Microsoft Defender 提供了统一的网络安全解决方案,可将终结点保护、云安全、标识保护、电子邮件安全、威胁情报、暴露管理和 SIEM 集成到集中式平台中。 它使用 AI 驱动的防御来帮助组织预测和停止攻击,确保高效有效的安全作。
Microsoft Sentinel 已在 Microsoft Defender 门户中正式发布,无论是使用 Microsoft Defender XDR,还是自行提供跨 SIEM 和 XDR 的统一体验,以便更快、更准确地检测和响应威胁、简化工作流,以及增强运营效率。
本文介绍 Defender 门户中的 Microsoft Sentinel 体验。 建议在 Azure 门户中使用 Microsoft Sentinel 的客户迁移到 Microsoft Defender,以利用统一的 SecOps 体验和最新功能。 有关详细信息,请参阅将 Microsoft Sentinel 环境转换为 Defender 门户。
新增和改进的功能
下表介绍了 Defender 门户中与 Microsoft Sentinel 的集成提供的新功能或改进的功能。 Microsoft 继续通过可能是 Defender 门户独有的功能在这一新体验上进行创新。
| 能力 | 说明 | 了解详细信息 |
|---|---|---|
| 精简的操作 | 从单个统一界面管理所有安全事件、警报和调查。 - Defender 门户中设备、用户、IP 地址和 Azure 资源的统一实体页显示来自 Microsoft Sentinel 和 Defender 数据源的信息。 这些实体页提供了扩展上下文,用于调查 Defender 门户中的事件和警报。 - 统一事件功能 使您能够在单一位置和 Defender 门户中的单一队列中管理和调查安全事件。 使用 Security Copilot 进行汇总、响应和报告。 统一事件包括来自多个来源的数据、安全信息和事件管理(SIEM)的 AI 分析工具,以及由扩展检测与响应(XDR)提供的上下文与缓解工具。 - 使用 高级搜寻 从不同数据集的单个门户进行查询,使搜寻更高效,并不再需要上下文切换。 使用 Security Copilot 帮助生成 KQL、查看和查询所有数据(包括来自Microsoft安全服务和 Microsoft Sentinel 的数据),然后使用所有现有的 Microsoft Sentinel 工作区内容(包括查询和函数)进行调查。 |
- 在 Microsoft Sentinel 中使用实体页调查实体 - Microsoft Defender 门户中的事件响应 - 在 Security Copilot 中调查 Microsoft Sentinel 事件 - Microsoft Defender 门户中的高级搜寻 使用 Security Copilot 进行高级搜寻 |
| 增强的威胁检测 | 使用高级 AI 和机器学习来更快、更准确的威胁检测和响应。 受益于改进的信号与噪音比率和增强的警报关联,确保及时解决关键威胁。 | 统一安全操作的威胁检测 |
| 新增功能 | 访问可靠的工具,如案例管理(用于组织和管理安全事件)、自动中断攻击(用于在高保真真正的情况下修复受损实体),以及自动事件摘要和引导式响应操作的嵌入式 Security Copilot 体验等。 例如,在 Defender 门户中调查事件时,请使用安全 Copilot 分析脚本、 分析文件以及 创建事件报告。 在高级搜寻中搜寻威胁时,使用查询助手 创建随时运行的 KQL 查询 。 |
- 案例管理 - 自动攻击中断 - 自动事件摘要 - 引导式响应操作 - 分析脚本 - 分析文件 - 创建事件报告 - 创建随时运行的 KQL 查询 |
| 增强可见性并降低风险暴露 | 分析攻击路径,了解网络攻击者如何利用漏洞。 使用引导式 SOC 优化建议来降低成本和暴露,并根据潜在影响确定作的优先级。 | - 优化安全运营 - 以编程方式使用 SOC 优化 - SOC 优化建议参考 |
| 定制事件后建议 | 通过与Microsoft安全暴露管理计划相关的定制建议,防止类似或重复网络攻击。 | Microsoft安全暴露管理以提高安全态势 |
