Übung – Verbinden von Microsoft Sentinel mit Microsoft Defender XDR

  • 15 Minuten

Sie sind Security Operations Analyst und arbeiten in einem Unternehmen, das Microsoft Defender XDR und Microsoft Sentinel bereitgestellt hat. Sie müssen sich auf Microsoft Sentinel im Microsoft Defender-Portal vorbereiten, indem Sie Microsoft Sentinel mit Defender XDR verbinden.

In dieser Übung führen Sie die folgenden Aufgaben aus:

  • Installieren Sie die Microsoft Defender XDR Content Hub-Lösung.
  • Stellen Sie den Microsoft Sentinel-Connector bereit, um Microsoft Sentinel mit Microsoft Defender XDR zu verbinden.
  • Verbinden Sie Microsoft Sentinel mit Microsoft Defender XDR.
  • Erkunden Sie die Microsoft Sentinel-Funktionen im Microsoft Defender XDR-Portal.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Da es sich um eine eingeschränkte Simulation handelt, werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Eine Popupmeldung zeigt an, dass "Dieses Feature ist innerhalb der Simulation nicht verfügbar" angezeigt wird. Wählen Sie in diesem Fall "OK" aus, und fahren Sie mit den Übungsschritten fort.

Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Aufgabe 1: Verbinden von Defender XDR

In dieser Aufgabe stellen Sie den Microsoft Defender XDR-Connector bereit.

  1. Öffnen Sie im Microsoft Edge-Browser die simulierte Umgebung, indem Sie diesen Link auswählen: Azure-Portal.

  2. Wählen Sie auf der Startseite des Azure-Portals das Microsoft Sentinel-Symbol aus.

  3. Wählen Sie auf der Microsoft Sentinel-Seite den Woodgrove-LogAnalyticsWorkspace aus.

  4. Scrollen Sie im Microsoft Sentinel-Navigationsmenü nach unten, und erweitern Sie den Abschnitt "Inhaltsverwaltung ". Wählen Sie dann den Inhaltshub aus.

  5. Suchen Sie im Inhaltshub nach der Microsoft Defender XDR-Lösung, und wählen Sie sie aus der Liste aus.

  6. Wählen Sie auf der Seite mit den Lösungsdetails von Microsoft Defender XDR die Option Installieren aus.

  7. Wenn die Installation abgeschlossen ist, suchen Sie nach der Microsoft Defender XDR-Lösung , und wählen Sie sie aus.

  8. Wählen Sie auf der Seite mit den Lösungsdetails von Microsoft Defender XDR die Option Verwalten aus

  9. Aktivieren Sie das Kontrollkästchen „Microsoft Defender XDR-Datenconnector“, und wählen Sie die Option Connectorseite öffnen aus.

  10. Wählen Sie im Abschnitt "Konfiguration " auf der Registerkarte " Anweisungen " die Schaltfläche " Vorfälle und Warnungen verbinden" aus.

  11. Es sollte eine Meldung angezeigt werden, dass die Verbindung erfolgreich hergestellt wurde.

Aufgabe 2: Verbinden von Microsoft Sentinel und Microsoft Defender XDR

In dieser Aufgabe fahren Sie mit der Simulation fort und verbinden einen Microsoft Sentinel-Arbeitsbereich mit Microsoft Defender XDR.

  1. Navigieren Sie zurück zum Microsoft Sentinel Content Hub (unter Verwendung des Menülinks "Breadcrumb" oben auf der Seite), und wählen Sie im Navigationsmenü "Allgemein" die Option "Übersicht (Vorschau) " aus.

  2. Wählen Sie die Schaltfläche Weitere Informationen in der Nachricht SIEM und XDR an einer zentralen Stelle erhalten aus.

    Bildschirmaufnahme von SIEM und XDR Erfahren Sie mehr Schaltflächennachricht.

  3. Durch Auswählen der Schaltfläche "Weitere Informationen " wird eine neue Registerkarte im Browser für das Microsoft Defender XDR-Portal geöffnet.

