Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met de Defender-portal kunt u verbinding maken met één primaire werkruimte en meerdere secundaire werkruimten voor Microsoft Sentinel. In de context van dit artikel is een werkruimte een Log Analytics-werkruimte waarvoor Microsoft Sentinel ingeschakeld.
Dit artikel is voornamelijk van toepassing op het scenario waarin u Microsoft Sentinel onboardt naar de Defender-portal samen met Microsoft Defender XDR voor geïntegreerde beveiligingsbewerkingen. Als u van plan bent om Microsoft Sentinel in de Defender-portal te gebruiken zonder Microsoft Defender XDR, kunt u nog steeds meerdere werkruimten beheren. Omdat u echter geen Defender XDR hebt, heeft uw primaire werkruimte geen Defender XDR gegevens en hebt u geen toegang tot Defender XDR functies.
Primaire en secundaire werkruimten
Selecteer uw primaire werkruimte wanneer u Microsoft Sentinel naar de Defender-portal onboardt. Alle andere werkruimten die u onboardt naar de Defender-portal, worden beschouwd als secundaire werkruimten. De Defender-portal ondersteunt één primaire werkruimte en een onbeperkt aantal secundaire werkruimten per tenant voor Microsoft Sentinel.
Wanneer u ook Microsoft Defender XDR hebt, worden waarschuwingen van uw primaire werkruimte gecorreleerd met Defender XDR gegevens en omvatten incidenten waarschuwingen van zowel uw primaire werkruimte als Defender XDR in een uniforme wachtrij. Wanneer u een primaire werkruimte selecteert, is de Defender XDR-gegevensconnector voor incidenten en waarschuwingen alleen verbonden met de primaire werkruimte.
In dergelijke gevallen:
| Gebied | Beschrijving |
|---|---|
| Andere werkruimten die eerder zijn verbonden met Defender XDR | Alle andere werkruimten die eerder zijn verbonden met de Defender XDR-connector, worden losgekoppeld en fungeren als secundaire werkruimten. Analyseregels en automatisering die u eerder hebt geconfigureerd op basis van Defender XDR gegevens, werken niet meer totdat u tabelopname configureert. |
| Op tenant gebaseerde waarschuwingen en zelfstandige gegevensconnectors | Waarschuwingen van andere Microsoft-services, waaronder andere Defender-services, zijn waarschuwingen op basis van tenants en hebben betrekking op de hele tenant in plaats van op een specifieke werkruimte. Om duplicatie tussen werkruimten te voorkomen, moeten directe, zelfstandige gegevensconnectors voor deze services worden losgekoppeld van Microsoft Sentinel in secundaire werkruimten. Hierdoor worden op tenant gebaseerde waarschuwingen alleen in de primaire werkruimte weergegeven. Tijdens de onboarding zijn zelfstandige gegevensconnectors voor Microsoft Defender voor Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender voor Eindpunt en Microsoft Defender for Identity worden automatisch verbroken. Als u andere, zelfstandige Microsoft-gegevensconnectors met waarschuwingen in uw werkruimten hebt, moet u deze loskoppelen voordat u onboardt naar de Defender-portal. |
| waarschuwingen en incidenten Defender XDR | Alle Defender XDR waarschuwingen en incidenten worden alleen gesynchroniseerd met uw primaire werkruimte. Secundaire werkruimten kunnen echter Defender-tabelgegevens opnemen als deze zijn geconfigureerd in de Microsoft XDR-connector in de Sentinel-portal in Azure of onder Microsoft Sentinel>Configuratietabellen> in de Defender-portal. |
| Correlatie van het maken van incidenten en waarschuwingen | De Defender-portal houdt het maken van incidenten en de correlatie van waarschuwingen gescheiden tussen de Microsoft Sentinel werkruimten. Incidenten in secundaire werkruimten bevatten geen gegevens uit een andere werkruimte of uit Defender XDR. |
| Eén primaire werkruimte vereist | Er moet altijd één primaire werkruimte zijn verbonden met de Defender-portal. |
U werkt bijvoorbeeld in een wereldwijd SOC-team in een bedrijf met meerdere, autonome werkruimten. In dergelijke gevallen wilt u mogelijk geen incidenten en waarschuwingen van elk van deze werkruimten zien in uw globale SOC-wachtrij in de Defender-portal. Omdat deze werkruimten worden toegevoegd aan de Defender-portal als secundaire werkruimten, worden ze in de Defender-portal alleen weergegeven als Microsoft Sentinel, zonder Defender-incidenten en -waarschuwingen, en blijven ze autonoom functioneren. Wanneer u uw globale SOC-werkruimte bekijkt, ziet u geen gegevens uit deze secundaire werkruimten.
