Microsoft Sentinel在 Microsoft Defender 门户中正式发布,无论是否具有Microsoft Defender XDR或 E5 许可证。 Microsoft Defender XDR将Microsoft Sentinel一起载入到 Defender 门户时,可以统一事件管理和高级搜寻等功能。 减少工具切换,并构建更注重上下文的调查,以加快事件响应并更快地阻止违规。 有关更多信息,请参阅:
先决条件
在开始之前,请查看功能文档以了解产品更改和限制。
- Microsoft Defender 门户中的 Microsoft Sentinel
- Microsoft Defender 门户中的高级搜寻
- Microsoft Defender XDR中的警报、事件和关联
- 在 Defender 门户中Microsoft Sentinel自动化
Microsoft Defender门户支持单个Microsoft Entra租户,以及与主工作区和多个辅助工作区的连接。 如果在载入Microsoft Sentinel时只有一个工作区,则会将该工作区指定为主工作区。 有关详细信息,请参阅 Defender 门户中的多个Microsoft Sentinel工作区。 在本文的上下文中,工作区是启用了 Microsoft Sentinel 的 Log Analytics 工作区。
Microsoft Sentinel先决条件
若要在 Defender 门户中载入和使用Microsoft Sentinel,必须具有以下资源和访问权限:
已启用Microsoft Sentinel的 Log Analytics 工作区
具有适当角色的 Azure 帐户,可在 Defender 门户中加入、使用和创建Microsoft Sentinel支持请求。 在没有所需权限的 Defender 门户中看不到要加入的工作区。 下表突出显示了所需的一些关键角色。
任务 需要Microsoft Entra或 Azure 内置角色 范围 将Microsoft Sentinel加入 Defender 门户 Microsoft Entra ID中的以下项之一:
- 全局管理员和订阅所有者
- 安全管理员 AND 订阅 所有者
- 全局管理员和用户访问管理员和Microsoft Sentinel参与者
- 安全管理员AND 用户访问管理员和Microsoft Sentinel参与者Tenant 连接辅助工作区或断开连接 以下各项之一:
- 全局管理员和订阅所有者
- 安全管理员 AND 订阅 所有者
- 全局管理员和用户访问管理员和Microsoft Sentinel参与者
- 安全管理员AND 用户访问管理员和Microsoft Sentinel参与者
- 订阅 所有者
- 用户访问管理员AND Microsoft Sentinel 参与者- 订阅所有者或用户访问管理员角色
- Microsoft Sentinel参与者的订阅、资源组或工作区资源更改主工作区 Microsoft Entra ID 中的全局管理员或安全管理员 Tenant 在 Defender 门户中查看Microsoft Sentinel Microsoft Sentinel阅读器 订阅、资源组或工作区资源 查询Microsoft Sentinel数据表或查看事件 Microsoft Sentinel读者或具有以下作的角色:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/read订阅、资源组或工作区资源 对事件采取调查措施 Microsoft Sentinel参与者或具有以下作的角色:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/write订阅、资源组或工作区资源 创建支持请求 所有者、
参与者或
支持请求参与者或具有 Microsoft.Support/* 的自定义角色订阅 Microsoft Sentinel连接到 Defender 门户后,现有 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的Microsoft Sentinel功能。 继续从Azure 门户管理Microsoft Sentinel用户的角色和权限,因为任何 Azure RBAC 更改都反映在 Defender 门户中。
有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限和按资源管理对Microsoft Sentinel数据的访问权限。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
统一安全作先决条件
若要在 Defender 门户中统一Microsoft Defender XDR和Microsoft Sentinel安全作,必须具有以下资源和访问权限:
- Defender XDR许可,如Microsoft Defender XDR先决条件中所述
- Defender XDR帐户是与Microsoft Sentinel关联的同一Microsoft Entra租户的成员
- 在 Defender 门户中访问Microsoft Defender XDR,如Microsoft Defender XDR先决条件中所述
如果适用,请完成以下先决条件:
| 服务 | 先决条件 |
|---|---|
