Подключение Microsoft Sentinel к порталу Microsoft Defender
Microsoft Sentinel общедоступна на платформе объединенных операций безопасности (SecOps) Корпорации Майкрософт на портале Microsoft Defender. При подключении Microsoft Sentinel к порталу Defender с помощью Microsoft Defender XDR вы объединяете такие возможности, как управление инцидентами и расширенная охота. Сократите переключение инструментов и создайте более контекстно-ориентированное исследование, которое ускоряет реагирование на инциденты и быстрее останавливает нарушения. Дополнительные сведения см. в разделе:
- Запись блога: Общая доступность платформы унифицированных операций безопасности Майкрософт
- Запись блога: Часто задаваемые вопросы о единой платформе операций безопасности
- Microsoft Sentinel на портале Microsoft Defender
- интеграция Microsoft Defender XDR с Microsoft Sentinel
В предварительной версии Microsoft Sentinel доступны на портале Defender без Microsoft Defender XDR или лицензии E5.
Предварительные условия
Прежде чем приступить к работе, ознакомьтесь с документацией по функциям, чтобы узнать об изменениях и ограничениях продукта.
- Microsoft Sentinel на портале Microsoft Defender
- Расширенная охота на портале Microsoft Defender
- Оповещения, инциденты и корреляция в Microsoft Defender XDR
- Автоматизация с помощью единой платформы операций безопасности
Портал Microsoft Defender поддерживает один клиент Microsoft Entra и подключение к одной рабочей области одновременно. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.
предварительные требования Microsoft Sentinel
Чтобы подключить и использовать Microsoft Sentinel на портале Defender, необходимо иметь следующие ресурсы и доступ:
Рабочая область Log Analytics с включенным Microsoft Sentinel
Соединитель данных для Microsoft Defender XDR включен в Microsoft Sentinel для инцидентов и оповещений. Установите решение Defender XDR и настройте соединитель данных для подключения Microsoft Sentinel к порталу Defender. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Учетная запись Azure с соответствующими ролями для подключения, использования и создания запросов на поддержку для Microsoft Sentinel на портале Defender. В следующей таблице выделены некоторые ключевые роли, необходимые.
Задача требуется Microsoft Entra или встроенная роль Azure Scope Подключение Microsoft Sentinel к порталу Defender глобальный администратор или администратор безопасности в Microsoft Entra ID Tenant Подключение или отключение рабочей области с включенным Microsoft Sentinel Владелец или
администратор доступа пользователей и участник Microsoft Sentinel— подписка для ролей
владельца или администратора доступа пользователей — подписка, группа ресурсов или ресурс рабочей области для Microsoft Sentinel участникаПросмотр Microsoft Sentinel на портале Defender Средство чтения Microsoft Sentinel Подписка, группа ресурсов или ресурс рабочей области Запрос Sentinel таблиц данных или просмотр инцидентов Microsoft Sentinel читателя или роль со следующими действиями:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readПодписка, группа ресурсов или ресурс рабочей области Проведение следственных действий по инцидентам Microsoft Sentinel участник или роль со следующими действиями:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
— Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeПодписка, группа ресурсов или ресурс рабочей области Создание запроса в службу поддержки Владелец,
участник или
запрос на поддержку участник или настраиваемой роли в Microsoft.Support/*Подписка После подключения Microsoft Sentinel к порталу Defender существующие разрешения на управление доступом на основе ролей Azure (RBAC) позволяют работать с Microsoft Sentinel функциями, к которым у вас есть доступ. Продолжайте управлять ролями и разрешениями для пользователей Microsoft Sentinel из портал Azure. Все изменения Azure RBAC отражаются на портале Defender. Дополнительные сведения о разрешениях Microsoft Sentinel см. в разделе Роли и разрешения в Microsoft Sentinel | Microsoft Learn и управление доступом к Microsoft Sentinel данным по ресурсам | Microsoft Learn.
Предварительные требования для единой платформы SecOps корпорации Майкрософт
Для объединения возможностей с Defender XDR на унифицированной платформе SecOps корпорации Майкрософт необходимо иметь следующие ресурсы и доступ:
- Лицензирование для Defender XDR, как описано в разделе предварительные требования Microsoft Defender XDR
- Учетная запись для Defender XDR является членом того же клиента Microsoft Entra, с которым связана Microsoft Sentinel.
- Доступ к Microsoft Defender XDR на портале Defender, как описано в разделе предварительные требования Microsoft Defender XDR
Подключение Microsoft Sentinel
Чтобы подключить рабочую область Microsoft Sentinel к порталу Defender, выполните следующие действия. При подключении Microsoft Sentinel без Defender XDR (предварительная версия) необходимо активировать подключение к Microsoft Sentinel и порталу Defender.
