Aracılığıyla paylaş


Microsoft Sentinel Microsoft Defender portalına bağlama

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik işlemleri (SecOps) platformunda genel olarak kullanılabilir. Microsoft Defender XDR ile Microsoft Sentinel Defender portalına eklediğinizde, olay yönetimi ve gelişmiş avcılık gibi özellikleri bir arada sunarsınız. Araç değiştirme işlemini azaltın ve olay yanıtını hızlandıran ve ihlalleri daha hızlı durduran bağlam odaklı bir araştırma oluşturun. Daha fazla bilgi için bkz.:

Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir.

Önkoşullar

Başlamadan önce, ürün değişikliklerini ve sınırlamalarını anlamak için özellik belgelerini gözden geçirin.

Microsoft Defender portalı tek bir Microsoft Entra kiracısını ve aynı anda tek bir çalışma alanına bağlantıyı destekler. Bu makale bağlamında çalışma alanı, Microsoft Sentinel etkin bir Log Analytics çalışma alanıdır.

Microsoft Sentinel önkoşulları

Defender portalında Microsoft Sentinel eklemek ve kullanmak için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:

  • Microsoft Sentinel etkin bir Log Analytics çalışma alanı

  • olaylar ve uyarılar için Microsoft Sentinel etkinleştirilen Microsoft Defender XDR için veri bağlayıcısı. Defender XDR çözümünü yükleyin ve veri bağlayıcısını Microsoft Sentinel Defender portalına bağlanacak şekilde yapılandırın. Daha fazla bilgi için bkz. kullanıma hazır Microsoft Sentinel içeriği bulma ve yönetme. Defender XDR veri bağlayıcısı içinde, Defender portalına Microsoft Sentinel eklendikten sonra olay ve uyarıları bağlama yapılandırma seçeneği kapatılır ve devre dışı bırakılır.

  • Defender portalında Microsoft Sentinel için ekleme, kullanma ve destek istekleri oluşturma için uygun rollere sahip bir Azure hesabı. Aşağıdaki tabloda, gereken bazı önemli roller vurgulanmıştır.

    Görev Microsoft Entra veya Azure yerleşik rolü gereklidir Kapsam
    Microsoft Sentinel Defender portalına ekleme Microsoft Entra ID'da Genel yönetici veya güvenlik yöneticisi Kiracı
    Microsoft Sentinel etkin bir çalışma alanına bağlanma veya çalışma alanının bağlantısını kesme Sahip veya
    Kullanıcı Erişimi Yöneticisi ve Microsoft Sentinel Katkıda Bulunanı
    - Sahip veya Kullanıcı Erişimi Yöneticisi rolleri

    için abonelik - Microsoft Sentinel Katkıda Bulunanı için abonelik, kaynak grubu veya çalışma alanı kaynağı
    Defender portalında Microsoft Sentinel görüntüleme Microsoft Sentinel Okuyucu Abonelik, kaynak grubu veya çalışma alanı kaynağı
    Veri tablolarını Sentinel sorgulama veya olayları görüntüleme Microsoft Sentinel Okuyucusu veya şu eylemleri içeren bir rol:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Abonelik, kaynak grubu veya çalışma alanı kaynağı
    Olaylarla ilgili araştırma eylemleri gerçekleştirme Microsoft Sentinel Katkıda Bulunanı veya şu eylemleri içeren bir rol:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Abonelik, kaynak grubu veya çalışma alanı kaynağı
    Destek isteği oluşturma Microsoft.Support /* ile Sahip veya
    Katkıda Bulunan veya
    Destek isteği katkıda bulunanı veya özel bir rol
    Abonelik

    Microsoft Sentinel Defender portalına bağladıktan sonra, mevcut Azure rol tabanlı erişim denetimi (RBAC) izinleriniz erişiminiz olan Microsoft Sentinel özellikleriyle çalışmanıza olanak sağlar. Azure portal Microsoft Sentinel kullanıcılarınız için rolleri ve izinleri yönetmeye devam edin. Tüm Azure RBAC değişiklikleri Defender portalına yansıtılır. Microsoft Sentinel izinleri hakkında daha fazla bilgi için bkz. Microsoft Sentinel'de roller ve izinler | Microsoft Learn ve Kaynağa göre Microsoft Sentinel verilerine erişimi yönetme | Microsoft Learn.

