Microsoft Defender portalında Microsoft Sentinel
Bu makalede, Microsoft Defender portalındaki Microsoft Sentinel deneyimi açıklanmaktadır. Microsoft Sentinel, Microsoft Defender XDR ile Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Daha fazla bilgi için bkz.
- Blog gönderisi: Microsoft birleşik güvenlik operasyonları platformunun genel kullanılabilirliği
- Blog gönderisi: Birleşik güvenlik operasyonları platformu hakkında sık sorulan sorular
- Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama
- Azure ticari/diğer bulutlar için Microsoft Sentinel özellik desteği
Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir.
Yeni ve geliştirilmiş özellikler
Aşağıdaki tabloda, Microsoft Sentinel tümleştirmesiyle Defender portalında sağlanan yeni veya geliştirilmiş özellikler açıklanmaktadır. Microsoft, Defender portalına özel olabilecek özelliklerle bu yeni deneyimde yenilikler yapmaya devam ediyor.
| Özellikler | Açıklama |
|---|---|
| Gelişmiş avcılık | Avcılığı daha verimli hale getirmek ve bağlam değiştirme gereksinimini ortadan kaldırmak için farklı veri kümeleri arasında tek bir portaldan sorgu yapın. KQL'nizi oluşturmanıza yardımcı olması için Security Copilot'ı kullanın. Microsoft güvenlik hizmetleri ve Microsoft Sentinel verileri de dahil olmak üzere tüm verileri görüntüleyin ve sorgular. Sorgular ve işlevler de dahil olmak üzere mevcut tüm Microsoft Sentinel çalışma alanı içeriğinizi kullanın. Daha fazla bilgi için aşağıdaki makaleleri inceleyin: - Microsoft Defender portalında gelişmiş avlanma - Gelişmiş avcılıkta Güvenlik Copilot |
| SOC iyileştirmeleri | Şu alanları belirlemenize yardımcı olacak yüksek aslına uygunluk ve eyleme dönüştürülebilir öneriler alın: - Maliyetleri azaltma - Güvenlik denetimleri ekleme - Eksik verileri ekleme SOC iyileştirmeleri Defender ve Azure portallarında kullanılabilir, ortamınıza uyarlanır ve geçerli kapsamınıza ve tehdit ortamınıza dayanır. Daha fazla bilgi için aşağıdaki makaleleri inceleyin: - Güvenlik işlemlerinizi iyileştirme - SOC iyileştirmelerini program aracılığıyla kullanma - Önerilerin SOC iyileştirme başvurusu |
| Microsoft Defender'da Microsoft Copilot | Defender portalında olayları araştırırken, - Olayları özetleme - Betikleri analiz etme - Dosyaları analiz etme - Olay raporları oluşturma Gelişmiş tehdit avcılığında tehdit avcılığı yaparken sorgu yardımcısını kullanarak çalıştırılmaya hazır KQL sorguları oluşturun. Daha fazla bilgi için bkz . Gelişmiş avcılıkta Microsoft Security Copilot. |
Aşağıdaki tabloda, Microsoft'un birleşik güvenlik operasyonları platformunun bir parçası olarak Microsoft Sentinel ve Microsoft Defender XDR tümleştirmesiyle Defender portalında sağlanan ek özellikler açıklanmaktadır.