Als u meerdere Microsoft Sentinel werkruimten in een Microsoft Entra ID tenant hebt, kunt u overwegen om de primaire werkruimte te gebruiken voor uw wereldwijde beveiligingscentrum.
Machtigingen voor het beheren van werkruimten en het weergeven van werkruimtegegevens
Gebruik een van de volgende rollen of rolcombinaties om primaire en secundaire werkruimten te beheren:
| Taak | Microsoft Entra of Azure ingebouwde rol vereist | Bereik |
|---|---|---|
| Onboard Microsoft Sentinel naar de Defender-portal | Ten minste een beveiligingsbeheerder in Microsoft Entra ID Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender |
Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender |
| Een secundaire werkruimte verbinden of verbreken | Ten minste een beveiligingsbeheerder in Microsoft Entra ID Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender |
Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender |
| De primaire werkruimte wijzigen | Ten minste een beveiligingsbeheerder in Microsoft Entra ID Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender |
Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender |
| Een Sentinel werkruimte in Unified RBAC activeren of deactiveren | Ten minste een beveiligingsbeheerder in Microsoft Entra ID Eigenaar of beheerder van gebruikerstoegang EN Microsoft Sentinel inzender |
Tenant - Abonnement voor de rollen Eigenaar of Beheerder voor gebruikerstoegang - Abonnement, resourcegroep of werkruimteresource voor Microsoft Sentinel Inzender |
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie.
Nadat u Microsoft Sentinel verbinding hebt gemaakt met de Defender-portal, kunt u met uw bestaande Azure machtigingen voor op rollen gebaseerd toegangsbeheer (RBAC) de Microsoft Sentinel functies en werkruimten bekijken en ermee werken waartoe u toegang hebt.
| Workspace | Access |
|---|---|
| Primaire | Als u toegang hebt tot de primaire werkruimte, kunt u gegevens uit de werkruimte lezen en beheren en Defender XDR. |
| Secundaire | Als u toegang hebt tot een secundaire werkruimte, kunt u alleen gegevens uit de werkruimte lezen en beheren. Defender-incidenten en -waarschuwingen worden niet gesynchroniseerd met secundaire werkruimten, maar secundaire werkruimten kunnen nog steeds Defender-tabelgegevens opnemen. Zie Primaire en secundaire werkruimten voor meer informatie. |
Uitzondering: Als u al één werkruimte hebt toegevoegd aan de Defender-portal, zijn waarschuwingen die vóór half januari 2025 zijn gemaakt met behulp van aangepaste detecties op AlertInfo en AlertEvidence tabellen zichtbaar voor alle gebruikers.
Zie Rollen en machtigingen in Microsoft Sentinel voor meer informatie.
Wijzigingen in primaire werkruimte
Nadat u Microsoft Sentinel hebt toegevoegd aan de Defender-portal, kunt u de primaire werkruimte wijzigen. Wanneer u de primaire werkruimte voor Microsoft Sentinel overschakelt, wordt de Defender XDR-connector automatisch verbonden met de nieuwe primaire en wordt de verbinding met de vorige connector automatisch verbroken.
Wijzig de primaire werkruimte in de Defender-portal door naar Systeeminstellingen>>Microsoft Sentinel>Werkruimten te gaan.
Bereik van werkruimtegegevens in verschillende weergaven
Als u de juiste machtigingen hebt om gegevens uit primaire en secundaire werkruimten voor Microsoft Sentinel weer te geven, is het werkruimtebereik in de volgende tabel van toepassing op elke mogelijkheid.