Microsoft'un birleşik SecOps platformu önkoşulları

Microsoft'un birleşik SecOps platformundaki Defender XDR özellikleri birleştirmek için aşağıdaki kaynaklara ve erişime sahip olmanız gerekir:

Ekleme Microsoft Sentinel

Microsoft Sentinel çalışma alanını Defender portalına bağlamak için aşağıdaki adımları tamamlayın. Defender XDR (önizleme) olmadan Microsoft Sentinel ekliyorsanız, Microsoft Sentinel ve Defender portalıyla bağlantıyı tetiklemeniz için ek bir adım vardır.

  1. Microsoft Defender portalına gidin ve oturum açın.
  2. Microsoft Sentinel Defender portalında Defender XDR olmadan eklemek için:
    1. Microsoft Sentinel ile bağlantıyı tetikleme için Araştırma & yanıt>Olayları'nı seçin.
    2. Bağlantının tamamlanması için birkaç dakika bekleyin.
  3. Defender portalında Genel Bakış'ı seçin.
  4. Çalışma alanına bağlan'ı seçin.
  5. Bağlanmak istediğiniz çalışma alanını seçin ve İleri'yi seçin.
  6. Çalışma alanınızı bağlamayla ilişkili ürün değişikliklerini okuyun ve anlayın.
  7. Bağlan'ı seçin.

Çalışma alanınız bağlandıktan sonra Genel Bakış sayfasındaki başlıkta ortamınızın hazır olduğu gösterilir. Genel Bakış sayfası, veri bağlayıcılarının sayısı ve otomasyon kuralları gibi Microsoft Sentinel ölçümlerini içeren yeni bölümlerle güncelleştirilir.

Defender portalında Microsoft Sentinel özellikleri keşfetme

Çalışma alanınızı Defender portalına bağladıktan sonra Microsoft Sentinel sol taraftaki gezinti bölmesindedir. Defender XDR etkinleştirdiyseniz Genel Bakış, Olaylar ve Gelişmiş Tehdit Avcılığı gibi sayfalarda Microsoft Sentinel ve Defender XDR birleşik veriler bulunur. etkin Defender XDR yoksa, bu sayfalar yalnızca Microsoft Sentinel (önizleme) verilerini içerir. Portallar arasındaki birleşik özellikler ve farklar hakkında daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.

Mevcut Microsoft Sentinel özelliklerinin çoğu Defender portalıyla tümleştirilmiştir. Bu özellikler için, Azure portal ve Defender portalındaki Microsoft Sentinel arasındaki deneyimin benzer olduğuna dikkat edin. Defender portalında Microsoft Sentinel ile çalışmaya başlamanıza yardımcı olması için aşağıdaki makaleleri kullanın. Bu makaleleri kullanırken, bu bağlamda başlangıç noktanızın Azure portal yerine Defender portalı olduğunu unutmayın.

SistemAyarları> Microsoft Sentinel altındaki> Defender portalında Microsoft Sentinel ayarlarını bulun.

Çıkarma Microsoft Sentinel

Defender portalına aynı anda yalnızca bir çalışma alanı bağlı olabilir. Microsoft Sentinel etkin olan farklı bir çalışma alanına bağlanmak istiyorsanız, geçerli çalışma alanının bağlantısını kesin ve diğer çalışma alanını bağlayın.

  1. Microsoft Defender portalına gidin ve oturum açın.

  2. Defender portalında Sistem'in altında Ayarlar>Microsoft Sentinel'ı seçin.

  3. Çalışma Alanları sayfasında bağlı çalışma alanını ve Çalışma alanının bağlantısını kes'i seçin.

  4. Çalışma alanının bağlantısını kesme nedeniniz için bir neden sağlayın.

  5. Seçiminizi onaylayın.

    Çalışma alanınızın bağlantısı kesildiğinde, Microsoft Sentinel bölümü Defender portalının sol tarafındaki gezinti bölmesinden kaldırılır. Microsoft Sentinel verileri artık Genel Bakış sayfasına eklenmez.

Farklı bir çalışma alanına bağlanmak istiyorsanız , Çalışma Alanları sayfasından çalışma alanını seçin ve Çalışma alanına bağlan'ı seçin.