Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel ist im Microsoft Defender-Portal mit Microsoft Defender XDR oder eigenständig verfügbar. Es bietet eine einheitliche Erfahrung in SIEM und XDR für eine schnellere, genauere Bedrohungserkennung und -reaktion, einfachere Workflows und eine bessere betriebliche Effizienz.
In diesem Artikel wird erläutert, wie Sie Ihre Microsoft Sentinel Erfahrung vom Azure-Portal in das Defender-Portal umstellen. Wenn Sie Microsoft Sentinel im Azure-Portal verwenden, wechseln Sie zu Microsoft Defender für einheitliche Sicherheitsvorgänge und die neuesten Features. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal oder in unserer YouTube-Wiedergabeliste.
Hinweis
Der Übergang zum Defender-Portal, auch für Nicht-E5-Kunden, hat keine zusätzlichen Kosten für den Kunden. Der Verbrauch wird dem Kunden weiterhin wie gewohnt am Sentinel in Rechnung gestellt.
Voraussetzungen
Bevor Sie beginnen, beachten Sie Folgendes:
Dieser Artikel richtet sich an Kunden mit einem vorhandenen Arbeitsbereich, der für Microsoft Sentinel aktiviert ist, die ihre Microsoft Sentinel Erfahrung auf das Defender-Portal umstellen möchten. Wenn Sie ein neuer Kunde sind, der das Onboarding mit Berechtigungen eines Abonnementbesitzers oder eines Benutzerzugriffsadministrators durchgeführt hat, werden Ihre Arbeitsbereiche automatisch in das Defender-Portal integriert.
Einige Microsoft Sentinel Features verfügen über neue Speicherorte im Defender-Portal. Weitere Informationen finden Sie unter Kurzübersicht.
Falls relevant, finden Sie ausführliche Voraussetzungen in den verknüpften Artikeln für jeden Schritt.
Planen und Einrichten Ihrer Übergangsumgebung
Zielgruppe: Sicherheitsarchitekten
Videos:
- Onboarding eines Microsoft Sentinel-Arbeitsbereichs in Microsoft Defender
- Verwalten von einheitlicher RBAC in Microsoft Defender
Überprüfen Der Planungsleitfaden, der Erfüllung der Voraussetzungen und des Onboardings
Lesen Sie alle Planungsleitfäden, und schließen Sie alle Voraussetzungen ab, bevor Sie das Onboarding Ihres Arbeitsbereichs in das Defender-Portal durchführen. Weitere Informationen finden Sie in den folgenden Artikeln:
Planen Sie einheitliche Sicherheitsvorgänge im Defender-Portal. Nach dem Onboarding im Defender-Portal wird die Rolle Microsoft Sentinel Mitwirkender den Apps Microsoft Threat Protection und WindowsDefenderATP in Ihrem Abonnement zugewiesen.
Verwalten sie Microsoft Sentinel- und Defender XDR-Berechtigungen im Defender-Portal. In diesem Blogbeitrag wird erläutert, wie Microsoft Sentinel- und Defender XDR-Berechtigungen im einheitlichen Defender-Portal funktionieren, was Sie beim Übergang erwarten können, sowie eine Einführung in die neue einheitliche rollenbasierte Zugriffssteuerung (Unified Role-Based Access Control, URBAC). Weitere Informationen zur URBAC finden Sie unter Zuordnen Microsoft Defender XDR einheitlichen RBAC-Berechtigungen zu vorhandenen RBAC-Berechtigungen.
Bereitstellen für einheitliche Sicherheitsvorgänge im Defender-Portal. Dieser Artikel richtet sich zwar an neue Kunden, die noch keinen Arbeitsbereich für Microsoft Sentinel oder andere Dienste haben, die in das Defender-Portal integriert wurden. Verwenden Sie ihn als Referenz, wenn Sie zum Defender-Portal wechseln.
Stellen Sie Microsoft Sentinel mit dem Defender-Portal her. In diesem Artikel werden die Voraussetzungen für das Onboarding Ihres Arbeitsbereichs im Defender-Portal aufgeführt. Wenn Sie Microsoft Sentinel ohne Defender XDR verwenden möchten, müssen Sie einen zusätzlichen Schritt ausführen, um die Verbindung zwischen Microsoft Sentinel und dem Defender-Portal auszulösen.
Überprüfen der Unterschiede in Bezug auf Datenspeicherung und Datenschutz
Wenn Sie die Azure-Portal verwenden, gelten die Microsoft Sentinel Richtlinien für Datenspeicherung, -verarbeitung, -aufbewahrung und -freigabe. Wenn Sie das Defender-Portal verwenden, gelten stattdessen die Microsoft Defender XDR Richtlinien, auch wenn Sie mit Microsoft Sentinel Daten arbeiten.
