Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel общедоступен на портале Microsoft Defender с Microsoft Defender XDR или лицензией E5 или без нее. Используя Microsoft Sentinel на портале Defender вместе с Microsoft Defender XDR службами, вы объединяете такие возможности, как управление инцидентами и расширенная охота. Сократите переключение инструментов и создайте более контекстно-ориентированное исследование, которое ускоряет реагирование на инциденты и быстрее останавливает нарушения.
Эта статья относится к клиентам, рабочие области Microsoft Sentinel которых еще не подключены к порталу Defender. Во многих случаях клиенты, подключенные к Microsoft Sentinel после 1 июля 2025 г., автоматически подключены к порталу Defender.
Дополнительные сведения см. в разделе:
- Что такое унифицированные операции безопасности?
- Microsoft Sentinel на портале Microsoft Defender
- интеграция Microsoft Defender XDR с Microsoft Sentinel
Предварительные условия
Прежде чем приступить к работе, ознакомьтесь с документацией по функциям, чтобы узнать об изменениях и ограничениях продукта.
- Microsoft Sentinel на портале Microsoft Defender
- Расширенная охота на портале Microsoft Defender
- Оповещения, инциденты и корреляция в Microsoft Defender XDR
- Автоматизация Microsoft Sentinel на портале Defender
Портал Microsoft Defender поддерживает один клиент Microsoft Entra и подключение к основной рабочей области и нескольким дополнительным рабочим областям. Если у вас есть только одна рабочая область при подключении Microsoft Sentinel, она назначается в качестве основной рабочей области. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender. В контексте этой статьи рабочая область — это рабочая область Log Analytics с включенным Microsoft Sentinel.
Предварительные требования Для Microsoft Sentinel
Чтобы подключить и использовать Microsoft Sentinel на портале Defender, необходимо иметь следующие ресурсы и доступ:
Рабочая область Log Analytics с включенным Microsoft Sentinel
Учетная запись Azure с соответствующими ролями для подключения, использования и создания запросов на поддержку Microsoft Sentinel на портале Defender. Вы не увидите рабочие области на портале Defender для подключения, где у вас нет необходимых разрешений. В следующей таблице выделены некоторые ключевые роли, необходимые.
Задача требуется Microsoft Entra или встроенная роль Azure Scope Подключение Microsoft Sentinel к порталу Defender глобальный администратор или администратор безопасности в идентификаторе Microsoft Entra
Владелец или
администратор доступа пользователей и участник Microsoft SentinelTenant
— Подписка для ролей
владельца или администратора доступа пользователей — подписка, группа ресурсов или ресурс рабочей области для участника Microsoft Sentinel.Подключение или отключение дополнительной рабочей области глобальный администратор или администратор безопасности в идентификаторе Microsoft Entra
Владелец или
администратор доступа пользователей и участник Microsoft SentinelTenant
— Подписка для ролей
владельца или администратора доступа пользователей — подписка, группа ресурсов или ресурс рабочей области для участника Microsoft Sentinel.Изменение основной рабочей области глобальный администратор или администратор безопасности в идентификаторе Microsoft Entra
Владелец или
администратор доступа пользователей и участник Microsoft SentinelTenant
— Подписка для ролей
владельца или администратора доступа пользователей — подписка, группа ресурсов или ресурс рабочей области для участника Microsoft Sentinel.Просмотр Microsoft Sentinel на портале Defender Средство чтения Microsoft Sentinel Подписка, группа ресурсов или ресурс рабочей области Запрос таблиц данных Microsoft Sentinel или просмотр инцидентов Читатель Microsoft Sentinel или роль со следующими действиями:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/readПодписка, группа ресурсов или ресурс рабочей области Проведение следственных действий по инцидентам Участник Microsoft Sentinel или роль со следующими действиями:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents
/read- Microsoft.SecurityInsights/incidents/relations/read
— Microsoft.SecurityInsights/incidents/relations/write
— Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeПодписка, группа ресурсов или ресурс рабочей области Создание запроса в службу поддержки Владелец,
участник или
запрос на поддержку участник или настраиваемой роли в Microsoft.Support/*Подписка Если вы работаете с несколькими клиентами, обратите внимание, что детализированные делегированные права администратора (GDAP) в Azure Lighthouse не поддерживаются для данных Microsoft Sentinel на портале Defender. Вместо этого используйте Microsoft Entra проверки подлинности B2B. Дополнительные сведения см. в разделе Настройка управления Microsoft Defender несколькими клиентами.
После подключения Microsoft Sentinel к порталу Defender существующие разрешения на управление доступом на основе ролей Azure (RBAC) позволяют работать с функциями Microsoft Sentinel, к которым у вас есть доступ. Продолжайте управлять ролями и разрешениями для пользователей Microsoft Sentinel из портал Azure, так как любые изменения Azure RBAC отражаются на портале Defender.
