft Sentinel, такие как количество соединителей данных и правила автоматизации.

Изучение функций Microsoft Sentinel на портале Defender

После подключения рабочей области к порталу Defender Microsoft Sentinel находится на панели навигации слева. Если вы включили Defender XDR, такие страницы, как Обзор, Инциденты и Расширенная охота, имеют унифицированные данные из основной рабочей области для Microsoft Sentinel и Defender XDR. Если вы не включили Defender XDR, эти страницы просто включают данные из Microsoft Sentinel. Дополнительные сведения об унифицированных возможностях и различиях между порталами см. в разделе Microsoft Sentinel на портале Microsoft Defender.

Многие существующие функции Microsoft Sentinel интегрированы на портале Defender. Обратите внимание, что интерфейс между Microsoft Sentinel в портал Azure и портале Defender аналогичен. Используйте следующие статьи, чтобы приступить к работе с Microsoft Sentinel на портале Defender. При использовании этих статей имейте в виду, что отправной точкой в этом контексте является портал Defender, а не портал Azure.

• Поиск
  • Поиск по длительным интервалам времени в больших наборах данных
  • Восстановление архивных журналов из поиска
• Управление угрозами
  • Визуализация и мониторинг данных с помощью книг
  • Проведение сквозной охоты на угрозы с помощью Hunts
  • Использование охотничьих закладок для исследования данных
  • Использование охоты livestream в Microsoft Sentinel для обнаружения угроз
  • Поиск угроз безопасности с помощью записных книжек Jupyter
  • Массовое добавление индикаторов в Microsoft Sentinel аналитики угроз из CSV-файла или JSON
  • Работа с индикаторами угроз в Microsoft Sentinel
  • Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK
• Управление контентом
  • Обнаружение содержимого Microsoft Sentinel и управление ими
  • каталог центра содержимого Microsoft Sentinel
  • Развертывание пользовательского содержимого из репозитория
• Конфигурация
  • Поиск соединителя данных Microsoft Sentinel
  • Создание настраиваемых правил аналитики для обнаружения угроз
  • Работа с правилами аналитики обнаружения почти в реальном времени (NRT) в Microsoft Sentinel
  • Создание списков отслеживания
  • Управление списками отслеживания в Microsoft Sentinel
  • Создание правил автоматизации
  • Создание и настройка сборников схем Microsoft Sentinel из шаблонов контента

Найдите параметры Microsoft Sentinel на портале Defender в разделеПараметры>системы>Microsoft Sentinel.

Изменение основной рабочей области

Одновременно к порталу Defender может быть подключена только одна основная рабочая область. Но вы можете изменить основную рабочую область.

1. На портале Defender перейдите в разделПараметры>системы>Microsoft Sentinel>Рабочая пространства.
2. Выберите имя рабочей области, которую вы хотите сделать основной.
3. Выберите Задать в качестве основного.
4. Ознакомьтесь с изменениями продукта, связанными с изменением основной рабочей области, и изучите их.
5. Выберите Подтвердить и продолжить.

При переключении основной рабочей области для Microsoft Sentinel соединитель Defender XDR подключается к новой основной и автоматически отключается от предыдущей. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender.

Offboard Microsoft Sentinel

Если вы решили отключить рабочую область на портале Defender, отключите рабочую область от параметров для Microsoft Sentinel.

1. Перейдите на портал Microsoft Defender и выполните вход.

2. На портале Defender в разделе Система выберите Параметры>Microsoft Sentinel.

3. На странице Рабочие области выберите подключенную рабочую область и Отключить рабочую область.

4. Укажите причину отключения рабочей области.

5. Подтвердите выбор.

   Если рабочая область отключена, раздел Microsoft Sentinel удаляется из левой части навигации на портале Defender. Данные из Microsoft Sentinel больше не включаются на страницу Обзор.

Если вы хотите подключиться к другой рабочей области, на странице Рабочие области выберите рабочую область и Подключите рабочую область.

Связанные материалы

• Microsoft Sentinel на портале Microsoft Defender
• Расширенная охота на портале Microsoft Defender
• Автоматическое нарушение атак в Microsoft Defender XDR
• Исследование инцидентов на портале Microsoft Defender
• Оптимизация операций безопасности