Подключение Microsoft Sentinel к порталу Microsoft Defender

Microsoft Sentinel доступен на портале Microsoft Defender. Вам не нужна Microsoft Defender XDR или лицензия E5. При использовании Microsoft Sentinel с Defender XDR на портале Defender вы получаете общее управление инцидентами и расширенную охоту. Вы можете реже переключаться между инструментами и проводить более быстрые и целенаправленные исследования.

В этой статье описывается подключение рабочей области Microsoft Sentinel к порталу Defender, включая предварительные требования, шаги подключения и доступные функции. Выполните следующие действия, если рабочие области еще не подключены к порталу Defender. Во многих случаях клиенты, подключенные к Microsoft Sentinel после 1 июля 2025 г., автоматически подключены к порталу Defender.

Дополнительные сведения см. в разделе:

Предварительные условия

Прежде чем приступить к работе, ознакомьтесь с документацией по функциям, чтобы узнать об изменениях и ограничениях продукта.

Портал Microsoft Defender поддерживает один клиент Microsoft Entra и подключение к основной рабочей области и нескольким дополнительным рабочим областям. Если при подключении Microsoft Sentinel у вас есть только одна рабочая область, она назначается в качестве основной рабочей области. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender. В контексте этой статьи под рабочей областью понимается рабочая область Log Analytics с включенной службой Microsoft Sentinel.

предварительные требования Microsoft Sentinel

Чтобы подключить и использовать Microsoft Sentinel на портале Defender для одной рабочей области, вам потребуются следующие ресурсы и доступ:

  • Рабочая область Log Analytics с включённой поддержкой Microsoft Sentinel

  • Учетная запись Azure с соответствующими ролями для подключения, использования и создания запросов на поддержку для Microsoft Sentinel на портале Defender. В портале Defender вы не увидите рабочие области, для подключения которых у вас нет требуемых разрешений.

В следующей таблице показаны некоторые ключевые роли, необходимые для настройки одной рабочей области. Разрешения, связанные с несколькими рабочими областями, см. в разделе Разрешения на управление рабочими областями и просмотр данных рабочей области.

При подключении назначение роли Владелец должно выполняться без каких-либо условий на уровне подписки.

Снимок экрана Azure

Задача Требуется встроенная роль Microsoft Entra или Azure Scope
Подключение Microsoft Sentinel к порталу Defender1 По крайней мере администратор безопасности в Microsoft Entra ID

Владелец (безусловное назначение роли)
ИЛИ
Администратор доступа пользователей и участник Microsoft Sentinel
Tenant


— подписка для роли владельца
Просмотр Microsoft Sentinel на портале Defender Читатель Microsoft Sentinel Подписка, группа ресурсов или ресурс рабочей области
Запрашивайте таблицы данных Microsoft Sentinel или просматривайте инциденты Читатель Microsoft Sentinel или роль со следующими действиями:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/read
Подписка, группа ресурсов или ресурс рабочей области
Проведение следственных действий по инцидентам Участник Microsoft Sentinel или роль со следующими действиями:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/write
Подписка, группа ресурсов или ресурс рабочей области
Создание запроса в службу поддержки Владелец или
Участник или
Участник запроса на поддержку или настраиваемая роль с Microsoft.Support/*
Подписка

1 Если в вашем клиенте есть только одна рабочая область с включенным Microsoft Sentinel, используйте разрешения, перечисленные в таблице. Если в вашем клиенте есть несколько рабочих областей с включенными Microsoft Sentinel, вы также должны быть по крайней мере администратором безопасности в Microsoft Entra ID.

Если вы работаете с несколькими арендаторами, обратите внимание, что детализированные делегированные права администратора (GDAP) с Azure Lighthouse не поддерживаются для данных Microsoft Sentinel в портале Defender. Вместо этого используйте аутентификацию B2B в Microsoft Entra. Дополнительные сведения см. в разделе Настройка управления Microsoft Defender несколькими клиентами.

После подключения Microsoft Sentinel к порталу Defender имеющиеся разрешения Azure на основе ролевого управления доступом (RBAC) позволяют работать с теми функциями Microsoft Sentinel, к которым у вас есть доступ. Продолжайте управлять ролями и разрешениями для пользователей Microsoft Sentinel из портал Azure, так как любые изменения Azure RBAC отражаются на портале Defender.

Дополнительные сведения см. в разделах Роли и разрешения в Microsoft Sentinel и Управление доступом к Microsoft Sentinel данным по ресурсу.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации.

Предварительные требования для унифицированных операций безопасности

Для объединения Microsoft Defender XDR и Microsoft Sentinel операций безопасности на портале Defender необходимо иметь следующие ресурсы и доступ:

Если применимо, выполните следующие предварительные требования:

Служба Предварительное условие
Управление внутренними рисками Microsoft Purview Если ваша организация использует Управление внутренними рисками Microsoft Purview, интегрируйте эти данные, включив соединитель данных Microsoft 365 Insider Risk Management в основной рабочей области для Microsoft Sentinel. Отключите этот соединитель во всех дополнительных рабочих областях для Microsoft Sentinel, которые планируется подключить к порталу Defender.

— Установите решение Управление внутренними рисками Microsoft Purview из центра содержимого в основной рабочей области.
— настройка соединителя данных.