Перейдите на портал Microsoft Defender и выполните вход.
Чтобы подключить Microsoft Sentinel без Defender XDR на портале Defender:
- Чтобы активировать подключение с Microsoft Sentinel, выберите Исследование & реагирования>Инциденты.
- Подождите несколько минут, пока подключение завершится.
На портале Defender выберите Обзор.
Выберите Подключить рабочую область.
Выберите рабочую область, которую требуется подключить, и нажмите кнопку Далее.
Ознакомьтесь с изменениями продукта, связанными с подключением рабочей области. К этим изменениям относятся:
- Таблицы журналов, запросы и функции в рабочей области Microsoft Sentinel также доступны при расширенном поиске на портале Defender.
- Роль участника Microsoft Sentinel назначается приложениям Microsoft Threat Protection и WindowsDefenderATP в подписке.
- Активные правила создания инцидентов безопасности Майкрософт деактивируются, чтобы избежать повторяющихся инцидентов. Это изменение применяется только к правилам создания инцидентов для оповещений Майкрософт, но не к другим правилам аналитики.
- Все оповещения, связанные с Defender XDR продуктами, передаются непосредственно из соединителя данных main Defender XDR для обеспечения согласованности. Убедитесь, что в рабочей области включено сообщение об инцидентах и оповещениях из этого соединителя.
Нажмите Подключиться.
После подключения рабочей области баннер на странице Обзор показывает, что ваша среда готова. Страница Обзор обновлена новыми разделами, включающими метрики из Microsoft Sentinel, такие как количество соединителей данных и правила автоматизации.
Изучение функций Microsoft Sentinel на портале Defender
После подключения рабочей области к порталу Defender Microsoft Sentinel находится на панели навигации слева. Если вы включили Defender XDR, такие страницы, как Обзор, Инциденты и Расширенная охота, имеют унифицированные данные из Microsoft Sentinel и Defender XDR. Если вы не включили Defender XDR, эти страницы просто содержат данные из Microsoft Sentinel (предварительная версия). Дополнительные сведения об унифицированных возможностях и различиях между порталами см. в разделе Microsoft Sentinel на портале Microsoft Defender.
Многие существующие функции Microsoft Sentinel интегрированы на портале Defender. Обратите внимание, что интерфейс между Microsoft Sentinel в портал Azure и портале Defender аналогичен. Используйте следующие статьи, чтобы приступить к работе с Microsoft Sentinel на портале Defender. При использовании этих статей имейте в виду, что отправной точкой в этом контексте является портал Defender, а не портал Azure.
- Поиск
- Управление угрозами
- Визуализация и мониторинг данных с помощью книг
- Проведение сквозной охоты на угрозы с помощью Hunts
- Использование охотничьих закладок для исследования данных
- Использование охоты livestream в Microsoft Sentinel для обнаружения угроз
- Поиск угроз безопасности с помощью записных книжек Jupyter
- Массовое добавление индикаторов в Microsoft Sentinel аналитики угроз из CSV-файла или JSON
- Работа с индикаторами угроз в Microsoft Sentinel
- Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK
- Управление контентом
- Конфигурация
- Поиск соединителя данных Microsoft Sentinel
- Создание настраиваемых правил аналитики для обнаружения угроз
- Работа с правилами аналитики обнаружения почти в реальном времени (NRT) в Microsoft Sentinel
- Создание списков отслеживания
- Управление списками отслеживания в Microsoft Sentinel
- Создание правил автоматизации
- Создание и настройка сборников схем Microsoft Sentinel из шаблонов контента
Найдите параметры Microsoft Sentinel на портале Defender в разделеПараметры>системы>Microsoft Sentinel.
Offboard Microsoft Sentinel
Одновременно к порталу Defender может быть подключена только одна рабочая область. Если вы хотите подключиться к другой рабочей области, в которой Microsoft Sentinel включена, отключите текущую рабочую область и подключите другую рабочую область.
Перейдите на портал Microsoft Defender и выполните вход.
На портале Defender в разделе Система выберите Параметры>Microsoft Sentinel.
На странице Рабочие области выберите подключенную рабочую область и Отключить рабочую область.
Укажите причину отключения рабочей области.
Подтвердите выбор.
Если рабочая область отключена, раздел Microsoft Sentinel удаляется из левой части навигации на портале Defender. Данные из Microsoft Sentinel больше не включаются на страницу Обзор.
Если вы хотите подключиться к другой рабочей области, на странице Рабочие области выберите рабочую область и Подключите рабочую область.