Utforska funktionsskillnaderna mellan Microsoft Defender XDR- och Microsoft Sentinel-portaler

  • 15 minuter

De flesta Microsoft Sentinel-funktioner är tillgängliga i både Azure- och Defender-portalerna. I Defender-portalen öppnas vissa Microsoft Sentinel-funktioner för Azure Portal så att du kan slutföra en uppgift.

Det här avsnittet beskriver Funktionerna eller integreringarna i Microsoft Sentinel i Microsoft Defender som endast är tillgängliga i Antingen Azure-portalen eller Defender-portalen eller andra betydande skillnader mellan portalerna. Det utesluter Microsoft Sentinel-funktioner som öppnar Azure Portal från Defender-portalen.

Kapacitetsskillnader mellan portaler

Kapacitet Tillgänglighet beskrivning
Avancerad jakt med bokmärken endast Azure Portal Bokmärken stöds inte i den avancerade jaktupplevelsen i Microsoft Defender-portalen. I Defender-portalen stöds de i Microsoft Sentinel Threat > Management > Hunting.
Attackavbrott för SAP Endast Defender-portalen Den här funktionen är inte tillgänglig i Azure Portal.
Automatisering Vissa automatiseringsprocedurer är endast tillgängliga i Azure Portal. Och Andra automatiseringsprocedurer är desamma i Defender och Azure Portal. Skillnaderna i Azure-portalen är mellan arbetsytor som är registrerade i Microsoft Defender-portalen och arbetsytor som inte är det.
Dataanslutningar: synlighet för kontakter som används av Microsoft Defender endast Azure Portal När du har registrerat Microsoft Sentinel i Defender-portalen visas inte följande dataanslutningar som ingår i Microsoft Defender på sidan Dataanslutningar :
  • Microsoft Defender för Cloud-appar
  • Microsoft Defender för slutpunkter
  • Microsoft Defender för identitet
  • Microsoft Defender för Office 365 (förhandsversion)
  • Microsoft Defender XDR
  • Prenumerationsbaserad Microsoft Defender för molnet (äldre)
  • Klientbaserad Microsoft Defender för molnet (förhandsversion)

    I Azure Portal visas dessa dataanslutningar fortfarande med de installerade dataanslutningarna i Microsoft Sentinel.
    		•
    Entiteter: Lägga till entiteter i hotinformation från incidenter endast Azure Portal Den här funktionen är inte tillgänglig i Microsoft Defender-portalen.

    Fusion: Avancerad attackidentifiering för flera grupper endast Azure Portal Fusionsanalysregeln, som skapar incidenter baserat på aviseringskorrelationer som gjorts av fusionskorrelationsmotorn, inaktiveras när du registrerar Microsoft Sentinel till Microsoft Defender.

    Microsoft Defender använder Microsoft Defender XDR:s incidentskapande och korrelationsfunktioner för att ersätta fusionsmotorns funktioner.

    Incidenter: Lägga till aviseringar till incidenter/
    Ta bort aviseringar från incidenter    		 Endast Defender-portalen När du har registrerat Microsoft Sentinel på Microsoft Defender-portalen kan du inte längre lägga till aviseringar till eller ta bort aviseringar från incidenter i Azure-portalen.

    Du kan ta bort en avisering från en incident i Defender-portalen, men bara genom att länka aviseringen till en annan incident (befintlig eller ny).
    Incidenter: redigera kommentarer endast Azure Portal När du har registrerat Microsoft Sentinel på Microsoft Defender-portalen kan du lägga till kommentarer till incidenter i någon av portalerna, men du kan inte redigera befintliga kommentarer.

    Ändringar som görs i kommentarer i Azure-portalen synkroniseras inte med Microsoft Defender-portalen.
    Incidenter: Programmatiskt och manuellt skapande av incidenter endast Azure Portal Incidenter som skapats i Microsoft Sentinel via API:et, av en logikappsspelbok eller manuellt från Azure-portalen, synkroniseras inte till Microsoft Defender-portalen. Dessa incidenter stöds fortfarande i Azure Portal och API:et.
    Incidenter: Öppna stängda incidenter igen endast Azure Portal I Microsoft Defender-portalen kan du inte ange aviseringsgruppering i Microsoft Sentinel-analysregler för att öppna stängda incidenter igen om nya aviseringar läggs till.
    Stängda incidenter öppnas inte igen i det här fallet och nya aviseringar utlöser nya incidenter.
    Incidenter: Uppgifter endast Azure Portal Uppgifter är inte tillgängliga i Microsoft Defender-portalen.

    Hantering av flera arbetsytor för Microsoft Sentinel Defender-portalen: Begränsad till en primär Microsoft Sentinel-arbetsyta

    Azure Portal: Hantera flera Microsoft Sentinel-arbetsytor centralt för klientorganisationer    		 Endast en primär Microsoft Sentinel-arbetsyta kan anslutas i Microsoft Defender-portalen. Därför stöder Microsoft Defender multitenanthantering en primär Microsoft Sentinel-arbetsyta per klientorganisation.

    Mer information finns i Kapacitetsskillnader mellan portaler