| 成本和数据优化 | 客户可以在 Defender 门户中统一且一致的架构中访问 Microsoft Sentinel 和 Defender XDR 数据。 高级搜寻原始日志可以免费搜寻 30 天,无需将其引入 Microsoft Sentinel。 |
流式传输到 Microsoft Sentinel 的 Defender XDR 表的预期内容 |
仅将 Microsoft Sentinel 加入 Defender 门户时的受限或不可用功能
在未启用 Defender XDR 或其他服务的情况下将Microsoft Sentinel 载入 Defender 门户时,以下功能受到限制或不可用:
- Microsoft 安全风险管理
- 由 Microsoft Defender XDR 提供的自定义检测规则
- 操作中心,由 Microsoft Defender XDR 提供
快速参考
某些 Microsoft Sentinel 功能(如统一事件队列)与 Microsoft 的统一安全操作平台中的 Microsoft Defender XDR 集成。 Defender 门户的 Microsoft Sentinel 部分中提供了许多其他 Microsoft Sentinel 功能。
下图显示了 Defender 门户中Microsoft Sentinel 菜单:
以下部分介绍了在 Defender 门户中查找Microsoft Sentinel 功能的位置,适用于迁移到 Defender 门户的现有客户。 这些部分在 Azure 门户中组织为 Microsoft Sentinel。
有关详细信息,请参阅将 Microsoft Sentinel 环境转换为 Defender 门户。
常规
下表列出了 Azure 门户中的“常规”部分在 Azure 门户与 Defender 门户之间导航的更改。
| Azure 门户 | Defender 门户 |
|---|---|
| 概述 | 概述 |
| 日志 | 调查和响应>狩猎>高级搜寻 |
| 新闻和指南 | 不可用 |
| 搜索 | Microsoft Sentinel>搜索 |
威胁管理
下表列出了 Azure 门户中的“威胁管理”部分在 Azure 门户与 Defender 门户之间导航的更改。
| Azure 门户 | Defender 门户 |
|---|---|
| 事件 | 调查和响应>事件和警报>事件 |
| 工作簿 | Microsoft Sentinel>威胁管理>练习 册 |
| 狩猎 | Microsoft Sentinel>威胁管理>狩猎 |
| 笔记本电脑 | Microsoft Sentinel>威胁管理>笔记本 |
| 实体行为 | 用户实体页:资产 > 标识 > {user} > Sentinel 事件 和 设备实体页:资产 > 设备 > {device} > Sentinel 事件 此外,在事件和警报出现时,从中查找用户、设备、IP 和 Azure 资源实体类型的实体页。 |
| 威胁情报 | 威胁智能>Intel 管理 |
| MITRE ATT&CK | Microsoft Sentinel>威胁管理>MITRE ATT&CK |
内容管理
下表列出了 Azure 门户中的“内容管理”部分在 Azure 门户与 Defender 门户之间导航的更改。
| Azure 门户 | Defender 门户 |
|---|---|
| 内容中心 | Microsoft Sentinel>内容管理>内容中心 |
| 存储库 | Microsoft Sentinel>内容管理>存储 库 |
| 社区 | Microsoft Sentinel>内容管理>社区 |
配置
下表列出了 Azure 门户中的“配置”部分在 Azure 门户与 Defender 门户之间导航的更改。
| Azure 门户 | Defender 门户 |
|---|---|
| 工作区管理器 | 不可用 |
| 数据连接器 | Microsoft Sentinel>配置>数据连接器 |
| 分析学 | Microsoft Sentinel>配置>分析 和 调查和响应>狩猎>自定义检测规则 |
| 监视列表 | Microsoft Sentinel>配置>监视列表 |
| 自动化 | Microsoft Sentinel>配置>自动化 |
| 设置 | 系统>设置>Microsoft Sentinel |