Дополнительные сведения см. в разделах Роли и разрешения в Microsoft Sentinel и Управление доступом к данным Microsoft Sentinel по ресурсу.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Предварительные требования для унифицированных операций безопасности
Для объединения операций безопасности Microsoft Defender XDR и Microsoft Sentinel на портале Defender необходимо иметь следующие ресурсы и доступ:
- Лицензирование для Defender XDR, как описано в разделе предварительные требования Microsoft Defender XDR
- Учетная запись для Defender XDR является членом того же клиента Microsoft Entra, с которым связан Microsoft Sentinel
- Доступ к Microsoft Defender XDR на портале Defender, как описано в разделе предварительные требования Microsoft Defender XDR
Если применимо, выполните следующие предварительные требования:
| Служба | Предварительное условие |
|---|---|
| Управление внутренними рисками Microsoft Purview | Если ваша организация использует Управление внутренними рисками Microsoft Purview, интегрируйте эти данные, включив соединитель данных Microsoft 365 Insider Risk Management в основной рабочей области для Microsoft Sentinel. Отключите этот соединитель во всех дополнительных рабочих областях Для Microsoft Sentinel, которые планируется подключить к порталу Defender. — Установите решение Управление внутренними рисками Microsoft Purview из центра содержимого в основной рабочей области. — настройка соединителя данных. Дополнительные сведения см. в статье Обнаружение содержимого Microsoft Sentinel и управление ими. |
| Microsoft Defender для облака | Потоковая передача инцидентов Defender для облака, которые коррелируются во всех подписках клиента с основной рабочей областью Для Microsoft Sentinel: — Подключите соединитель данных Microsoft Defender для облака на основе клиента (предварительная версия) в основной рабочей области. — отключите соединитель оповещений Microsoft Defender на основе подписки для облака (устаревшая версия) от всех рабочих областей в клиенте. Если вы не хотите передавать коррелированные данные клиента для Defender для облака в основную рабочую область, продолжайте использовать соединитель Microsoft Defender на основе подписки для облака (устаревшая версия) в рабочих областях. Дополнительные сведения см. в статье Прием Microsoft Defender для инцидентов в облаке с интеграцией Microsoft Defender XDR. |
Подключение Microsoft Sentinel
В этой процедуре описывается подключение рабочей области с поддержкой Microsoft Sentinel к порталу Defender.
- Перейдите на портал Microsoft Defender и выполните вход.
- ВыберитеПараметры>системы>Microsoft Sentinel>Подключить рабочую область.
- Выберите рабочие области, которые требуется подключить, и нажмите кнопку Далее.
- Выберите основную рабочую область.
- Ознакомьтесь с изменениями продукта, связанными с подключением рабочей области.
- Нажмите Подключиться.
После подключения рабочей области баннер на домашней странице показывает, что ваша среда готова. Домашняя страница обновлена новыми разделами, включающими метрики из Microsoft Sentinel, такие как количество соединителей данных и правила автоматизации.
Обзор функций Microsoft Sentinel на портале Defender
После подключения рабочей области к порталу Defender Microsoft Sentinel находится в области навигации слева. Если вы включили Defender XDR, такие страницы, как Главная, Инциденты и Расширенная охота, имеют унифицированные данные из основной рабочей области для Microsoft Sentinel и Defender XDR. Если вы не включили Defender XDR, на этих страницах просто содержатся данные из Microsoft Sentinel. Дополнительные сведения об унифицированных возможностях и различиях между порталами см. в статье Microsoft Sentinel на портале Microsoft Defender.
Многие существующие функции Microsoft Sentinel интегрированы на портале Defender. Для этих функций обратите внимание, что взаимодействие между Microsoft Sentinel в портал Azure и портале Defender аналогично. Используйте следующие статьи, чтобы начать работу с Microsoft Sentinel на портале Defender. При использовании этих статей имейте в виду, что отправной точкой в этом контексте является портал Defender, а не портал Azure.
Найдите параметры Microsoft Sentinel на портале Defender в разделеПараметры>системы>Microsoft Sentinel.
Изменение основной рабочей области
Одновременно к порталу Defender может быть подключена только одна основная рабочая область. Но вы можете изменить основную рабочую область.
- На портале Defender перейдите в разделПараметры>системы>Microsoft Sentinel>Workspaces.
- Выберите имя рабочей области, которую вы хотите сделать основной.
- Выберите Задать в качестве основного.
- Ознакомьтесь с изменениями продукта, связанными с изменением основной рабочей области, и изучите их.
- Выберите Подтвердить и продолжить.
При переключении основной рабочей области для Microsoft Sentinel соединитель Defender XDR подключается к новой основной и автоматически отключается от предыдущей. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender.
Отключение Microsoft Sentinel
Если вы решили отключить рабочую область на портале Defender, отключите рабочую область от параметров Microsoft Sentinel.
Если в рабочей области настроен соединитель Microsoft Defender XDR, отключение рабочей области с портала Defender также приведет к отключению соединителя Microsoft Defender XDR.
Перейдите на портал Microsoft Defender и выполните вход.
На портале Defender в разделе Система выберите Параметры>Microsoft Sentinel.
На странице Рабочие области выберите подключенную рабочую область и Отключить рабочую область.
Укажите причину отключения рабочей области.
Подтвердите выбор.
Если рабочая область отключена, раздел Microsoft Sentinel удаляется из левой части навигации на портале Defender. Данные из Microsoft Sentinel больше не включаются на домашнюю страницу.
Если вы хотите подключиться к другой рабочей области, на странице Рабочие области выберите рабочую область и Подключите рабочую область.