| Özellikler | Açıklama |
|---|---|
| Saldırının kesintiye uğraması | SAP uygulamaları için hem Defender portalı hem de Microsoft Sentinel çözümüyle SAP için otomatik saldırı kesintisi dağıtın. Örneğin, finansal işlem düzenleme saldırısı durumunda şüpheli SAP kullanıcılarını kilitleyerek güvenliği aşılmış varlıkları içerir. SAP için saldırı kesintisi özellikleri yalnızca Defender portalında kullanılabilir. SAP için saldırı kesintisini kullanmak için veri bağlayıcısı aracı sürümünüzü güncelleştirin ve ilgili Azure rolünün aracınızın kimliğine atandığından emin olun. Daha fazla bilgi için bkz . SAP için otomatik saldırı kesintisi. |
| Birleşik varlıklar | Defender portalında cihazlar, kullanıcılar, IP adresleri ve Azure kaynakları için varlık sayfaları Microsoft Sentinel ve Defender veri kaynaklarından gelen bilgileri görüntüler. Bu varlık sayfaları, Defender portalında olay ve uyarı araştırmalarınız için genişletilmiş bir bağlam sağlar. Daha fazla bilgi için bkz . Microsoft Sentinel'de varlık sayfalarıyla varlıkları araştırma. |
| Birleşik olaylar | Defender portalında tek bir konumda ve tek bir kuyruktan güvenlik olaylarını yönetin ve araştırın. Özetlemek, yanıtlamak ve raporlamak için Security Copilot'ı kullanın. Olaylar şunlardır: - Kaynakların genişliğine ait veriler - Güvenlik bilgileri ve olay yönetimi (SIEM) için yapay zeka analiz araçları - Genişletilmiş algılama ve yanıt (XDR) tarafından sunulan bağlam ve azaltma araçları Daha fazla bilgi için aşağıdaki makaleleri inceleyin: - Microsoft Defender portalında olay yanıtı - Güvenlik Copilot'ta Microsoft Sentinel olaylarını araştırma |
| Microsoft Defender'da Microsoft Copilot | Defender XDR ile tümleşik Microsoft Sentinel ile ilgili olayları araştırırken, - Destekli yanıtlarla olayları önceliklendirme ve araştırma - Cihaz bilgilerini özetleme - Kimlik bilgilerini özetleme Ortamınızı etkileyen ilgili tehditleri özetleyin, tehditleri açığa çıkarma düzeylerinize göre çözümlemeye öncelik vermek veya tehdit analizinde Security Copilot kullanarak sektörünüzü hedefleyebilecek tehdit aktörlerini bulun. Daha fazla bilgi için bkz . Tehdit bilgileri için Microsoft Security Copilot kullanma. |
Portallar arasındaki yetenek farklılıkları
Microsoft Sentinel özelliklerinin çoğu hem Azure hem de Defender portallarında kullanılabilir. Defender portalında, bir görevi tamamlamanız için azure portalında bazı Microsoft Sentinel deneyimleri açılır.
Bu bölüm yalnızca Azure portalında veya Defender portalında kullanılabilen Microsoft Sentinel özelliklerini veya tümleştirmelerini ya da portallar arasındaki diğer önemli farkları kapsar. Azure portalını açan Microsoft Sentinel deneyimlerini Defender portalından dışlar.
| Özellik | Kullanılabilirlik | Açıklama |
|---|---|---|
| Yer işaretlerini kullanarak gelişmiş tehdit avcılığı | Yalnızca Azure portalı | Yer işaretleri, Microsoft Defender portalındaki gelişmiş tehdit avcılığı deneyiminde desteklenmez. Defender portalında bunlar Microsoft Sentinel > Tehdit Yönetimi > Tehdit Avcılığı'nda desteklenir. Daha fazla bilgi için bkz . Microsoft Sentinel ile avlanma sırasında verileri izleme. |
| SAP için saldırı kesintisi | Defender portalı yalnızca Defender XDR ile | Bu işlev Azure portalında kullanılamaz. Daha fazla bilgi için bkz . Microsoft Defender portalında otomatik saldırı kesintisi. |
| Otomasyon | Bazı otomasyon yordamları yalnızca Azure portalında kullanılabilir. Diğer otomasyon yordamları Defender ve Azure portallarında aynıdır, ancak Defender portalına eklenen çalışma alanları ile olmayan çalışma alanları arasında Azure portalında farklılık gösterir. |
Daha fazla bilgi için bkz . Birleşik güvenlik operasyonları platformu ile otomasyon. |
| Veri bağlayıcıları: Birleşik güvenlik işlemleri platformu tarafından kullanılan bağlayıcıların görünürlüğü | Yalnızca Azure portalı | Defender portalında, Microsoft Sentinel'i ekledikten sonra, birleşik güvenlik işlemleri platformunun parçası olan aşağıdaki veri bağlayıcıları Veri bağlayıcıları sayfasında gösterilmez: Azure portalında bu veri bağlayıcıları, Microsoft Sentinel'de yüklü veri bağlayıcılarıyla birlikte listelenmeye devam eder. |