Die folgende Tabelle enthält zusätzliche Details und Links, damit Sie die Erfahrungen in den Azure- und Defender-Portalen vergleichen können.
| Supportbereich | Azure-Portal | Defender-Portal |
|---|---|---|
| BCDR | Kunden sind für die Replikation ihrer Daten verantwortlich | Microsoft Defender verwendet die Automatisierung für BCDR in Steuerungsbereichen. |
| Datenspeicherung und -verarbeitung |
-
Datenspeicherort - Unterstützte Regionen |
Datenspeicherort |
| Datenaufbewahrung | Datenaufbewahrung | Datenaufbewahrung |
| Datenfreigabe | Datenfreigabe | Datenfreigabe |
Weitere Informationen finden Sie unter:
- Geografische Verfügbarkeit und Datenresidenz in Microsoft Sentinel
- Datensicherheit und -aufbewahrung in Microsoft Defender XDR
Onboarding in das Defender-Portal mit kundenseitig verwalteten Schlüsseln (CMK)
Wenn Sie cmk vor dem Onboarding aktiviert haben, werden beim Onboarding Ihres Microsoft Sentinel-fähigen Arbeitsbereichs im Defender-Portal weiterhin alle Protokolldaten in Ihrem Arbeitsbereich mit CMK verschlüsselt , einschließlich der zuvor erfassten und neu erfassten Daten.
Analyseregeln und andere Sentinel Inhalte, z. B. Automatisierungsregeln, werden ebenfalls weiterhin CMK-verschlüsselt. Warnungen und Incidents werden jedoch nach dem Onboarding nicht mehr CMK-verschlüsselt.
Weitere Informationen zum CMK finden Sie unter Einrichten Microsoft Sentinel kundenseitig verwalteten Schlüssels.
Wichtig
Die CMK-Verschlüsselung wird für Daten, die im Microsoft Sentinel Data Lake gespeichert sind, nicht vollständig unterstützt. Alle im Data Lake erfassten Daten , z. B. benutzerdefinierte Tabellen oder transformierte Daten, werden mit von Microsoft verwalteten Schlüsseln verschlüsselt.
Konfigurieren der Verwaltung mit mehreren Arbeitsbereichen und mehrinstanzenfähigen Mandanten
Defender unterstützt einen oder mehrere Arbeitsbereiche über mehrere Mandanten über das mehrinstanzenfähige Portal, das als zentraler Ort dient, um Incidents und Warnungen zu verwalten, mandantenübergreifend nach Bedrohungen zu suchen und verwaltete Sicherheitsdienstpartner (Managed Security Service Partners, MSSPs) kundenübergreifend zu sehen.
In Szenarien mit mehreren Arbeitsbereichen können Sie über das mehrinstanzenfähige Portal einen primären und mehrere sekundäre Arbeitsbereiche pro Mandant verbinden. Integrieren Sie jeden Arbeitsbereich separat für jeden Mandanten in das Defender-Portal, genau wie beim Onboarding für einen einzelnen Mandanten.
Weitere Informationen finden Sie unter:
Einrichten Microsoft Defender mehrinstanzenfähigen Verwaltung
Azure Lighthouse-Dokumentation. Azure Lighthouse können Sie Microsoft Sentinel Daten von anderen Mandanten in integrierten Arbeitsbereichen verwenden. Beispielsweise können Sie arbeitsbereichsübergreifende Abfragen mit dem
workspace()Operator unter Erweiterte Such- und Analyseregeln ausführen.Microsoft Entra B2B. mit Microsoft Entra B2B können Sie mandantenübergreifend auf Daten zugreifen. GDAP für Microsoft Sentinel befindet sich in der Vorschauphase.
Konfigurieren und Überprüfen Ihrer Einstellungen und Inhalte
Zielgruppe: Sicherheitstechniker
Video: Verwalten von Connectors in Microsoft Defender
Bestätigen und Konfigurieren der Datensammlung
Wenn Microsoft Sentinel in Microsoft Defender integriert ist, bleibt die grundlegende Architektur der Datensammlung und des Telemetrieflusses erhalten. Vorhandene Connectors, die in Microsoft Sentinel konfiguriert wurden, unabhängig davon, ob sie für Microsoft Defender Produkte oder andere Datenquellen konfiguriert wurden, werden ohne Unterbrechung weiter ausgeführt.
Aus Sicht von Log Analytics führt die Integration von Microsoft Sentinel in Microsoft Defender zu keiner Änderung der zugrunde liegenden Erfassungspipeline oder des Datenschemas. Trotz der Front-End-Vereinheitlichung bleibt das Microsoft Sentinel-Back-End für die Datenspeicherung, Suche und Korrelation vollständig in Log Analytics integriert.
Warnungen im Zusammenhang mit Defender-Produkten werden direkt vom Microsoft Defender XDR-Connector gestreamt, um die Konsistenz sicherzustellen. Stellen Sie sicher, dass Incidents und Warnungen von diesem Connector in Ihrem Arbeitsbereich aktiviert sind. Nachdem Sie diesen Datenconnector in Ihrem Arbeitsbereich konfiguriert haben, trennt das Offboarding des Arbeitsbereichs von Microsoft Defender auch den Microsoft Defender XDR Connector.
Hinweis
Diese Änderung der Connectors führt zu Schemaunterschieden für einige Warnungen. Einen ausführlichen Vergleich finden Sie unter Warnungsschemaunterschiede: Eigenständiger und XDR-Connector.
Weitere Informationen finden Sie unter Verbinden von Daten von Microsoft Defender XDR mit Microsoft Sentinel.
Integration in Microsoft Defender for Cloud
- Wenn Sie den mandantenbasierten Datenconnector für Defender für Cloud verwenden, stellen Sie sicher, dass Sie Maßnahmen ergreifen, um doppelte Ereignisse und Warnungen zu verhindern.
- Wenn Sie stattdessen den abonnementbasierten Legacyconnector verwenden, stellen Sie sicher, dass Sie die Synchronisierung von Incidents und Warnungen an Microsoft Defender deaktivieren.