| Microsoft Purview 内部风险管理 | 如果组织使用Microsoft Purview 内部风险管理,请在主工作区上启用数据连接器Microsoft 365 Insider Risk Management 来集成这些数据,以便Microsoft Sentinel。 在计划载入到 Defender 门户的Microsoft Sentinel的任何辅助工作区上禁用该连接器。 - 从主工作区上的内容中心安装 Microsoft Purview 内部风险管理 解决方案。 - 配置数据连接器。 有关详细信息,请参阅发现和管理Microsoft Sentinel现装内容。 |
| Microsoft Defender for Cloud | 若要将跨租户的所有订阅关联的 Defender for Cloud 事件流式传输到主工作区,Microsoft Sentinel: - 在主工作区中连接基于租户的云Microsoft Defender (预览版) 数据连接器。 - 断开基于订阅的云Microsoft Defender (旧版) 警报连接器与租户中的所有工作区的连接。 如果不希望将 Defender for Cloud 的相关租户数据流式传输到主工作区,请继续在工作区上使用基于订阅的 Microsoft Defender云 (旧版) 连接器。 有关详细信息,请参阅引入具有Microsoft Defender XDR集成的云事件的Microsoft Defender。 |
载入Microsoft Sentinel
若要将Microsoft Sentinel工作区连接到 Defender 门户,请完成以下步骤。 如果在未Defender XDR的情况下载入Microsoft Sentinel,则还有一个额外的步骤可以触发与 Microsoft Sentinel 和 Defender 门户的连接。
- 转到Microsoft Defender门户并登录。
- 若要在 Defender 门户中载入Microsoft Sentinel而不Defender XDR:
- 若要触发与Microsoft Sentinel的连接,请选择“调查 & 响应>事件”。
- 等待几分钟,等待连接完成。
- 在 Defender 门户中,选择“ 概述”。
- 选择“ 连接工作区”。
- 选择要连接的工作区,然后选择“ 下一步”。
- 选择“ 主工作区”。
- 阅读并了解与连接工作区相关的产品更改。
- 选择“连接”。
连接工作区后, “概述 ”页上的横幅显示环境已准备就绪。 “概述”页更新了新部分,其中包括来自Microsoft Sentinel的指标,例如数据连接器的数量和自动化规则。
在 Defender 门户中探索Microsoft Sentinel功能
将工作区连接到 Defender 门户后,Microsoft Sentinel位于左侧导航窗格中。 如果已启用Defender XDR,“概述”、“事件”和“高级搜寻”等页面将从主工作区获得统一数据,用于Microsoft Sentinel和Defender XDR。 如果未启用Defender XDR,则这些页面仅包含来自Microsoft Sentinel的数据。 有关门户之间的统一功能和差异的详细信息,请参阅 Microsoft Defender 门户中的Microsoft Sentinel。
许多现有的Microsoft Sentinel功能都集成到 Defender 门户中。 对于这些功能,请注意,Azure 门户门户中Microsoft Sentinel与 Defender 之间的体验相似。 使用以下文章帮助你开始在 Defender 门户中使用 Microsoft Sentinel。 使用这些文章时,请记住,此上下文中的起点是 Defender 门户,而不是Azure 门户。
- 搜索
- 威胁管理
- 内容管理
- 配置
在 Defender 门户中的“系统>设置”下查找Microsoft Sentinel设置>Microsoft Sentinel。
更改主工作区
一次只能有一个主工作区连接到 Defender 门户。 但可以更改主工作区。
- 在 Defender 门户中,转到“系统>设置Microsoft Sentinel>>Workspaces”。
- 选择要设为主工作区的名称。
- 选择“ 设置为主数据库”。
- 阅读并了解与更改主工作区相关的产品更改。
- 选择“ 确认”并继续。
切换Microsoft Sentinel的主工作区时,Defender XDR连接器将连接到新的主工作区,并自动与以前的主工作区断开连接。 有关详细信息,请参阅 Defender 门户中的多个Microsoft Sentinel工作区。
机外Microsoft Sentinel
如果决定从 Defender 门户卸载工作区,请断开工作区与Microsoft Sentinel设置的连接。
转到Microsoft Defender门户并登录。
在 Defender 门户中的“系统”下,选择“设置Microsoft Sentinel>”。
在 “工作区” 页上,选择“连接的工作区”和“ 断开连接工作区”。
提供断开工作区连接的原因。
确认你的选择。
当工作区断开连接时,将从 Defender 门户的左侧导航栏中删除Microsoft Sentinel部分。 来自Microsoft Sentinel的数据不再包含在“概述”页上。
如果要连接到其他工作区,请在“ 工作区” 页中选择工作区并 连接工作区。