  4. Auf dem Startbildschirm des Defender-Portalssollten Sie oben ein Banner mit der Nachricht "Hol dir dein SIEM und XDR an einem Ort" sehen. Wählen Sie die Schaltfläche Arbeitsbereiche verbinden aus.

    Bildschirmaufnahme von Defender XDR Connect einer Arbeitsbereichsschaltfläche.

  5. Wählen Sie auf der Seite Arbeitsbereich auswählen den Microsoft Sentinel-Arbeitsbereich woodgrove-loganalyiticsworkspace aus.

  6. Wählen Sie die Schaltfläche Weiter aus.

  7. Auf der Seite " Primären Arbeitsbereich festlegen " sollte der Woodgrove-loganalyiticsworkspace Microsoft Sentinel-Arbeitsbereich im Dropdownmenü angezeigt werden. Wählen Sie die Schaltfläche Weiter aus.

  8. Auf der Seite Überprüfen und abschließen überprüfen Sie, ob die Arbeitsbereich-Auswahl korrekt ist, und sehen Sie sich die Aufzählung unter dem Abschnitt „Was Sie erwarten können, wenn der Arbeitsbereich verbunden ist“ an. Wählen Sie die Schaltfläche Verbinden aus.

  9. Es sollte die Nachricht Sie sind dabei, einen Arbeitsbereich zu verbinden angezeigt werden. Wählen Sie die Schaltfläche Verbinden aus.

  10. Sie sollten sich jetzt auf der Seite Arbeitsbereich erfolgreich verbunden befinden.

  11. Klicken Sie auf die Schaltfläche Schließen.

    Bildschirmaufnahme des Defender XDR-Arbeitsbereichs, der erfolgreich verbunden ist.

  12. Auf dem Startbildschirm des Defender XDR-Portals sollten Sie oben ein Banner mit der Nachricht Ihr vereinheitlichtes SIEM und XDR ist bereit sehen. Wählen Sie die Schaltfläche Suche starten aus.

  13. In der erweiterten Suche sollte eine Meldung angezeigt werden: "Erkunden Sie Ihre Inhalte von Microsoft Sentinel". Im Navigationsmenü " Erweiterte Suche " finden Sie die Microsoft Sentinel-Tabellen , -Funktionen und -Abfragen unter den entsprechenden Registerkarten.

  14. Scrollen Sie unter der Registerkarte "Schema " zur Überschrift "Microsoft Sentinel ", und doppelklicken Sie dann auf die Tabelle "ThreatIntelligenceIndicator ".

  15. Im Abfragebereich sollte eine Abfrage (KQL) angezeigt werden, die Indikatoren für die Bedrohungserkennung zurückgibt. Wählen Sie die Schaltfläche Abfrage ausführen aus.

    Screenshot von Defender XDR Sentinel Advanced-Suchtabellen.

  16. Erweitern Sie den linken Hauptmenübereich, wenn er eingeklappt ist, und erweitern Sie die neuen Microsoft Sentinel-Menüelemente. Die Auswahl " Suchen", "Bedrohungsverwaltung", "Inhaltsverwaltung" und "Konfiguration " sollte angezeigt werden.

    Hinweis

    Es gibt Unterschiede in den Fähigkeiten zwischen dem Azure-Portal für Microsoft Sentinel und Sentinel im Microsoft Defender XDR-Portal Portalunterschiede in den Fähigkeiten.

  17. Wählen Sie in den Menüelementen von Microsoft Defender XDR Microsoft Sentinel die Option Konfiguration und dann Datenconnectors aus.

  18. Auf der Seite Datenverbindungen sollten die Azure-Aktivität und andere Datenverbindungen mit dem Status Verbunden aufgeführt sein.

Hinweis

Sie können die anderen Microsoft Sentinel-Funktionen erkunden und vergleichen, aber da es sich um eine Simulation handelt, ist Ihre Fähigkeit, Microsoft Sentinel im Microsoft Defender-Portal zu erkunden, eingeschränkt. In einer echten Umgebung können Sie die vollständigen Microsoft Sentinel-Funktionen im Microsoft Defender-Portal erkunden.