Weitere Informationen finden Sie unter Warnungen und Vorfälle in Microsoft Defender.
Sichtbarkeit des Datenconnectors im Defender-Portal
Nach dem Onboarding Ihres Arbeitsbereichs in Defender werden die folgenden Datenconnectors für einheitliche Sicherheitsvorgänge verwendet und nicht auf der Seite Datenconnectors im Defender-Portal angezeigt:
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity
- Microsoft Defender für Office 365 (Vorschau)
- Microsoft Defender XDR
- Abonnementbasierte Microsoft Defender für Cloud (Legacy)
- Mandantenbasierte Microsoft Defender für Cloud (Vorschau)
Diese Datenconnectors werden weiterhin in Microsoft Sentinel im Azure-Portal aufgeführt.
Konfigurieren Ihres Ökosystems
Obwohl der Arbeitsbereichs-Manager von Microsoft Sentinel im Defender-Portal nicht verfügbar ist, verwenden Sie eine der folgenden alternativen Funktionen zum Verteilen von Inhalten als Code über Arbeitsbereiche hinweg:
Stellen Sie Inhalte als Code aus Ihrem Repository (öffentliche Vorschau) bereit. Verwenden Sie YAML- oder JSON-Dateien in GitHub oder Azure DevOps, um Konfigurationen in Microsoft Sentinel und Defender mithilfe einheitlicher CI/CD-Workflows zu verwalten und bereitzustellen.
Mehrinstanzenfähiges Portal. Das Microsoft Defender mehrinstanzenfähiges Portal unterstützt die Verwaltung und Verteilung von Inhalten über mehrere Mandanten hinweg.
Andernfalls können Sie weiterhin Lösungspakete bereitstellen, die verschiedene Arten von Sicherheitsinhalten aus dem Inhaltshub im Defender-Portal enthalten. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Konfigurieren von Analyseregeln
Microsoft Sentinel Analyseregeln stehen im Defender-Portal zur Erkennung, Konfiguration und Verwaltung zur Verfügung. Die Funktionen von Analyseregeln bleiben unverändert, einschließlich Erstellung, Aktualisierung und Verwaltung über den Assistenten, Repositorys und die Microsoft Sentinel-API. Die Incidentkorrelation und die mehrstufige Angriffserkennung funktionieren auch weiterhin im Defender-Portal. Die Warnungskorrelationsfunktion, die von der Fusion-Analyseregel im Azure-Portal verwaltet wird, wird von der Defender XDR-Engine im Defender-Portal verarbeitet, die alle Signale an einem Ort konsolidiert.
Wenn Sie zum Defender-Portal wechseln, sind die folgenden Änderungen wichtig:
| Feature | Beschreibung |
|---|---|
| Regeln für die benutzerdefinierte Erkennung | Wenn Sie Erkennungsanwendungsfälle haben, die sowohl Defender XDR als auch Microsoft Sentinel Daten betreffen, bei denen Sie Defender XDR Daten nicht länger als 30 Tage aufbewahren müssen, empfiehlt es sich, benutzerdefinierte Erkennungsregeln zu erstellen, mit denen Daten sowohl von Microsoft Sentinel als auch von Defender XDR Tabellen. Dies wird unterstützt, ohne Defender XDR Daten in Microsoft Sentinel erfassen zu müssen. Weitere Informationen finden Sie unter Verwenden Microsoft Sentinel benutzerdefinierter Funktionen bei der erweiterten Suche in Microsoft Defender. |
| Warnungskorrelation | Im Defender-Portal werden Korrelationen automatisch auf Warnungen angewendet, die sowohl Microsoft Defender Daten als auch Daten von Drittanbietern, die von Microsoft Sentinel erfasst wurden, unabhängig von Warnungsszenarien. Die Kriterien, die zum Korrelieren von Warnungen in einem einzelnen Incident verwendet werden, sind Teil der proprietären internen Korrelationslogik des Defender-Portals. Weitere Informationen finden Sie unter Warnungskorrelation und Incidentzusammenführung im Defender-Portal. |
| Warnungsgruppierung und Zusammenführung von Vorfällen | Während die Konfiguration der Warnungsgruppierung weiterhin in Analyseregeln angezeigt wird, steuert das Defender XDR Korrelationsmodul die Warnungsgruppierung und das Zusammenführen von Vorfällen bei Bedarf im Defender-Portal vollständig. Dadurch wird eine umfassende Übersicht über die gesamte Angriffsgeschichte sichergestellt, indem relevante Warnungen für mehrstufige Angriffe zusammengefügt werden. Beispielsweise können mehrere einzelne Analyseregeln, die zum Generieren eines Incidents für jede Warnung konfiguriert sind, zu zusammengeführten Incidents führen, wenn sie Defender XDR Korrelationslogik übereinstimmen. |
| Sichtbarkeit von Warnungen | Wenn Sie Microsoft Sentinel Analyseregeln konfiguriert haben, um nur Warnungen auszulösen, und die Incidenterstellung deaktiviert ist, sind diese Warnungen im Defender-Portal nicht sichtbar. |
| Warnungsoptimierung | Sobald Ihr Microsoft Sentinel Arbeitsbereich in Defender integriert wurde, werden alle Incidents, einschließlich derJenigen aus Ihren Microsoft Sentinel Analyseregeln, von der Defender XDR-Engine generiert. Daher können die Warnungsoptimierungsfunktionen im Defender-Portal, die bisher nur für Defender XDR Warnungen verfügbar waren, jetzt auf Warnungen von Microsoft Sentinel angewendet werden. Mit diesem Feature können Sie die Reaktion auf Vorfälle optimieren, indem Sie die Auflösung gängiger Warnungen automatisieren, falsch positive Ergebnisse reduzieren und den Rauschen minimieren, sodass Analysten wichtige Sicherheitsvorfälle priorisieren können. |
| Fusion: Erweiterte Erkennung von mehrinstanzenfähigen Angriffen | Die Fusion-Analyseregel, die im Azure-Portal Incidents basierend auf Warnungskorrelationen erstellt, die von der Fusion-Korrelations-Engine erstellt werden, ist deaktiviert, wenn Sie Microsoft Sentinel in das Defender-Portal integrieren. Sie verlieren die Warnungskorrelationsfunktionalität nicht, da das Defender-Portal die Funktionen zur Erstellung von Vorfällen und korrelation von Microsoft Defender XDR verwendet, um die Funktionen der Fusion-Engine zu ersetzen. Weitere Informationen finden Sie unter Erweiterte Erkennung von mehrstufigen Angriffen in Microsoft Sentinel |
Konfigurieren von Automatisierungsregeln und Playbooks
In Microsoft Sentinel basieren Playbooks auf Workflows, die in Azure Logic Apps, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können.