| Varlıklar: Olaylara ait tehdit bilgilerine varlık ekleme | Yalnızca Azure portalı | Bu işlev Defender portalında kullanılamaz. Daha fazla bilgi için bkz . Tehdit göstergelerine varlık ekleme. |
| Fusion: Gelişmiş çok aşamalı saldırı algılama | Yalnızca Azure portalı | Fusion bağıntı altyapısı tarafından yapılan uyarı bağıntılarını temel alan olaylar oluşturan Fusion analiz kuralı, Microsoft Sentinel'i Defender portalına eklediğinizde devre dışı bırakılır. Defender portalı, Fusion altyapısının olay oluşturma ve bağıntı işlevlerini kullanarak Microsoft Defender XDR'nin işlevlerini kullanır. Daha fazla bilgi için bkz . Microsoft Sentinel'de gelişmiş çok aşamalı saldırı algılama |
| Olaylar: Olaylara uyarı ekleme / Olaylardan uyarıları kaldırma |
Yalnızca Defender portalı | Microsoft Sentinel'i Defender portalına ekledikten sonra artık Azure portalındaki olaylara uyarı ekleyemez veya bu olaylardan uyarıları kaldırasınız. Defender portalındaki bir olaydan uyarıyı kaldırabilirsiniz, ancak yalnızca uyarıyı başka bir olaya (var olan veya yeni) bağlayarak kaldırabilirsiniz. |
| Olaylar: Oluşturma | Defender portalına eklendikten sonra: Olaylar, Microsoft Defender portalındaki bağıntı altyapısı tarafından oluşturulur. | Microsoft Sentinel tarafından oluşturulan uyarılar için Defender portalında oluşturulan olayların Güvenlik olayı sağlayıcısı adı = Microsoft Defender XDR'dır. Yinelenen olaylar oluşturmamak için tüm etkin Microsoft güvenlik olayı oluşturma kuralları devre dışı bırakılır. Diğer analiz kuralları türlerindeki olay oluşturma ayarları olduğu gibi kalır, ancak bu ayarlar Microsoft Sentinel'de değil Defender portalında uygulanır. Daha fazla bilgi için aşağıdaki makalelere bakın: - Microsoft Defender portalında olaylar ve uyarılar - Microsoft Defender portalında uyarı bağıntısı ve olay birleştirme |
| Olaylar: açıklamaları düzenleme | Yalnızca Azure portalı | Microsoft Sentinel'i Defender portalına ekledikten sonra, her iki portalda da olaylara açıklama ekleyebilirsiniz, ancak mevcut açıklamaları düzenleyemezsiniz. Azure portalında açıklamalarda yapılan düzenlemeler Defender portalıyla eşitlenmez. |
| Olaylar: Program aracılığıyla ve el ile olay oluşturma | Yalnızca Azure portalı | Microsoft Sentinel'de API aracılığıyla, Mantıksal Uygulama playbook'u tarafından veya Azure portalından el ile oluşturulan olaylar Defender portalına eşitlenmez. Bu olaylar Azure portalında ve API'de hala desteklenmektedir. Bkz . Microsoft Sentinel'de kendi olaylarınızı el ile oluşturma. |
| Olaylar: Kapatılan olayları yeniden açma | Yalnızca Azure portalı | Defender portalında, yeni uyarılar eklenirse kapatılan olayları yeniden açmak için Microsoft Sentinel analiz kurallarında uyarı gruplandırma ayarlayamazsınız. Kapatılan olaylar bu durumda yeniden açılmaz ve yeni uyarılar yeni olayları tetikler. |
| Olaylar: Görevler | Yalnızca Azure portalı | Görevler Defender portalında kullanılamaz. Daha fazla bilgi için bkz . Microsoft Sentinel'de olayları yönetmek için görevleri kullanma. |
| Microsoft Sentinel için birden çok çalışma alanı yönetimi | Defender portalı: Kiracı başına bir Microsoft Sentinel çalışma alanıyla sınırlıdır Azure portalı: Kiracılar için birden çok Microsoft Sentinel çalışma alanını merkezi olarak yönetme |
Defender portalında kiracı başına yalnızca bir Microsoft Sentinel çalışma alanı desteklenmektedir. Bu nedenle, Microsoft Defender çok kiracılı yönetimi kiracı başına bir Microsoft Sentinel çalışma alanını destekler. Daha fazla bilgi için aşağıdaki makaleleri inceleyin: - Defender portalı: Microsoft Defender çok kiracılı yönetimi - Azure portalı: Çalışma alanı yöneticisiyle birden çok Microsoft Sentinel çalışma alanını yönetme |
Sınırlı veya kullanılamayan özellikler
Defender XDR veya diğer hizmetler etkinleştirilmeden Microsoft Sentinel'i Defender portalına eklediğinizde, Defender portalında görüntülenen aşağıdaki özellikler şu anda sınırlı veya kullanılamaz durumdadır.
