Microsoft Sentinel i Microsoft Defender-portalen
Den här artikeln beskriver Microsoft Sentinel-upplevelsen i Microsoft Defender-portalen. Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i:
- Blogginlägg: Allmän tillgänglighet för Microsofts plattform för enhetliga säkerhetsåtgärder
- Blogginlägg: Vanliga frågor och svar om plattformen för enhetliga säkerhetsåtgärder
- Ansluta Microsoft Sentinel till Microsoft Defender XDR
Nya och förbättrade funktioner
I följande tabell beskrivs de nya eller förbättrade funktionerna i Defender-portalen med integrering av Microsoft Sentinel och Defender XDR.
| Funktioner | beskrivning |
|---|---|
| Avancerad jakt | Fråga från en enda portal i olika datauppsättningar för att göra jakten mer effektiv och ta bort behovet av kontextväxling. Använd Copilot for Security för att generera din KQL. Visa och fråga efter alla data, inklusive data från Microsofts säkerhetstjänster och Microsoft Sentinel. Använd allt befintligt innehåll på Microsoft Sentinel-arbetsytan, inklusive frågor och funktioner. Mer information finns i följande artiklar: - Avancerad jakt i Microsoft Defender-portalen - Copilot för säkerhet i avancerad jakt |
| Attackavstöring | Distribuera automatiska angreppsstörningar för SAP med både den enhetliga säkerhetsåtgärdsplattformen och Microsoft Sentinel-lösningen för SAP-program. Du kan till exempel innehålla komprometterade tillgångar genom att låsa misstänkta SAP-användare i händelse av en ekonomisk processmanipuleringsattack. Funktioner för attackavbrott för SAP är endast tillgängliga i Defender-portalen. Om du vill använda attackavbrott för SAP uppdaterar du agentversionen för dataanslutningsappen och ser till att relevant Azure-roll tilldelas till agentens identitet. Mer information finns i Automatisk attackavbrott för SAP. |
| SOC-optimeringar | Få rekommendationer med hög återgivning och åtgärd som hjälper dig att identifiera områden för att: – Minska kostnaderna – Lägg till säkerhetskontroller – Lägga till data som saknas SOC-optimeringar är tillgängliga i Defender- och Azure-portalerna, är skräddarsydda för din miljö och baseras på din aktuella täckning och ditt hotlandskap. Mer information finns i följande artiklar: - Optimera dina säkerhetsåtgärder - REFERENS för SOC-optimering av rekommendationer |
| Enhetliga entiteter | Entitetssidor för enheter, användare, IP-adresser och Azure-resurser i Defender-portalen visar information från Microsoft Sentinel- och Defender-datakällor. Dessa entitetssidor ger dig en utökad kontext för dina utredningar av incidenter och aviseringar i Defender-portalen. Mer information finns i Undersöka entiteter med entitetssidor i Microsoft Sentinel. |
| Enhetliga incidenter | Hantera och undersöka säkerhetsincidenter på en enda plats och från en enda kö i Defender-portalen. Använd Copilot för Säkerhet för att sammanfatta, svara och rapportera. Incidenter inkluderar: – Data från källornas bredd – AI-analysverktyg för säkerhetsinformation och händelsehantering (SIEM) – Kontext- och åtgärdsverktyg som erbjuds av utökad identifiering och svar (XDR) Mer information finns i följande artiklar: - Incidenthantering i Microsoft Defender-portalen - Undersöka Microsoft Sentinel-incidenter i Copilot for Security |
Kapacitetsskillnader mellan portaler
De flesta Microsoft Sentinel-funktioner är tillgängliga i både Azure- och Defender-portalerna. I Defender-portalen öppnas vissa Microsoft Sentinel-funktioner i Azure-portalen så att du kan slutföra en uppgift.