Die folgenden Einschränkungen gelten für Microsoft Sentinel Automatisierungsregeln und Playbooks, wenn Sie im Defender-Portal arbeiten. Möglicherweise müssen Sie einige Änderungen an Ihrer Umgebung vornehmen, wenn Sie den Übergang vornehmen.
| Funktionalität | Beschreibung |
|---|---|
| Automatisierungsregeln mit Warnungstriggern | Im Defender-Portal wirken Automatisierungsregeln mit Warnungstriggern nur auf Microsoft Sentinel Warnungen. Weitere Informationen finden Sie unter Trigger zum Erstellen von Warnungen. |
| Automatisierungsregeln mit Incidenttriggern | Sowohl im Azure-Portal als auch im Defender-Portal wird die Bedingungseigenschaft Incidentanbieter entfernt, da für alle Incidents Microsoft XDR als Incidentanbieter verwendet wird (der Wert im Feld ProviderName). An diesem Punkt werden alle vorhandenen Automatisierungsregeln sowohl für Microsoft Sentinel- als auch für Microsoft Defender XDR-Vorfälle ausgeführt, einschließlich solcher, bei denen die Incidentanbieterbedingung nur auf Microsoft Sentinel oder Microsoft 365 Defender festgelegt ist. Automatisierungsregeln, die einen bestimmten Analyseregelnamen angeben, werden jedoch nur für Incidents ausgeführt, die Warnungen enthalten, die von der angegebenen Analyseregel erstellt wurden. Dies bedeutet, dass Sie die Eigenschaft "Name der Analyseregel" für eine Analyseregel definieren können, die nur in Microsoft Sentinel vorhanden ist, um die Ausführung Ihrer Regel auf Incidents nur in Microsoft Sentinel zu beschränken. Außerdem enthält die Tabelle SecurityIncident nach dem Onboarding im Defender-Portal kein Beschreibungsfeld mehr. Daher: – Wenn Sie dieses Beschreibungsfeld als Bedingung für eine Automatisierungsregel mit einem Trigger für die Incidenterstellung verwenden, funktioniert diese Automatisierungsregel nach dem Onboarding im Defender-Portal nicht mehr. Stellen Sie in solchen Fällen sicher, dass Sie die Konfiguration entsprechend aktualisieren. Weitere Informationen finden Sie unter Incidenttriggerbedingungen. – Wenn Sie eine Integration mit einem externen Ticketsystem wie ServiceNow konfiguriert haben, fehlt die Incidentbeschreibung. |
| Latenz in Playbooktriggern | Es kann bis zu 5 Minuten dauern, bis Microsoft Defender Vorfälle in Microsoft Sentinel angezeigt werden. Wenn diese Verzögerung vorliegt, wird auch das Auslösen des Playbooks verzögert. |
| Änderungen an vorhandenen Incidentnamen | Das Defender-Portal verwendet eine eindeutige Engine, um Incidents und Warnungen zu korrelieren. Beim Onboarding Ihres Arbeitsbereichs in das Defender-Portal können vorhandene Incidentnamen geändert werden, wenn die Korrelation angewendet wird. Um sicherzustellen, dass Ihre Automatisierungsregeln immer ordnungsgemäß ausgeführt werden, sollten Sie daher die Verwendung von Incidenttiteln als Bedingungskriterien in Ihren Automatisierungsregeln vermeiden und stattdessen vorschlagen, den Namen aller Analyseregeln zu verwenden, die im Incident enthaltene Warnungen erstellt haben, und Tags, wenn mehr Spezifität erforderlich ist. |
| Aktualisiert nach Feld | Weitere Informationen finden Sie unter Trigger für Incidentupdates. |
| Erstellen von Automatisierungsregeln direkt aus einem Incident | Das Erstellen von Automatisierungsregeln direkt aus einem Incident wird nur im Azure-Portal unterstützt. Wenn Sie im Defender-Portal arbeiten, erstellen Sie Ihre Automatisierungsregeln von Grund auf auf der Seite Automatisierung . |
| Regeln zur Erstellung von Microsoft-Vorfällen | Regeln zur Erstellung von Microsoft-Vorfällen werden im Defender-Portal nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender XDR Incidents und Regeln zur Erstellung von Microsoft-Vorfällen. |