| Özellik | Hizmet gerekiyor |
|---|---|
| Pozlama yönetimi | Microsoft Güvenlik Açığa Çıkarma Yönetimi |
| Özel algılama kuralları | Microsoft Defender XDR |
| İşlem merkezi | Microsoft Defender XDR |
Defender XDR veya diğer hizmetler etkinleştirilmeden Defender portalında Microsoft Sentinel için de aşağıdaki sınırlamalar geçerlidir:
- Yeni Microsoft Sentinel müşterileri, İsrail bölgesinde oluşturulmuş bir Log Analytics çalışma alanını eklemeye uygun değildir. Defender portalına eklemek için farklı bir bölgede Microsoft Sentinel için başka bir çalışma alanı oluşturun. Bu ek çalışma alanının veri içermesi gerekmez.
- Microsoft Sentinel kullanıcı ve varlık davranışı analizi (UEBA) kullanan müşterilere IdentityInfo tablosunun sınırlı bir sürümü sağlanır.
Hızlı başvuru
Birleşik olay kuyruğu gibi bazı Microsoft Sentinel özellikleri, Microsoft'un birleşik güvenlik operasyonları platformundaki Microsoft Defender XDR ile tümleşiktir. Diğer birçok Microsoft Sentinel özelliği, Defender portalının Microsoft Sentinel bölümünde bulunur.
Aşağıdaki görüntüde Defender portalında Microsoft Sentinel menüsü gösterilmektedir:
Aşağıdaki bölümlerde, Defender portalında Microsoft Sentinel özelliklerinin nerede bulunacağı açıklanmaktadır. Bölümler, Microsoft Sentinel Azure portalında olduğu gibi düzenlenir.
Genel
Aşağıdaki tabloda, Azure portalındaki Genel bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.
| Azure portal | Defender portalı |
|---|---|
| Genel Bakış | Genel Bakış |
| Günlükler | Araştırma ve yanıt > Avcılığı > Gelişmiş avcılık |
| Haberler ve kılavuzlar | Kullanılamaz |
| Arama yap | Microsoft Sentinel > Araması |
Tehdit yönetimi
Aşağıdaki tabloda, Azure portalındaki Tehdit yönetimi bölümü için Azure ile Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.
| Azure portal | Defender portalı |
|---|---|
| Olaylar | Araştırma ve yanıt > Olayları ve uyarılar > Olaylar |
| Çalışma Kitapları | Microsoft Sentinel > Tehdit Yönetimi> Çalışma Kitapları |
| Avlanma | Microsoft Sentinel > Tehdit Yönetimi > Avcılığı |
| Notebooks | Microsoft Sentinel > Tehdit yönetimi > Not Defterleri |
| Varlık davranışı | Kullanıcı varlığı sayfası: Varlık Kimlikleri >>{user}> Sentinel olayları Cihaz varlığı sayfası: Varlık > Cihazları >{device}> Sentinel olayları Ayrıca, olaylar ve uyarılar görüntülenirken kullanıcı, cihaz, IP ve Azure kaynak varlık türlerinin varlık sayfalarını bulun. |
| Tehdit bilgileri | Microsoft Sentinel > Tehdit yönetimi > Tehdit bilgileri |
| MITRE ATT&CK | Microsoft Sentinel > Tehdit yönetimi > MITRE ATT&CK |
İçerik yönetimi
Aşağıdaki tabloda, Azure portalındaki İçerik yönetimi bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelenmektedir.
| Azure portal | Defender portalı |
|---|---|
| İçerik hub'ı | Microsoft Sentinel > İçerik yönetimi > İçerik hub'ı |
| Depolar | Microsoft Sentinel > İçerik yönetimi > Depoları |
| Topluluk | Microsoft Sentinel > İçerik yönetimi > Topluluğu |
Yapılandırma
Aşağıdaki tabloda, Azure portalındaki Yapılandırma bölümü için Azure ve Defender portalları arasındaki gezinti değişiklikleri listelemektedir.
| Azure portal | Defender portalı |
|---|---|
| Çalışma alanı yöneticisi | Kullanılamaz |
| Veri bağlayıcıları | Microsoft Sentinel > Yapılandırma > Verileri bağlayıcıları |
| Analiz | Microsoft Sentinel > Yapılandırma > Analizi |
| İzleme Listeleri | Microsoft Sentinel > Yapılandırma > İzleme Listeleri |
| Otomasyon | Microsoft Sentinel > Yapılandırma > Otomasyonu |
| Ayarlar | Sistem > Ayarları > Microsoft Sentinel |