Det här avsnittet beskriver Microsoft Sentinel-funktionerna eller integreringarna i den enhetliga säkerhetsåtgärdsplattformen som endast är tillgängliga i Antingen Azure-portalen eller Defender-portalen eller andra betydande skillnader mellan portalerna. Den undantar Microsoft Sentinel-funktioner som öppnar Azure-portalen från Defender-portalen.
| Kapacitet | Tillgänglighet | beskrivning |
|---|---|---|
| Avancerad jakt med bokmärken | Endast Azure-portalen | Bokmärken stöds inte i den avancerade jaktupplevelsen i Microsoft Defender-portalen. I Defender-portalen stöds de i Microsoft Sentinel Threat > Management > Hunting. Mer information finns i Hålla reda på data under jakt med Microsoft Sentinel. |
| Attackavbrott för SAP | Endast Defender-portalen | Den här funktionen är inte tillgänglig i Azure-portalen. Mer information finns i Automatisk attackstörning i Microsoft Defender-portalen. |
| Automation | Vissa automatiseringsprocedurer är endast tillgängliga i Azure-portalen. Andra automatiseringsprocedurer är desamma i Defender- och Azure-portalerna, men skiljer sig i Azure-portalen mellan arbetsytor som är registrerade på den enhetliga säkerhetsåtgärdsplattformen och arbetsytor som inte är det. |
Mer information finns i Automation med den enhetliga säkerhetsåtgärdsplattformen. |
| Dataanslutningar: synlighet för anslutningsappar som används av den enhetliga säkerhetsåtgärdsplattformen | Endast Azure-portalen | När du har registrerat Microsoft Sentinel i Defender-portalen visas inte följande dataanslutningar som ingår i den enhetliga säkerhetsåtgärdsplattformen på sidan Dataanslutningar : I Azure-portalen visas dessa dataanslutningar fortfarande med de installerade dataanslutningarna i Microsoft Sentinel. |
| Entiteter: Lägga till entiteter i hotinformation från incidenter | Endast Azure-portalen | Den här funktionen är inte tillgänglig på plattformen för enhetliga säkerhetsåtgärder. Mer information finns i Lägga till entitet i hotindikatorer. |
| Fusion: Avancerad attackidentifiering för flera grupper | Endast Azure-portalen | Fusionsanalysregeln, som skapar incidenter baserat på aviseringskorrelationer som gjorts av fusionskorrelationsmotorn, inaktiveras när du registrerar Microsoft Sentinel på plattformen för enhetliga säkerhetsåtgärder. Den enhetliga säkerhetsdriftsplattformen använder Microsoft Defender XDR:s funktioner för incidentskapande och korrelation för att ersätta fusionsmotorns funktioner. Mer information finns i Avancerad identifiering av flerstegsattacker i Microsoft Sentinel |
| Incidenter: Lägga till aviseringar till incidenter/ Ta bort aviseringar från incidenter |
Endast Defender-portalen | När du har registrerat Microsoft Sentinel på den enhetliga säkerhetsåtgärdsplattformen kan du inte längre lägga till aviseringar till eller ta bort aviseringar från incidenter i Azure-portalen. Du kan ta bort en avisering från en incident i Defender-portalen, men bara genom att länka aviseringen till en annan incident (befintlig eller ny). |
| Incidenter: redigera kommentarer | Endast Azure-portalen | När du har registrerat Microsoft Sentinel på plattformen för enhetliga säkerhetsåtgärder kan du lägga till kommentarer till incidenter i någon av portalerna, men du kan inte redigera befintliga kommentarer. Ändringar som görs i kommentarer i Azure-portalen synkroniseras inte med den enhetliga säkerhetsåtgärdsplattformen. |
| Incidenter: Programmatiskt och manuellt skapande av incidenter | Endast Azure-portalen | Incidenter som skapats i Microsoft Sentinel via API:et, av en Logikapp-spelbok eller manuellt från Azure-portalen, synkroniseras inte med den enhetliga säkerhetsåtgärdsplattformen. Dessa incidenter stöds fortfarande i Azure-portalen och API:et. Se Skapa egna incidenter manuellt i Microsoft Sentinel. |
| Incidenter: Öppna stängda incidenter igen | Endast Azure-portalen | På den enhetliga säkerhetsåtgärdsplattformen kan du inte ange aviseringsgruppering i Microsoft Sentinel-analysregler för att öppna stängda incidenter igen om nya aviseringar läggs till. Stängda incidenter öppnas inte igen i det här fallet och nya aviseringar utlöser nya incidenter. |
| Incidenter: Uppgifter | Endast Azure-portalen | Uppgifter är inte tillgängliga i den enhetliga säkerhetsåtgärdsplattformen. Mer information finns i Använda uppgifter för att hantera incidenter i Microsoft Sentinel. |
| Hantering av flera arbetsytor för Microsoft Sentinel | Defender-portalen: Begränsad till en Microsoft Sentinel-arbetsyta per klientorganisation Azure-portalen: Hantera flera Microsoft Sentinel-arbetsytor för klientorganisationer centralt |
För närvarande stöds endast en Microsoft Sentinel-arbetsyta per klientorganisation i den enhetliga säkerhetsåtgärdsplattformen. Därför har Microsoft Defender multitenanthantering stöd för en Microsoft Sentinel-arbetsyta per klientorganisation. Mer information finns i följande artiklar: – Defender-portalen: Hantering av flera klientorganisationer i Microsoft Defender – Azure-portalen: Hantera flera Microsoft Sentinel-arbetsytor med arbetsytehanteraren |
Snabbreferens
Vissa Microsoft Sentinel-funktioner, till exempel den enhetliga incidentkön, är integrerade med Microsoft Defender XDR i plattformen för enhetliga säkerhetsåtgärder. Många andra Microsoft Sentinel-funktioner är tillgängliga i avsnittet Microsoft Sentinel i Defender-portalen.
