Microsoft Sentinel im Microsoft Defender-Portal

Dieser Artikel beschreibt die Microsoft Sentinel-Erfahrung im Microsoft Defender-Portal. Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter:

Neue und verbesserte Funktionen

Die folgende Tabelle beschreibt die neuen oder verbesserten Funktionen, die im Defender-Portal mit der Integration von Microsoft Sentinel und Defender XDR verfügbar sind.

Capabilities Beschreibung
Erweiterte Erkennung Fragen Sie verschiedene Datasets aus einem einzelne Portal ab, um das Hunting effizienter zu gestalten und die Notwendigkeit des Kontextwechsels zu beseitigen. Verwenden Sie Copilot für Security, um KQL zu generieren. Zeigen Sie alle Daten an und fragen diese ab, einschließlich Daten von Microsoft-Sicherheitsdiensten und Microsoft Sentinel. Verwenden Sie Ihre vorhandenen Microsoft Sentinel-Arbeitsbereichsinhalte, einschließlich Abfragen und Funktionen.

Weitere Informationen finden Sie in den folgenden Artikeln:
- Erweiterte Bedrohungssuche im Microsoft Defender-Portal
- Copilot für Sicherheit bei der erweiterten Bedrohungssuche
Angriff unterbrechen Stellen Sie automatische Angriffsunterbrechungen für SAP sowohl mit der einheitlichen Security Operations-Plattform wie auch der Microsoft Sentinel-Lösung für SAP-Anwendungen bereit. Dämmen Sie beispielsweise kompromittierte Ressourcen ein, indem Sie verdächtige SAP-Benutzer bei einem Angriff zur Manipulation von Finanzprozessen sperren.

Die Angriffsunterbrechungsfunktionen für SAP sind nur im Defender-Portal verfügbar. Um Angriffsunterbrechungen für SAP zu verwenden, aktualisieren Sie die Agentversion Ihres Datenconnectors, und stellen Sie sicher, dass die relevante Azure-Rolle der Identität Ihres Agents zugewiesen ist.

Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung für SAP.
SOC-Optimierungen Erhalten Sie Empfehlungen mit hoher Genauigkeit und umsetzbaren Maßnahmen, um die Bereiche für Folgendes zu identifizieren:
– Senkung von Kosten
– Hinzufügen von Sicherheitssteuerelementen
– Hinzufügen fehlender Daten
SOC-Optimierungen sind in den Defender- und Azure-Portalen verfügbar, sind auf Ihre Umgebung zugeschnitten und basieren auf Ihrer aktuellen Abdeckungs- und Bedrohungslandschaft.

Weitere Informationen finden Sie in den folgenden Artikeln:
- Optimieren Ihrer Security Operations
- Referenz zu SOC-Optimierungsempfehlungen
Einheitliche Entitäten Entitätsseiten für Geräte, Benutzer, IP-Adressen und Azure-Ressourcen im Defender-Portal zeigen Informationen aus Microsoft Sentinel- und Defender-Datenquellen an. Diese Entitätsseiten bieten Ihnen einen erweiterten Kontext für Ihre Untersuchungen von Vorfällen und Warnungen im Defender-Portal.

Weitere Informationen finden Sie unter Untersuchen von Entitäten mit Entitätsseiten in Microsoft Sentinel.
Einheitliche Vorfälle Verwalten und untersuchen Sie Sicherheitsvorfälle an einem einzigen Ort und aus einer einzigen Warteschlange im Defender-Portal. Verwenden Sie Copilot für Security für Zusammenfassung, Reaktion und Berichterstellung. Vorfälle umfassen:
– Daten aus einer Vielzahl von Quellen
– KI-Analysetools von SIEM (Security Information & Event Management)
– Tools für Kontext und Risikominderung, die von der erweiterten Erkennung und Reaktion (eXtended Detection and Response, XDR) angeboten werden

Weitere Informationen finden Sie in den folgenden Artikeln:
- Incident Response im Microsoft Defender-Portal
- Untersuchen von Microsoft Sentinel-Incidents in Copilot für Security

Funktionsunterschiede zwischen den Portalen

Die meisten Microsoft Sentinel-Funktionen sind sowohl im Azure- als auch im Defender-Portal verfügbar. Im Defender-Portal öffnen sich einige Microsoft Sentinel-Erfahrungen im Azure-Portal, damit Sie eine Aufgabe abschließen können.

Dieser Abschnitt behandelt die Microsoft Sentinel-Funktionen oder -Integrationen in der einheitlichen Security Operations-Plattform, die nur im Azure-Portal oder im Defender-Portal verfügbar sind, sowie andere wesentliche Unterschiede zwischen den Portalen. Es schließt die Microsoft Sentinel-Erfahrungen aus, die das Azure-Portal über das Defender-Portal öffnen.