| Functie | Werkruimtebereik |
|---|---|
| Zoeken | De resultaten van de algemene zoekopdracht bovenaan de browserpagina in de Defender-portal bieden een geaggregeerde weergave van alle relevante werkruimtegegevens waarvoor u machtigingen hebt. |
| Onderzoek & respons > Incidenten & waarschuwingen >Incidenten | Bekijk incidenten uit verschillende werkruimten in een uniforme wachtrij of filter de weergave op werkruimte. |
| Waarschuwingen voor & > onderzoeken Van incidenten & waarschuwingen> | Bekijk waarschuwingen van verschillende werkruimten in een uniforme wachtrij of filter de weergave op werkruimte. De Defender-portal segmenten waarschuwingscorrelatie per werkruimte. |
| Entiteiten: selecteer vanuit een incident of waarschuwing > een apparaat, gebruiker of andere entiteitsasset | Bekijk alle relevante entiteitsgegevens uit meerdere werkruimten op één entiteitspagina. Entiteitspagina's aggregeren waarschuwingen, incidenten en tijdlijngebeurtenissen van alle werkruimten om dieper inzicht te krijgen in het gedrag van entiteiten. Filter op werkruimte op de tabbladen Incidenten en waarschuwingen, Tijdlijn en Inzichten . Op het tabblad Overzicht worden entiteitsmetagegevens weergegeven die zijn geaggregeerd uit alle werkruimten. |
| Onderzoek & reactie > Opsporing >Geavanceerde opsporing | Selecteer een werkruimte rechtsboven in de browser. U kunt ook query's uitvoeren in meerdere werkruimten met behulp van de werkruimteoperator in de query. Zie Query's uitvoeren op meerdere werkruimten. In de queryresultaten wordt geen werkruimtenaam of -id weergegeven. Toegang tot alle logboekgegevens van de werkruimte, inclusief query's en functies, als alleen-lezen. Zie Geavanceerde opsporing met Microsoft Sentinel gegevens in Microsoft Defender portal voor meer informatie. Sommige mogelijkheden zijn beperkt tot de primaire werkruimte: - Aangepaste detecties maken - Query's via API Query's in meerdere werkruimten voor Log Analytics-gegevens blijven onderhevig aan Log Analytics-beperkingen. |
| Microsoft Sentinel ervaringen | Bekijk gegevens uit één werkruimte voor elke pagina in de sectie Microsoft Sentinel van de Defender-portal. Schakel tussen werkruimten door Selecteer een werkruimte in de rechterbovenhoek van de browser voor de meeste pagina's. - Op de pagina Werkmappen worden alleen gegevens weergegeven die zijn gekoppeld aan de primaire werkruimte. Analyseregels voor meerdere werkruimten blijven onderhevig aan beperkingen en aanbevelingen voor analyseregels voor meerdere werkruimten. |
| SOC-optimalisatie | Gegevens en aanbevelingen worden geaggregeerd vanuit meerdere werkruimten. |
Synchronisatie in twee richtingen voor werkruimten
Hoe incidentwijzigingen worden gesynchroniseerd tussen de Azure Portal en de Defender-portal is afhankelijk van of het een primaire of secundaire werkruimte is.
| Workspace | Synchronisatiegedrag |
|---|---|
| Primaire | Voor Microsoft Sentinel in de Azure Portal worden Defender XDR incidenten weergegeven inBedreigingsbeheerincidenten> met de naam van de incidentprovider Microsoft XDR. Wijzigingen die u aanbrengt in de status, reden van sluiting of toewijzing van een Defender XDR incident in de Azure of Defender-portal, worden bijgewerkt in de wachtrij met incidenten van de andere. Zie Werken met Microsoft Defender XDR incidenten in Microsoft Sentinel en synchronisatie in twee richtingen voor meer informatie. |
| Secundaire | Alle waarschuwingen en incidenten die u voor een secundaire werkruimte maakt, worden gesynchroniseerd tussen die werkruimte in de Azure en Defender-portals. Gegevens in een werkruimte worden alleen gesynchroniseerd met de werkruimte in de andere portal. |
IRM-ondersteuning (Insider Risk Management)
Microsoft Purview Beheer van insider-risico's (IRM)-waarschuwingen worden alleen gecorreleerd aan de primaire werkruimte. Als u IRM-waarschuwingen met Microsoft Defender XDR hebt, moet u IRM verbinden met de Microsoft Defender XDR-connector in uw primaire werkruimte voordat u de werkruimte onboardt naar de Defender-portal. Dit is vereist om ervoor te zorgen dat IRM-waarschuwingen en -incidenten beschikbaar zijn in de primaire werkruimte. Als u geen IRM-waarschuwingen wilt zien in de primaire werkruimte, kunt u zich in plaats daarvan afmelden voor de integratie met Microsoft Defender XDR.
Als de directe Microsoft 365 Insider Risk Management-connector voor Microsoft Sentinel gegevensconnector is verbonden met een van de secundaire werkruimten, moet u de verbinding verbreken voordat u de werkruimte onboardt naar de Defender-portal.