| Ausführen von Automatisierungsregeln über das Defender-Portal | Es kann bis zu 10 Minuten dauern, ab dem Zeitpunkt, zu dem eine Warnung ausgelöst und ein Incident im Defender-Portal erstellt oder aktualisiert wird, bis zu dem Zeitpunkt, zu dem eine Automatisierungsregel ausgeführt wird. Diese Verzögerung liegt daran, dass der Incident im Defender-Portal erstellt und dann an Microsoft Sentinel für die Automatisierungsregel weitergeleitet wird. |
| Registerkarte "Aktive Playbooks" | Nach dem Onboarding im Defender-Portal wird auf der Registerkarte Aktive Playbooks standardmäßig ein vordefinierter Filter mit dem Abonnement des integrierten Arbeitsbereichs angezeigt. Fügen Sie im Azure-Portal Mithilfe des Abonnementfilters Daten für andere Abonnements hinzu. Weitere Informationen finden Sie unter Erstellen und Anpassen Microsoft Sentinel Playbooks aus Vorlagen. |
| Manuelles Ausführen von Playbooks bei Bedarf | Die folgenden Verfahren werden derzeit im Defender-Portal nicht unterstützt: |
| Das Ausführen von Playbooks für Incidents erfordert Microsoft Sentinel Synchronisierung | Wenn Sie versuchen, ein Playbook für einen Incident über das Defender-Portal auszuführen und die Meldung "Kann nicht auf Daten im Zusammenhang mit dieser Aktion zugreifen. Aktualisieren Sie den Bildschirm in einigen Minuten." angezeigt wird, bedeutet dies, dass der Incident noch nicht mit Microsoft Sentinel synchronisiert wurde. Aktualisieren Sie die Incidentseite, nachdem der Incident synchronisiert wurde, um das Playbook erfolgreich auszuführen. |
|
Incidents: Hinzufügen von Warnungen zu Incidents / Entfernen von Warnungen aus Incidents |
Da das Hinzufügen von Warnungen zu oder das Entfernen von Warnungen aus Incidents nach dem Onboarding Ihres Arbeitsbereichs in das Defender-Portal nicht unterstützt wird, werden diese Aktionen auch in Playbooks nicht unterstützt. Weitere Informationen finden Sie unter Verstehen, wie Warnungen korreliert und Incidents im Defender-Portal zusammengeführt werden. |
| Microsoft Defender XDR Integration in mehrere Arbeitsbereiche | Wenn Sie XDR-Daten mit mehr als einem Arbeitsbereich in einem einzelnen Mandanten integriert haben, werden die Daten jetzt nur noch im primären Arbeitsbereich im Defender-Portal erfasst. Übertragen Sie Automatisierungsregeln in den relevanten Arbeitsbereich, damit sie weiterhin ausgeführt werden. |
| Automatisierung und die Korrelations-Engine | Die Korrelations-Engine kann Warnungen von mehreren Signalen in einem einzelnen Incident kombinieren, was dazu führen kann, dass die Automatisierung Daten empfängt, die Sie nicht erwartet haben. Es wird empfohlen, Ihre Automatisierungsregeln zu überprüfen, um sicherzustellen, dass die erwarteten Ergebnisse angezeigt werden. |
Konfigurieren von APIs
Die einheitliche Oberfläche im Defender-Portal führt wichtige Änderungen an Incidents und Warnungen von APIs ein. Es unterstützt API-Aufrufe, die auf der Microsoft Graph-REST-API v1.0 basieren, die für die Automatisierung im Zusammenhang mit Warnungen, Incidents, der erweiterten Suche und mehr verwendet werden kann.
Die Microsoft Sentinel-API unterstützt weiterhin Aktionen für Microsoft Sentinel Ressourcen, z. B. Analyseregeln, Automatisierungsregeln und mehr. Für die Interaktion mit einheitlichen Incidents und Warnungen wird empfohlen, die Microsoft Graph-REST-API zu verwenden.
Wenn Sie die Microsoft Sentinel-API SecurityInsights für die Interaktion mit Microsoft Sentinel Incidents verwenden, müssen Sie möglicherweise Ihre Automatisierungsbedingungen und Triggerkriterien aufgrund von Änderungen im Antworttext aktualisieren.