Funktion Verfügbarkeit Beschreibung
Erweiterte Suche mit Lesezeichen Nur Azure-Portal Lesezeichen werden im Microsoft Defender-Portal in der erweiterten Hunting-Erfahrung nicht unterstützt. Im Defender-Portal werden sie unter Microsoft Sentinel > Bedrohungsverwaltung > Hunting unterstützt.

Weitere Informationen finden Sie unter Daten während des Huntings mit Microsoft Sentinel verfolgen.
Angriffsunterbrechung für SAP Nur Defender-Portal Diese Funktionalität ist im Azure-Portal nicht verfügbar.

Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung im Microsoft Defender-Portal.
Automatisierung Einige Automatisierungsverfahren sind nur im Azure-Portal verfügbar.

Andere Automatisierungsverfahren sind in den Defender- und Azure-Portalen identisch, unterscheiden sich jedoch im Azure-Portal zwischen Arbeitsbereichen, die in die einheitliche Security Operations-Plattform integriert sind, und solchen, die es nicht sind.


Weitere Informationen finden Sie unter Automatisierung mit der einheitlichen Security Operations-Plattform.
Datenconnectors: Sichtbarkeit von Connectors, die von der einheitlichen Security Operations-Plattform verwendet werden Nur Azure-Portal Nach dem Onboarding von Microsoft Sentinel werden im Defender-Portal die folgenden Datenconnectors, die Teil der einheitlichen Security Operations-Plattform sind, nicht auf der Seite Datenconnectors angezeigt:
  • Microsoft Defender für Cloud-Apps
  • Microsoft Defender für den Endpunkt
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365 (Vorschau)
  • Microsoft Defender XDR
  • Abonnementbasiertes Microsoft Defender for Cloud (Legacy)
  • Mandantenbasiertes Microsoft Defender for Cloud (Vorschau)

    Im Azure-Portal werden diese Datenconnectors weiterhin mit den installierten Datenconnectors in Microsoft Sentinel aufgeführt.
  • Entitäten: Hinzufügen von Entitäten zur Threat Intelligence von Vorfällen Nur Azure-Portal Diese Funktionalität ist auf der einheitlichen Security Operations-Plattform nicht verfügbar.

    Weitere Informationen finden Sie unter Hinzufügen einer Entität zu Bedrohungsindikatoren.
    Fusion: Erweiterte Erkennung von mehrstufigen Angriffen Nur Azure-Portal Die Fusion-Analyseregel, die Vorfälle basierend auf Warnkorrelationen erstellt, die vom Fusion-Korrelationsmodul erstellt werden, wird deaktiviert, wenn Sie ein Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform durchführen.

    Die einheitliche Security Operations-Plattform verwendet die Funktionen zur Erstellung von Vorfällen und Korrelationen von Microsoft Defender XDR, um die Funktionen des Fusion-Moduls zu ersetzen.

    Weitere Informationen finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel
    Vorfälle: Hinzufügen von Warnungen zu Vorfällen/
    Entfernen von Warnungen aus Vorfällen
    Nur Defender-Portal Nach dem Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform können Sie im Azure-Portal keine Warnungen mehr zu Vorfällen hinzufügen oder daraus entfernen.

    Sie können eine Warnung aus einem Vorfall im Defender-Portal entfernen, aber nur, indem Sie die Warnung mit einem anderen Vorfall (vorhanden oder neu) verknüpfen.
    Vorfälle: Bearbeiten von Kommentaren Nur Azure-Portal Nach dem Onboarding von Microsoft Sentinel in die einheitliche Security Operations-Plattform können Sie Vorfällen in beiden Portalen Kommentare hinzufügen, vorhandene Kommentare können jedoch nicht bearbeitet werden.

    An Kommentaren im Azure-Portal vorgenommene Änderungen werden nicht mit der einheitlichen Security Operations-Plattform synchronisiert.
    Vorfälle: Programmgesteuerte und manuelle Erstellung von Vorfällen Nur Azure-Portal Vorfälle, die in Microsoft Sentinel über die API, durch ein Logic App-Playbook oder manuell über das Azure-Portal erstellt wurden, werden nicht mit der einheitlichen Security Operations-Plattform synchronisiert. Diese Vorfälle werden weiterhin im Azure-Portal und in der API unterstützt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer eigenen Vorfälle in Microsoft Sentinel.
    Vorfälle: Erneutes Öffnen geschlossener Vorfälle Nur Azure-Portal In der einheitlichen Security Operations-Plattform können Sie keine Warngruppierung in Microsoft Sentinel-Analyseregeln festlegen, um geschlossene Vorfälle erneut zu öffnen, wenn neue Warnungen hinzugefügt werden.
    Geschlossene Vorfälle werden in diesem Fall nicht erneut geöffnet, und neue Warnungen lösen neue Vorfälle aus.
    Vorfälle: Aufgaben Nur Azure-Portal Aufgaben sind auf der einheitlichen Security Operations-Plattform nicht verfügbar.

