Ansluta Microsoft Sentinel till Microsoft Defender XDR

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. När du registrerar Microsoft Sentinel på Defender-portalen förenar du funktionerna med Microsoft Defender XDR som incidenthantering och avancerad jakt. Minska verktygsväxlingen och skapa en mer kontextfokuserad undersökning som påskyndar incidenthantering och stoppar överträdelser snabbare. Mer information finns i:

• Blogginlägg: Allmän tillgänglighet för Microsofts enhetliga säkerhetsåtgärdsplattform
• Blogginlägg: Vanliga frågor och svar om den enhetliga säkerhetsåtgärdsplattformen
• Microsoft Sentinel i Microsoft Defender-portalen
• Microsoft Defender XDR-integrering med Microsoft Sentinel

Förhandskrav

Innan du börjar kan du läsa funktionsdokumentationen för att förstå produktändringarna och begränsningarna:

• Microsoft Sentinel i Microsoft Defender-portalen
• Avancerad jakt i portalen för Microsoft Defender
• Aviseringar, incidenter och korrelation i Microsoft Defender XDR
• Automatisering med den enhetliga säkerhetsåtgärdsplattformen

Microsoft Defender-portalen stöder en enda Microsoft Entra-klientorganisation och anslutningen till en arbetsyta i taget. I den här artikeln är en arbetsyta en Log Analytics-arbetsyta med Microsoft Sentinel aktiverat.

Om du vill registrera och använda Microsoft Sentinel i Microsoft Defender-portalen måste du ha följande resurser och åtkomst:

• En Log Analytics-arbetsyta som har Microsoft Sentinel aktiverat

• Dataanslutningsappen för Microsoft Defender XDR (kallades tidigare Microsoft 365 Defender) aktiverad i Microsoft Sentinel för incidenter och aviseringar. Mer information finns i Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.

• Åtkomst till Microsoft Defender XDR i Defender-portalen

• Microsoft Defender XDR har registrerats i Microsoft Entra-klientorganisationen

• Ett Azure-konto med lämpliga roller för att registrera, använda och skapa supportförfrågningar för Microsoft Sentinel i Defender-portalen. I följande tabell visas några av de nyckelroller som behövs.

  Uppgift	Inbyggd Azure-roll krävs	Omfattning
  Ansluta eller koppla från en arbetsyta med Microsoft Sentinel aktiverat	Ägare eller administratör för användaråtkomst och Microsoft Sentinel-deltagare	– Prenumeration för rollen Ägare eller Administratör för användaråtkomst – Prenumeration, resursgrupp eller arbetsyteresurs för Microsoft Sentinel-deltagare
  Visa Microsoft Sentinel i Defender-portalen	Microsoft Sentinel-läsare	Prenumeration, resursgrupp eller arbetsyteresurs
  Fråga Sentinel-datatabeller eller visa incidenter	Microsoft Sentinel-läsare eller en roll med följande åtgärder: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Prenumeration, resursgrupp eller arbetsyteresurs
  Vidta utredningsåtgärder för incidenter	Microsoft Sentinel-deltagare eller en roll med följande åtgärder: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read – Microsoft.SecurityInsights/incidents/relations/write – Microsoft.SecurityInsights/incidents/tasks/read – Microsoft.SecurityInsights/incidents/tasks/write	Prenumeration, resursgrupp eller arbetsyteresurs
  Skapa en supportbegäran	Deltagare, deltagare eller supportbegärandedeltagare eller en anpassad roll med Microsoft.Support/*	Prenumeration

  När du har anslutit Microsoft Sentinel till Defender-portalen kan du använda dina befintliga RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure för att arbeta med de Microsoft Sentinel-funktioner som du har åtkomst till. Fortsätt att hantera roller och behörigheter för dina Microsoft Sentinel-användare från Azure-portalen. Alla Azure RBAC-ändringar återspeglas i Defender-portalen. Mer information om Microsoft Sentinel-behörigheter finns i Roller och behörigheter i Microsoft Sentinel | Microsoft Learn och Hantera åtkomst till Microsoft Sentinel-data efter resurs | Microsoft Learn.

Registrera Microsoft Sentinel

Utför följande steg för att ansluta en arbetsyta som har Microsoft Sentinel aktiverat till Defender XDR:

1. Gå till Microsoft Defender-portalen och logga in.

2. I Microsoft Defender XDR väljer du Översikt.

3. Välj Anslut en arbetsyta.

4. Välj den arbetsyta som du vill ansluta till och välj Nästa.

5. Läs och förstå de produktändringar som är associerade med att ansluta arbetsytan. Dessa ändringar omfattar:

   • Loggtabeller, frågor och funktioner på Microsoft Sentinel-arbetsytan är också tillgängliga i avancerad jakt i Defender XDR.
   • Rollen Microsoft Sentinel-deltagare tilldelas till Apparna Microsoft Threat Protection och WindowsDefenderATP i prenumerationen.
   • Aktiva microsoft-regler för skapande av säkerhetsincidenter inaktiveras för att undvika dubbletter av incidenter. Den här ändringen gäller endast för regler för incidentskapande för Microsoft-aviseringar och inte andra analysregler.
   • Alla aviseringar som rör Defender XDR-produkter strömmas direkt från huvuddataanslutningen för Defender XDR för att säkerställa konsekvens. Kontrollera att incidenter och aviseringar från den här anslutningsappen är aktiverade på arbetsytan.