In der folgenden Tabelle sind Felder aufgeführt, die in den Antwortausschnitten wichtig sind, und sie werden in den Azure- und Defender-Portalen verglichen:
| Funktionalität | Azure-Portal | Defender-Portal |
|---|---|---|
| Link zum Incident |
incidentUrl: Die direkte URL zum Incident im Microsoft Sentinel-Portal |
providerIncidentUrl: Dieses zusätzliche Feld stellt einen direkten Link zum Incident bereit, der verwendet werden kann, um diese Informationen mit einem Ticketsystem eines Drittanbieters wie ServiceNow zu synchronisieren. incidentUrlist weiterhin verfügbar, verweist aber auf das Microsoft Sentinel-Portal. |
| Die Quellen, die die Erkennung ausgelöst und die Warnung veröffentlicht haben | alertProductNames |
alertProductNames: Erfordert das Hinzufügen ?$expand=alerts zu GET. Beispiel: https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| Der Name des Warnungsanbieters |
providerName= "Azure Sentinel" |
providerName = "Microsoft XDR" |
| Der Dienst oder das Produkt, das die Warnung erstellt hat | Ist im Azure-Portal nicht vorhanden | serviceSource Beispiel: "microsoftDefenderForCloudApps" |
| Die Erkennungstechnologie oder der Sensor, die die relevante Komponente oder Aktivität identifiziert hat | Ist im Azure-Portal nicht vorhanden |
detectionSource Beispiel: "cloudAppSecurity" |
| Der Name des Produkts, das diese Warnung veröffentlicht hat. | Ist im Azure-Portal nicht vorhanden |
productNameBeispiel: "Microsoft Defender for Cloud Apps" |
Ausführen von Vorgängen im Defender-Portal
Zielgruppe: Sicherheitsanalysten
Videos:
- Ermitteln und Verwalten von Microsoft Sentinel Inhalten und Threat Intelligence in Microsoft Defender
- Erstellen von Automatisierung und Arbeitsmappen in Microsoft Defender
- Warnungskorrelation in Microsoft Defender
- Untersuchung von Vorfällen in Microsoft Defender
- Fallverwaltung in Microsoft Defender
- Erweiterte Suche in Microsoft Defender
- SOC-Optimierungen in Microsoft Defender
Aktualisieren von Prozessen zur Selektierung von Vorfällen für das Defender-Portal
Wenn Sie Microsoft Sentinel im Azure-Portal verwendet haben, werden Sie im Defender-Portal erhebliche Verbesserungen an der Benutzerfreundlichkeit feststellen. Möglicherweise müssen Sie SOC-Prozesse aktualisieren und Ihre Analysten erneut trainieren, aber der Entwurf konsolidiert alle relevanten Informationen an einem zentralen Ort, um optimierte und effizientere Workflows bereitzustellen.
Die einheitliche Incidentwarteschlange im Defender-Portal konsolidiert alle Incidents produktübergreifend in einer einzigen Ansicht und wirkt sich darauf aus, wie Analysten Vorfälle selektieren, die jetzt mehrere sicherheitsübergreifende Domänenwarnungen enthalten. Zum Beispiel:
- In der Regel selektieren Analysten Incidents basierend auf bestimmten Sicherheitsdomänen oder Fachkenntnissen und behandeln häufig Tickets pro Entität, z. B. einen Benutzer oder Host. Dieser Ansatz kann blinde Flecken erzeugen, die mit der einheitlichen Erfahrung angegangen werden sollen.
- Wenn sich ein Angreifer seitlich bewegt, können verwandte Warnungen aufgrund verschiedener Sicherheitsdomänen in separaten Vorfällen enden. Die einheitliche Benutzeroberfläche beseitigt dieses Problem, indem eine umfassende Ansicht bereitgestellt wird, die sicherstellt, dass alle zugehörigen Warnungen korreliert und kohäsiv verwaltet werden.
Analysten können auch Erkennungsquellen und Produktnamen im Defender-Portal anzeigen und Filter anwenden und freigeben, um eine effizientere Selektierung von Vorfällen und Warnungen zu ermöglichen.
Der einheitliche Selektierungsprozess kann dazu beitragen, die Workloads von Analysten zu reduzieren und sogar die Rollen von Analysten der Ebene 1 und Der Ebene 2 zu kombinieren. Der einheitliche Selektierungsprozess kann jedoch auch umfassendere und tiefergehende Analystenkenntnisse erfordern. Es wird empfohlen, auf der neuen Portaloberfläche zu trainieren, um einen reibungslosen Übergang zu gewährleisten.
Weitere Informationen finden Sie unter Incidents und Warnungen im Microsoft Defender-Portal.
Verstehen, wie Warnungen korreliert und Incidents im Defender-Portal zusammengeführt werden
Die Korrelations-Engine von Defender führt Incidents zusammen, wenn allgemeine Elemente zwischen Warnungen in separaten Vorfällen erkannt werden. Wenn eine neue Warnung Korrelationskriterien erfüllt, aggregiert Microsoft Defender und korreliert sie mit anderen zugehörigen Warnungen aus allen Erkennungsquellen zu einem neuen Incident. Nach dem Onboarding Microsoft Sentinel in das Defender-Portal zeigt die einheitliche Incidentwarteschlange einen umfassenderen Angriff auf, wodurch Analysten effizienter werden und eine vollständige Angriffsgeschichte bereitgestellt werden.
In Szenarien mit mehreren Arbeitsbereichen werden nur Warnungen aus einem primären Arbeitsbereich mit Microsoft Defender XDR Daten korreliert. Es gibt auch bestimmte Szenarien, in denen Incidents nicht zusammengeführt werden.