    Weitere Informationen finden Sie unter Verwalten von Vorfällen in Microsoft Sentinel mithilfe von Aufgaben.
    Verwaltung mehrerer Arbeitsbereiche für Microsoft Sentinel Defender-Portal: Auf einen Microsoft Sentinel-Arbeitsbereich pro Mandant beschränkt

    Azure-Portal: Zentrales Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche für Mandanten
    Derzeit wird nur ein Microsoft Sentinel-Arbeitsbereich pro Mandant in der einheitlichen Sicherheitsoperationsplattform unterstützt. Daher unterstützt die Microsoft Defender-Mehrinstanzenverwaltung einen Microsoft Sentinel-Arbeitsbereich pro Mandant.

    Weitere Informationen finden Sie in den folgenden Artikeln:
    - Defender-Portal: Microsoft Defender-Mehrinstanzenverwaltung
    - Azure Portal: Verwalten mehrerer Microsoft Sentinel-Arbeitsbereiche mit dem Arbeitsbereichs-Manager

    Kurzreferenz

    Einige Microsoft Sentinel-Funktionen, z. B. die einheitliche Vorfallwarteschlange, sind in Microsoft Defender XDR in der einheitlichen Security Operations-Plattform integriert. Viele andere Microsoft Sentinel-Funktionen sind im Abschnitt Microsoft Sentinel des Defender-Portals verfügbar.

    Die folgende Abbildung zeigt das Microsoft Sentinel-Menü im Defender-Portal:

    Screenshot der linken Navigation des Defender-Portals mit dem Abschnitt „Microsoft Sentinel“.

    Die folgenden Abschnitte beschreiben, wo Sie Microsoft Sentinel-Features im Defender-Portal finden. Die Abschnitte sind so organisiert, wie es Microsoft Sentinel im Azure-Portal ist.

    Allgemein

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Allgemein im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Übersicht Übersicht
    Protokolle Untersuchung und Reaktion > Hunting > Erweitertes Hunting
    Neuigkeiten und Leitfäden Nicht verfügbar
    Suche Microsoft Sentinel > Suche

    Verwaltung von Bedrohungen

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Bedrohungsverwaltung im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Vorfälle Untersuchung und Reaktion > Vorfälle und Warnungen > Vorfälle
    Arbeitsmappen Microsoft Sentinel > Bedrohungsverwaltung > Workbooks
    Hunting Microsoft Sentinel > Bedrohungsverwaltung > Hunting
    Notebooks Microsoft Sentinel > Bedrohungsverwaltung > Notebooks
    Entitätsverhalten Benutzerentitätsseite: Ressourcen > Identitäten >{user}> Sentinel-Ereignisse
    Geräteentitätsseite: Ressourcen > Geräte >{device}> Sentinel-Ereignisse

    Suchen Sie außerdem die Entitätsseiten für die Entitätstypen Benutzer, Gerät, IP-Adresse und Azure-Ressource aus Vorfällen und Warnungen, sobald sie angezeigt werden.
    Threat Intelligence Microsoft Sentinel > Bedrohungsverwaltung > Threat Intelligence
    MITRE ATT&CK Microsoft Sentinel > Bedrohungsverwaltung > MITRE ATT&CK

    Content Management

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Inhaltsverwaltung im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Inhaltshub Microsoft Sentinel > Inhaltsverwaltung > Inhaltshub
    Repositorys Microsoft Sentinel > Inhaltsverwaltung > Repositorys
    Community Microsoft Sentinel > Inhaltsverwaltung > Community

    Konfiguration

    Die folgende Tabelle listet die Änderungen in der Navigation zwischen den Azure- und Defender-Portalen für den Abschnitt Konfiguration im Azure-Portal auf.

    Azure-Portal Defender-Portal.
    Arbeitsbereichs-Manager Nicht verfügbar
    Datenconnectors Microsoft Sentinel > Konfiguration > Datenconnector
    Analyse Microsoft Sentinel > Konfiguration > Analytics
    Watchlists Microsoft Sentinel > Konfiguration > Watchlists
    Automatisierung Microsoft Sentinel > Konfiguration > Automatisierung
    Einstellungen System > Einstellungen > Microsoft Sentinel