Microsoft Sentinel Microsoft Defender portalına bağlama
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik işlemleri (SecOps) platformunda genel olarak kullanılabilir. Microsoft Defender XDR ile Microsoft Sentinel Defender portalına eklediğinizde, olay yönetimi ve gelişmiş avcılık gibi özellikleri bir arada sunarsınız. Araç değiştirme işlemini azaltın ve olay yanıtını hızlandıran ve ihlalleri daha hızlı durduran bağlam odaklı bir araştırma oluşturun. Daha fazla bilgi için bkz.:
- Blog gönderisi: Microsoft'un birleşik güvenlik operasyonları platformunun genel kullanılabilirliği
- Blog gönderisi: Birleşik güvenlik operasyonları platformu hakkında sık sorulan sorular
- Microsoft Defender portalında Microsoft Sentinel
- Microsoft Sentinel ile Microsoft Defender XDR tümleştirme
Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir.
Önkoşullar
Başlamadan önce, ürün değişikliklerini ve sınırlamalarını anlamak için özellik belgelerini gözden geçirin.
- Microsoft Defender portalında Microsoft Sentinel
- Microsoft Defender portalında gelişmiş avcılık
- Microsoft Defender XDR'de uyarılar, olaylar ve bağıntı
- Birleşik güvenlik operasyonları platformu ile otomasyon
Microsoft Defender portalı tek bir Microsoft Entra kiracısını ve aynı anda tek bir çalışma alanına bağlantıyı destekler. Bu makale bağlamında çalışma alanı, Microsoft Sentinel etkin bir Log Analytics çalışma alanıdır.
Microsoft Sentinel önkoşulları
Defender portalında Microsoft Sentinel eklemek ve kullanmak için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:
Microsoft Sentinel etkin bir Log Analytics çalışma alanı
olaylar ve uyarılar için Microsoft Sentinel etkinleştirilen Microsoft Defender XDR için veri bağlayıcısı. Defender XDR çözümünü yükleyin ve veri bağlayıcısını Microsoft Sentinel Defender portalına bağlanacak şekilde yapılandırın. Daha fazla bilgi için bkz. kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme. Defender XDR veri bağlayıcısı içinde, Defender portalına Microsoft Sentinel eklendikten sonra olay ve uyarıları bağlama yapılandırma seçeneği kapatılır ve devre dışı bırakılır.
Defender portalında Microsoft Sentinel için ekleme, kullanma ve destek istekleri oluşturma için uygun rollere sahip bir Azure hesabı. Aşağıdaki tabloda, gereken bazı önemli roller vurgulanmıştır.
Görev Microsoft Entra veya Azure yerleşik rolü gereklidir Kapsam Microsoft Sentinel Defender portalına ekleme Microsoft Entra ID'da Genel yönetici veya güvenlik yöneticisi Kiracı Microsoft Sentinel etkin bir çalışma alanına bağlanma veya çalışma alanının bağlantısını kesme Sahip veya
Kullanıcı Erişimi Yöneticisi ve Microsoft Sentinel Katkıda Bulunanı- Sahip veya Kullanıcı Erişimi Yöneticisi rolleri
için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağıDefender portalında Microsoft Sentinel görüntüleme Microsoft Sentinel Okuyucu Abonelik, kaynak grubu veya çalışma alanı kaynağı Veri tablolarını Sentinel sorgulama veya olayları görüntüleme Microsoft Sentinel Okuyucusu veya şu eylemleri içeren bir rol:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readAbonelik, kaynak grubu veya çalışma alanı kaynağı Olaylarla ilgili araştırma eylemleri gerçekleştirme Microsoft Sentinel Katkıda Bulunanı veya şu eylemleri içeren bir rol:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeAbonelik, kaynak grubu veya çalışma alanı kaynağı Destek isteği oluşturma Microsoft.Support /* ile Sahip veya
Katkıda Bulunan veya
Destek isteği katkıda bulunanı veya özel bir rolAbonelik Microsoft Sentinel Defender portalına bağladıktan sonra, mevcut Azure rol tabanlı erişim denetimi (RBAC) izinleriniz erişiminiz olan Microsoft Sentinel özellikleriyle çalışmanıza olanak sağlar. Azure portal Microsoft Sentinel kullanıcılarınız için rolleri ve izinleri yönetmeye devam edin. Tüm Azure RBAC değişiklikleri Defender portalına yansıtılır. Microsoft Sentinel izinleri hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler | Microsoft Learn ve Kaynağa göre Microsoft Sentinel verilerine erişimi yönetme | Microsoft Learn.
Microsoft'un birleşik SecOps platformu önkoşulları
Microsoft'un birleşik SecOps platformundaki Defender XDR özellikleri birleştirmek için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:
- Microsoft Defender XDR önkoşullarında açıklandığı gibi Defender XDR için lisanslama
- Defender XDR hesabı, Microsoft Sentinel ilişkilendirildiği aynı Microsoft Entra kiracısının üyesidir
- Microsoft Defender XDR önkoşullarında açıklandığı gibi Defender portalında Microsoft Defender XDR erişim
Ekleme Microsoft Sentinel
Microsoft Sentinel çalışma alanını Defender portalına bağlamak için aşağıdaki adımları tamamlayın. Defender XDR (önizleme) olmadan Microsoft Sentinel ekliyorsanız, Microsoft Sentinel ve Defender portalıyla bağlantıyı tetiklemeniz için ek bir adım vardır.