Nach dem Onboarding Microsoft Sentinel in das Defender-Portal gelten die folgenden Änderungen für Incidents und Warnungen:
| Feature | Beschreibung |
|---|---|
| Verzögerung direkt nach dem Onboarding Ihres Arbeitsbereichs | Es kann bis zu 5 Minuten dauern, bis Microsoft Defender Incidents vollständig in Microsoft Sentinel integriert sind. Dies wirkt sich nicht auf Features aus, die direkt von Microsoft Defender bereitgestellt werden, z. B. automatische Angriffsunterbrechungen. |
| Regeln zur Erstellung von Sicherheitsvorfällen | Alle aktiven Regeln für die Erstellung von Microsoft-Sicherheitsvorfällen werden deaktiviert, um doppelte Vorfälle zu vermeiden. Die Einstellungen für die Incidenterstellung in anderen Arten von Analyseregeln bleiben unverändert und können im Defender-Portal konfiguriert werden. |
| Name des Incidentanbieters | Im Defender-Portal lautet der Name des Incidentanbieters immer Microsoft XDR. |
| Hinzufügen/Entfernen von Warnungen zu Incidents | Das Hinzufügen oder Entfernen Microsoft Sentinel Warnungen zu oder aus Incidents wird nur im Defender-Portal unterstützt. Um eine Warnung aus einem Incident im Defender-Portal zu entfernen, müssen Sie die Warnung einem anderen Incident hinzufügen. |
| Bearbeiten von Kommentaren | Hinzufügen von Kommentaren zu Incidents in Defender oder Azure-Portal, aber das Bearbeiten vorhandener Kommentare wird im Defender-Portal nicht unterstützt. Änderungen an Kommentaren im Azure-Portal werden nicht mit dem Defender-Portal synchronisiert. |
| Programmgesteuerte und manuelle Erstellung von Incidents | Incidents, die in Microsoft Sentinel über die API, durch ein Logik-App-Playbook oder manuell aus dem Azure-Portal erstellt wurden, werden nicht mit dem Defender-Portal synchronisiert. Diese Vorfälle werden weiterhin im Azure-Portal und in der API unterstützt. Weitere Informationen finden Sie unter Manuelles Erstellen eigener Incidents in Microsoft Sentinel. |
| Erneutes Öffnen geschlossener Vorfälle | Im Defender-Portal können Sie keine Warnungsgruppierung in Microsoft Sentinel Analyseregeln festlegen, um geschlossene Vorfälle erneut zu öffnen, wenn neue Warnungen hinzugefügt werden. Geschlossene Vorfälle werden in diesem Fall nicht erneut geöffnet, und neue Warnungen lösen neue Vorfälle aus. |
Weitere Informationen finden Sie unter Incidents und Warnungen im Microsoft Defender-Portal und Warnungskorrelation und Incidentzusammenführung im Microsoft Defender-Portal.
Änderungen für Untersuchungen mit der erweiterten Suche
Greifen Sie nach dem Onboarding Microsoft Sentinel in das Defender-Portal auf alle vorhandenen Protokolltabellen, Kusto-Abfragesprache -Abfragen (KQL) und Funktionen auf der Seite Erweiterte Suche zu und verwenden sie. Alle Microsoft Sentinel Warnungen, die an Incidents gebunden sind, werden in der Tabelle erfasst, auf die über die AlertInfo Seite Erweiterte Suche zugegriffen werden kann.
Es gibt einige Unterschiede, z. B. lesezeichen werden in der erweiterten Suche nicht unterstützt. Stattdessen werden Lesezeichen im Defender-Portal unter Microsoft Sentinel > Bedrohungsverwaltungssuche >unterstützt.
Weitere Informationen finden Sie unter Erweiterte Suche mit Microsoft Sentinel Daten in Microsoft Defender, insbesondere in der Liste der bekannten Probleme, und Nachverfolgen von Daten während der Suche mit Microsoft Sentinel.
Untersuchen mit Entitäten im Defender-Portal
Im Microsoft Defender-Portal sind Entitäten im Allgemeinen entweder Ressourcen wie Konten, Hosts oder Postfächer oder Nachweise wie IP-Adressen, Dateien oder URLs.
Nach dem Onboarding Microsoft Sentinel in das Defender-Portal werden Entitätsseiten für Benutzer, Geräte und IP-Adressen in einer einzigen Ansicht mit einer umfassenden Ansicht der Aktivität und des Kontexts der Entität sowie der Daten aus Microsoft Sentinel und Microsoft Defender XDR konsolidiert.
Das Defender-Portal bietet auch eine globale Suche Leiste, die Ergebnisse aller Entitäten zentralisiert, sodass Sie siem- und XDR-übergreifend durchsuchen können.
Weitere Informationen finden Sie unter Entitätsseiten in Microsoft Sentinel.
Untersuchen mit UEBA im Defender-Portal
Die meisten Funktionen der Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) bleiben im Defender-Portal unverändert wie im Azure-Portal, mit den folgenden Ausnahmen:
Das Hinzufügen von Entitäten zu Threat Intelligence aus Incidents wird nur im Azure-Portal unterstützt. Weitere Informationen finden Sie unter Hinzufügen einer Entität zu Bedrohungsindikatoren.
Wenn Sie Microsoft Sentinel in das Microsoft Defender-Portal integrieren, ist die
IdentityInfoTabelle sowohl in der Microsoft Defender Erweiterten Suche als auch in Ihrem Sentinel Log Analytics-Arbeitsbereich verfügbar. DieIdentityInfoin der erweiterten Suche verwendete Tabelle enthält einheitliche Felder aus Defender XDR und Microsoft Sentinel. Einige Felder, die in der tabelle Sentinel Log Analytics-Arbeitsbereich vorhanden sind, werden entweder umbenannt oder werden in der Tabelle Erweiterte Suche nicht unterstützt. Achten Sie darauf, alle Abfragen zu überprüfen und zu aktualisieren, die in Microsoft Defender ausgeführt werden, z. B. Abfragen der erweiterten Suche oder benutzerdefinierte Erkennungen. Microsoft Sentinel Analyseregeln, Arbeitsmappen und andere Sentinel Abfragen verwenden weiterhin dieIdentityInfoTabelle im Log Analytics-Arbeitsbereich und sind nicht betroffen. Weitere Informationen und einen Vergleich der Tabellenschemas in advanced hunting und Log Analytics finden Sie unter IdentityInfo-Tabelle.