Дополнительные сведения см. в статье Просмотр и управление готовым содержимым Microsoft Sentinel.
Microsoft Defender для облака Чтобы выполнить потоковую передачу инцидентов Defender для облака, которые коррелируются во всех подписках клиента с основной рабочей областью для Microsoft Sentinel:

— Подключите соединитель данных Microsoft Defender для облака на основе клиента (предварительная версия) в основной рабочей области.
— отключите соединитель оповещений Microsoft Defender для облака на основе подписки (устаревший) во всех рабочих областях клиента.

Если вы не хотите передавать коррелированные данные клиента для Defender для облака в основную рабочую область, продолжайте использовать соединитель Microsoft Defender на основе подписки для облака (устаревшая версия) в рабочих областях. Дополнительные сведения см. в статье Прием данных об инцидентах Microsoft Defender для облака с интеграцией Microsoft Defender XDR.

Подключение к Microsoft Sentinel

В этой процедуре описывается подключение рабочей области с поддержкой Microsoft Sentinel к порталу Defender.

  1. Перейдите на портал Microsoft Defender и выполните вход.
  2. ВыберитеПараметры>системы>Microsoft Sentinel>Подключение рабочей области.
  3. Выберите рабочие области, которые требуется подключить, и нажмите кнопку Далее.
  4. Выберите основную рабочую область.
  5. Ознакомьтесь с изменениями продукта, связанными с подключением рабочей области.
  6. Нажмите Подключиться.

После подключения рабочей области баннер на домашней странице показывает, что ваша среда готова. Домашняя страница обновлена новыми разделами, включающими метрики из Microsoft Sentinel, такие как количество соединителей данных и правила автоматизации.

Изучение функций Microsoft Sentinel на портале Defender

После подключения вашей рабочей области Microsoft Sentinel появится на левой панели навигации. Если Defender XDR включена, страницы, такие как главная, инциденты и расширенная охота, отображают объединенные данные из Microsoft Sentinel и Defender XDR. Без Defender XDR эти страницы отображают только данные Microsoft Sentinel. Для получения дополнительной информации см. раздел Microsoft Sentinel на портале Microsoft Defender.

Многие функции Microsoft Sentinel встроены на портал Defender. Для интегрированных функций, перечисленных в следующей таблице, интерфейс аналогичен порталу Azure. Чтобы приступить к работе, используйте статьи в следующей таблице. При использовании связанных статей начните с портала Defender вместо портала Azure.

Категория компонентов Ссылки
Поиск - Поиск по длительным интервалам времени в больших наборах данных
- Восстановление архивных журналов из поиска
Управление угрозами - Визуализируйте данные и отслеживайте их с помощью книг
- Проводите комплексный поиск угроз с помощью Hunts
- Использование охотничьих закладок для исследования данных
- Использование Livestream в Microsoft Sentinel для обнаружения угроз
- Поиск угроз безопасности с помощью записных книжек Jupyter
- Массовое добавление индикаторов в систему анализа угроз Microsoft Sentinel из файла CSV или JSON
- Работа с индикаторами угроз в Microsoft Sentinel
- Общие сведения о покрытии безопасности с помощью платформы MITRE ATT&CK
Управление содержимым - Находите готовые материалы Microsoft Sentinel и управляйте ими
- каталог центра содержимого Microsoft Sentinel
- Развертывание пользовательского содержимого из репозитория
Конфигурация - Найдите свой соединитель данных Microsoft Sentinel
- Создание настраиваемых правил аналитики для обнаружения угроз
- Использование правил анализа обнаружения в режиме, близком к реальному времени (NRT), в Microsoft Sentinel
- Создание списков отслеживания
- Управление списками отслеживания в Microsoft Sentinel
- Создание правил автоматизации
- Создавайте и настраивайте сценарии автоматизации Microsoft Sentinel на основе шаблонов содержимого

Найдите параметры Microsoft Sentinel на портале Defender в разделеПараметры>системы>Microsoft Sentinel.

Изменение основной рабочей области

Одновременно к порталу Defender может быть подключена только одна основная рабочая область. Но вы можете изменить основную рабочую область.

  1. На портале Defender перейдите в разделПараметры>системы>Microsoft Sentinel>Рабочая пространства.
  2. Выберите имя рабочей области, которую вы хотите сделать основной.
  3. Выберите Задать в качестве основного.
  4. Ознакомьтесь с изменениями продукта, связанными с изменением основной рабочей области, и изучите их.
  5. Выберите Подтвердить и продолжить.

При переключении основной рабочей области для Microsoft Sentinel соединитель Defender XDR подключается к новой основной и автоматически отключается от предыдущей. Дополнительные сведения см. в разделе Несколько рабочих областей Microsoft Sentinel на портале Defender.

Отключить Microsoft Sentinel

Warning

Если для рабочей области настроен соединитель Microsoft Defender XDR, отключение рабочей области от портала Defender также отключает соединитель Microsoft Defender XDR. Обязательно повторно подключите соединитель Microsoft Defender XDR, если вы хотите снова получать инциденты Defender XDR в Microsoft Sentinel.

Чтобы отключить рабочую область в портале Defender, отключите ее в настройках Microsoft Sentinel.

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. На портале Defender в разделе Система выберите Параметры>Microsoft Sentinel.

  3. На странице «Рабочие области» выберите подключенную рабочую область и нажмите «Отключить рабочую область».

  4. Укажите причину отключения рабочей области.

  5. Подтвердите выбор.

    Если рабочая область отключена, раздел Microsoft Sentinel удаляется из левой части навигации на портале Defender. Данные из Microsoft Sentinel больше не включаются на домашнюю страницу.

Если вы хотите подключить другую рабочую область, на странице "Рабочие области" выберите "Подключить рабочую область" и выберите нужную рабочую область.