6. Välj Anslut.

När arbetsytan har anslutits visar banderollen på sidan Översikt att din enhetliga säkerhetsinformation och händelsehantering (SIEM) och utökad identifiering och svar (XDR) är klar. Översiktssidan uppdateras med nya avsnitt som innehåller mått från Microsoft Sentinel, till exempel antalet dataanslutningar och automatiseringsregler.

Utforska Microsoft Sentinel-funktioner i Defender-portalen

När du har anslutit arbetsytan till Defender-portalen finns Microsoft Sentinel i det vänstra navigeringsfönstret. Sidor som Översikt, Incidenter och Avancerad jakt har enhetliga data från Microsoft Sentinel och Defender XDR. Mer information om enhetliga funktioner och skillnader mellan portaler finns i Microsoft Sentinel i Microsoft Defender-portalen.

Många av de befintliga Microsoft Sentinel-funktionerna är integrerade i Defender-portalen. Observera att upplevelsen mellan Microsoft Sentinel i Azure-portalen och Defender-portalen är liknande för de här funktionerna. Använd följande artiklar för att börja arbeta med Microsoft Sentinel i Defender-portalen. När du använder de här artiklarna bör du komma ihåg att din startpunkt i den här kontexten är Defender-portalen i stället för Azure-portalen.

• Söka
  • Sök över långa tidsintervall i stora datauppsättningar
  • Återställa arkiverade loggar från sökningen
• Hothantering
  • Visualisera och övervaka dina data med hjälp av arbetsböcker
  • Genomföra hotjakt från slutpunkt till slutpunkt med Hunts
  • Använda jaktbokmärken för dataundersökningar
  • Använda livestream för jakt i Microsoft Sentinel för att identifiera hot
  • Jaga säkerhetshot med Jupyter Notebooks
  • Lägga till indikatorer i grupp i Microsoft Sentinel-hotinformation från en CSV- eller JSON-fil
  • Arbeta med hotindikatorer i Microsoft Sentinel
  • Förstå säkerhetstäckningen i MITRE ATT&CK-ramverket
• Innehållshantering
  • Identifiera och hantera inbyggt innehåll i Microsoft Sentinel
  • Katalog för Microsoft Sentinel-innehållshubben
  • Distribuera anpassat innehåll från din lagringsplats
• Konfiguration
  • Hitta din Microsoft Sentinel-dataanslutning
  • Skapa anpassade analysregler för att identifiera hot
  • Arbeta med identifieringsanalysregler i nära realtid (NRT) i Microsoft Sentinel
  • Skapa visningslistor
  • Hantera visningslistor i Microsoft Sentinel
  • Skapa automatiseringsregler
  • Skapa och anpassa Microsoft Sentinel-spelböcker från innehållsmallar

Hitta Microsoft Sentinel-inställningar i Defender-portalen under Systeminställningar>>Microsoft Sentinel.

Avregistrera Microsoft Sentinel

Du kan bara ha en arbetsyta ansluten till Defender-portalen i taget. Om du vill ansluta till en annan arbetsyta som har Microsoft Sentinel aktiverat kopplar du från den aktuella arbetsytan och ansluter den andra arbetsytan.

1. Gå till Microsoft Defender-portalen och logga in.

2. I Defender-portalen går du till System och väljer Inställningar>Microsoft Sentinel.

3. På sidan Arbetsytor väljer du den anslutna arbetsytan och Koppla från arbetsytan.

4. Ange en anledning till varför du kopplar från arbetsytan.

5. Bekräfta ditt val.

   När arbetsytan är frånkopplad tas avsnittet Microsoft Sentinel bort från navigeringen till vänster i Defender-portalen. Data från Microsoft Sentinel ingår inte längre på sidan Översikt.

Om du vill ansluta till en annan arbetsyta går du till sidan Arbetsytor och väljer arbetsytan och Anslut en arbetsyta.

Relaterat innehåll

• Microsoft Sentinel i Microsoft Defender-portalen
• Avancerad jakt i portalen för Microsoft Defender
• Automatisk attackstörning i Microsoft Defender XDR
• Undersöka incidenter i Microsoft Defender XDR
• Optimera dina säkerhetsåtgärder