Wichtig
Wenn Sie zum Defender-Portal wechseln, wird die IdentityInfo Tabelle zu einer nativen Defender-Tabelle, die die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf Tabellenebene nicht unterstützt. Wenn Ihr organization RBAC auf Tabellenebene verwendet, um den Zugriff auf die IdentityInfo Tabelle im Azure-Portal einzuschränken, ist diese Zugriffssteuerung nach dem Übergang zum Defender-Portal nicht mehr verfügbar.
Aktualisieren von Untersuchungsprozessen zur Verwendung Microsoft Defender Threat Intelligence
Für Microsoft Sentinel Kunden, die vom Azure-Portal zum Defender-Portal wechseln, werden die vertrauten Threat Intelligence-Features im Defender-Portal unter Intel-Verwaltung beibehalten und mit anderen Threat Intelligence-Features erweitert, die im Defender-Portal verfügbar sind. Unterstützte Features hängen von den Lizenzen ab, über die Sie verfügen, z. B.:
| Feature | Beschreibung |
|---|---|
| Bedrohungsanalyse | Unterstützt für Microsoft Defender XDR Kunden. Eine produktinterne Lösung, die von Microsoft-Sicherheitsexperten bereitgestellt wird und Sicherheitsteams hilft, indem sie Einblicke in neue Bedrohungen, aktive Bedrohungen und deren Auswirkungen bietet. Die Daten werden in einer intuitiven Dashboard mit Karten, Datenzeilen, Filtern und mehr dargestellt. |
| Intel-Profile | Unterstützt für Microsoft Defender Threat Intelligence Kunden. Kategorisieren sie Bedrohungen und Verhaltensweisen nach einem Bedrohungsakteurprofil, sodass sie leichter nachverfolgt und korreliert werden können. Diese Profile enthalten alle Indikatoren der Kompromittierung (Indicators of Compromise, IoC), die sich auf Taktiken, Techniken und Tools beziehen, die bei Angriffen verwendet werden. |
| Intel Explorer | Unterstützt für Microsoft Defender Threat Intelligence Kunden. Konsolidiert verfügbare IoCs und stellt bedrohungsbezogene Artikel bereit, sobald sie veröffentlicht werden, sodass Sicherheitsteams über neue Bedrohungen auf dem Laufenden bleiben können. |
| Intel-Projekte | Unterstützt für Microsoft Defender Threat Intelligence Kunden. Ermöglicht Es Teams, Threat Intelligence in einem "Projekt" zu konsolidieren, um alle Artefakte zu überprüfen, die sich auf ein bestimmtes Szenario beziehen. |
Verwenden Sie ThreatIntelOjbects im Defender-Portal und ThreatIntelIndicators zusammen mit Indicators for Compromise (Indikatoren für Kompromittierung) für die Bedrohungssuche, die Reaktion auf Vorfälle, Copilot, die Berichterstellung und zum Erstellen relationaler Diagramme, die Verbindungen zwischen Indikatoren und Entitäten zeigen.
Für Kunden, die den MDTI-Feed (Microsoft Defender Threat Intelligence) verwenden, ist eine kostenlose Version über den Datenconnector von Microsoft Sentinel für MDTI verfügbar. Benutzer mit MDTI-Lizenzen können auch MDTI-Daten erfassen und Security Copilot für die Bedrohungsanalyse, aktive Bedrohungsüberprüfung und Bedrohungsakteurforschung verwenden.
Weitere Informationen finden Sie unter:
- Bedrohungsverwaltung
- Bedrohungsanalyse in Microsoft Defender XDR
- Verwenden von Projekten
- Threat Intelligence in Microsoft Sentinel
Verwenden von Arbeitsmappen zum Visualisieren und Melden von Microsoft Defender Daten
Azure Arbeitsmappen sind weiterhin das primäre Tool für die Datenvisualisierung und -interaktion im Defender-Portal und funktionieren wie im Azure-Portal.
Um Arbeitsmappen mit Daten aus der erweiterten Suche zu verwenden, stellen Sie sicher, dass Sie Protokolle in Microsoft Sentinel erfassen.
Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Ähnliche Vorfälle (Vorschau) werden im Defender-Portal nicht unterstützt.
Die Microsoft Sentinel ähnliche Incidents-Funktion befindet sich in der Vorschau und wird im Defender-Portal nicht unterstützt. Dies bedeutet, dass beim Anzeigen einer Seite mit Incidentdetails im Defender-Portal die Registerkarte Ähnliche Vorfälle nicht verfügbar ist.
Verwandte Inhalte
- Das Beste von Microsoft Sentinel - jetzt in Microsoft Defender (Blog)
- Sehen Sie sich das Webinar An: Übergang zur einheitlichen SOC-Plattform: Deep Dive und Interactive Q&A für SOC-Experten.
- Häufig gestellte Fragen finden Sie im TechCommunity-Blog oder im Microsoft Community Hub.
- Überprüfen der Unterschiede des Warnungsschemas zwischen eigenständigen connectors und XDR-Connectors