Följande bild visar Microsoft Sentinel-menyn i Defender-portalen:
I följande avsnitt beskrivs var du hittar Microsoft Sentinel-funktioner i Defender-portalen. Avsnitten är ordnade som Microsoft Sentinel finns i Azure-portalen.
Allmänt
I följande tabell visas ändringarna i navigeringen mellan Azure- och Defender-portalerna för avsnittet Allmänt i Azure-portalen.
| Azure Portal | Defender-portalen |
|---|---|
| Översikt | Översikt |
| Loggar | Undersökning och svar > Jakt > Avancerad jakt |
| Nyheter och guider | Inte tillgängliga |
| Sök | Microsoft Sentinel-sökning > |
Hothantering
I följande tabell visas ändringarna i navigeringen mellan Azure- och Defender-portalerna för avsnittet Hothantering i Azure-portalen.
| Azure Portal | Defender-portalen |
|---|---|
| Incidenter | Undersöknings- och svarsincidenter > och aviseringsincidenter > |
| Arbetsböcker | Microsoft Sentinel-arbetsböcker > för hothantering> |
| Hotjakt | Hothanteringsjakt i > Microsoft Sentinel > |
| Notebook-filer | Notebook-filer för Hothantering i > Microsoft Sentinel > |
| Entitetsbeteende | Sidan Användarentitet: Resursidentiteter >>{user}> Sentinel-händelser Enhetsentitetssida: Tillgångar > Enheter> {device}> Sentinel-händelser Leta också upp entitetssidorna för entitetstyperna användare, enhet, IP och Azure från incidenter och aviseringar när de visas. |
| Hotinformation | Hotinformation om Hothantering i > Microsoft Sentinel > |
| MITRE ATT&CK | Microsoft Sentinel > Threat management > MITRE ATT&CK |
Innehållshantering
I följande tabell visas ändringarna i navigeringen mellan Azure- och Defender-portalerna för avsnittet Innehållshantering i Azure-portalen.
| Azure Portal | Defender-portalen |
|---|---|
| Innehållshubben | Innehållshubben för Innehållshantering i > Microsoft Sentinel > |
| Centrallager | Lagringsplatser för Microsoft Sentinel-innehållshantering > > |
| Community | Microsoft Sentinel > Content management > Community |
Konfiguration
I följande tabell visas ändringarna i navigeringen mellan Azure- och Defender-portalerna för avsnittet Konfiguration i Azure-portalen.
| Azure Portal | Defender-portalen |
|---|---|
| Arbetsytehanterare | Inte tillgängliga |
| Dataanslutningar | Anslutningsappar för Microsoft Sentinel-konfigurationsdata > > |
| Analys | Microsoft Sentinel-konfigurationsanalys > > |
| Visningslistor | Bevakningslistor för Microsoft Sentinel-konfiguration > > |
| Automation | Microsoft Sentinel > Configuration > Automation |
| Inställningar | Systeminställningar > > Microsoft Sentinel |