- Microsoft Defender portalına gidin ve oturum açın.
- Microsoft Sentinel Defender portalında Defender XDR olmadan eklemek için:
- Microsoft Sentinel ile bağlantıyı tetikleme için Araştırma & yanıt>Olayları'nı seçin.
- Bağlantının tamamlanması için birkaç dakika bekleyin.
- Defender portalında Genel Bakış'ı seçin.
- Çalışma alanına bağlan'ı seçin.
- Bağlanmak istediğiniz çalışma alanını seçin ve İleri'yi seçin.
- Çalışma alanınızı bağlamayla ilişkili ürün değişikliklerini okuyun ve anlayın.
- Bağlan'ı seçin.
Çalışma alanınız bağlandıktan sonra Genel Bakış sayfasındaki başlıkta ortamınızın hazır olduğu gösterilir. Genel Bakış sayfası, veri bağlayıcılarının sayısı ve otomasyon kuralları gibi Microsoft Sentinel ölçümlerini içeren yeni bölümlerle güncelleştirilir.
Defender portalında Microsoft Sentinel özellikleri keşfetme
Çalışma alanınızı Defender portalına bağladıktan sonra Microsoft Sentinel sol taraftaki gezinti bölmesindedir. Defender XDR etkinleştirdiyseniz Genel Bakış, Olaylar ve Gelişmiş Tehdit Avcılığı gibi sayfalarda Microsoft Sentinel ve Defender XDR birleşik veriler bulunur. etkin Defender XDR yoksa, bu sayfalar yalnızca Microsoft Sentinel (önizleme) verilerini içerir. Portallar arasındaki birleşik özellikler ve farklar hakkında daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.
Mevcut Microsoft Sentinel özelliklerinin çoğu Defender portalıyla tümleştirilmiştir. Bu özellikler için, Azure portal ve Defender portalındaki Microsoft Sentinel arasındaki deneyimin benzer olduğuna dikkat edin. Defender portalında Microsoft Sentinel ile çalışmaya başlamanıza yardımcı olması için aşağıdaki makaleleri kullanın. Bu makaleleri kullanırken, bu bağlamda başlangıç noktanızın Azure portal yerine Defender portalı olduğunu unutmayın.
- Aramak
- Tehdit yönetimi
- Çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme
- Avlarla uçtan uca tehdit avcılığı gerçekleştirme
- Veri araştırmaları için tehdit avcılığı yer işaretlerini kullanma
- Tehdit algılamak için Microsoft Sentinel'de avlanma Livestream'i kullanma
- Jupyter not defterleriyle güvenlik tehditlerini avlama
- CSV veya JSON dosyasından tehdit bilgilerini Microsoft Sentinel için göstergeleri toplu olarak ekleme
- Microsoft Sentinel'da tehdit göstergeleriyle çalışma
- MITRE ATT&CK çerçevesinin güvenlik kapsamını anlama
- İçerik yönetimi
- Yapılandırma
- Microsoft Sentinel veri bağlayıcınızı bulma
- Tehditleri algılamak için özel analiz kuralları oluşturma
- Microsoft Sentinel'da neredeyse gerçek zamanlı (NRT) algılama analizi kurallarıyla çalışma
- İzleme listeleri oluşturma
- Microsoft Sentinel'da izleme listelerini yönetme
- Otomasyon kuralları oluşturma
- İçerik şablonlarından Microsoft Sentinel playbook'ları oluşturma ve özelleştirme
SistemAyarları> Microsoft Sentinel altındaki> Defender portalında Microsoft Sentinel ayarlarını bulun.
Çıkarma Microsoft Sentinel
Defender portalına aynı anda yalnızca bir çalışma alanı bağlı olabilir. Microsoft Sentinel etkin olan farklı bir çalışma alanına bağlanmak istiyorsanız, geçerli çalışma alanının bağlantısını kesin ve diğer çalışma alanını bağlayın.
Microsoft Defender portalına gidin ve oturum açın.
Defender portalında Sistem'in altında Ayarlar>Microsoft Sentinel'ı seçin.
Çalışma Alanları sayfasında bağlı çalışma alanını ve Çalışma alanının bağlantısını kes'i seçin.
Çalışma alanının bağlantısını kesme nedeniniz için bir neden sağlayın.
Seçiminizi onaylayın.
Çalışma alanınızın bağlantısı kesildiğinde, Microsoft Sentinel bölümü Defender portalının sol tarafındaki gezinti bölmesinden kaldırılır. Microsoft Sentinel verileri artık Genel Bakış sayfasına eklenmez.
Farklı bir çalışma alanına bağlanmak istiyorsanız , Çalışma Alanları sayfasından çalışma alanını seçin ve Çalışma alanına bağlan'ı seçin.