Övning – Ansluta Microsoft Sentinel till Microsoft Defender XDR

  • 15 minuter

Du är säkerhetsanalytiker och arbetar på ett företag som distribuerade både Microsoft Defender XDR och Microsoft Sentinel. Du måste förbereda för Microsoft Sentinel i Microsoft Defender-portalen genom att ansluta Microsoft Sentinel till Defender XDR.

I den här övningen utför du följande uppgifter:

  • Installera Microsoft Defender XDR Content Hub-lösningen.
  • Distribuera Microsoft Sentinel-anslutningsappen för att ansluta Microsoft Sentinel till Microsoft Defender XDR.
  • Anslut Microsoft Sentinel till Microsoft Defender XDR.
  • Utforska Microsoft Sentinel-funktionerna i Microsoft Defender XDR-portalen.

Anmärkning

Miljön för den här övningen är en simulering som genereras från produkten. Som en begränsad simulering kanske länkar på en sida inte är aktiverade och textbaserade indata som ligger utanför det angivna skriptet kanske inte stöds. Ett popup-meddelande visas med texten "Den här funktionen är inte tillgänglig i simuleringen.". När detta inträffar väljer du OK och fortsätter övningsstegen.

Skärmbild av popup-skärmen som anger att den här funktionen inte är tillgänglig i simuleringen.

Uppgift 1: Ansluta Defender XDR

I den här uppgiften distribuerar du Microsoft Defender XDR-anslutningsappen.

  1. Öppna den simulerade miljön i Microsoft Edge-webbläsaren genom att välja den här länken: Azure-portalen.

  2. startsidan för Azure-portalen väljer du Microsoft Sentinel-ikonen .

  3. På sidan Microsoft Sentinel väljer du arbetsytan Woodgrove-LogAnalyiticWorkspace.

  4. I navigeringsmenyn i Microsoft Sentinel rullar du ned till och expanderar avsnittet Innehållshantering . Välj sedan Innehållshubb.

  5. I innehållshubben söker du efter Microsoft Defender XDR-lösningen och väljer den i listan.

  6. På sidan Microsoft Defender XDR-lösningsinformation väljer du Installera.

  7. När installationen är klar söker du efter Microsoft Defender XDR-lösningen och väljer den.

  8. På sidan Microsoft Defender XDR-lösningsinformation väljer du Hantera

  9. Markera kryssrutan Microsoft Defender XDR datakontakt och välj Öppna anslutningssidan.

  10. I avsnittet Konfiguration går du till fliken Instruktioner och väljer knappen Anslut incidenter och aviseringar .

  11. Du bör se ett meddelande om att anslutningen lyckades.

Uppgift 2: Ansluta Microsoft Sentinel och Microsoft Defender XDR

I den här uppgiften fortsätter du med simuleringen och ansluter en Microsoft Sentinel-arbetsyta till Microsoft Defender XDR.

  1. Gå tillbaka till Microsoft Sentinel Content Hub (med menylänken "breadcrumb" överst på sidan) och välj Översikt (förhandsversion) i navigeringsmenyn Allmänt.

  2. Välj knappen Läs mer på meddelandet Hämta SIEM och XDR på ett ställe .

    Skärmdump av SIEM- och XDR Läs mer-knappmeddelande.

  3. Om du väljer knappen Läs mer öppnas en ny flik i webbläsaren för Microsoft Defender XDR-portalen .

  4. startskärmen i Defender Defender-portalen bör du se en banderoll längst upp med meddelandet Hämta SIEM och XDR på ett och samma ställe. Välj knappen Anslut en arbetsyta .

    Skärmdump av knappen Anslut en arbetsyta i Defender XDR Connect.

  5. På sidan Välj en arbetsyta väljer du Microsoft Sentinel arbetsytan woodgrove-loganalyiticsworkspace.

  6. Välj knappen Nästa.

  7. På sidan Ange en primär arbetsyta bör du se Microsoft Sentinel-arbetsytan woodgrove-loganalyiticsworkspace i den nedrullningsbara menyn. Välj knappen Nästa.

  8. På sidan Granska och slutför kontrollerar du att valet av arbetsyta är korrekt och granskar punktobjekten under avsnittet Vad du kan förvänta dig när arbetsytan är ansluten . Välj knappen Anslut.

  9. Du bör se meddelandet Du håller på att ansluta till en arbetsyta . Välj knappen Anslut.

  10. Du bör nu vara på sidan Arbetsyta framgångsrikt ansluten.

  11. Välj knappen Stäng.

    Skärmdump av sidan för en framgångsrikt ansluten Defender XDR-arbetsyta.

  12. startskärmen i Defender XDR-portalen bör du se en banderoll längst upp med meddelandet, Din enhetliga SIEM och XDR är klar. Välj knappen Starta jakt .

  13. I Avancerad jakt bör du se ett meddelande om att "Utforska ditt innehåll från Microsoft Sentinel". I navigeringsmenyn Avancerad jakt hittar du Microsoft Sentinel-tabeller , funktioner och frågor under motsvarande flikar.

  14. Rulla nedåt under fliken Schema till rubriken Microsoft Sentinel och dubbelklicka sedan på tabellen ThreatIntelligenceIndicator .

  15. I fönstret Fråga bör du se en (KQL) fråga som returnerar indikatorer för hotinformation. Välj knappen Kör fråga .

    Skärmdump av Defender XDR Sentinel Avancerade jakttabeller.

  16. Expandera det vänstra huvudmenyfönstret om det har minimerats och expandera Microsoft Sentinels menyalternativ. Du bör se alternativen Sök, Hothantering, Innehållshantering och Konfiguration .

    Anmärkning

    Det finns kapacitetsskillnader mellan Azure Microsoft Sentinel-portalen och Sentinel i microsoft Defender XDR-portalportalens kapacitetsskillnader.

  17. Från Microsoft Defender XDR Microsoft Sentinel-menyalternativen väljer du sedan Konfiguration och sedan Dataanslutningsprogram.

  18. På sidan Dataanslutningsprogram bör du se Azure Activity och andra dataanslutningar som visas med statusen Ansluten.

Anmärkning

Utforska och jämför gärna de andra Funktionerna i Microsoft Sentinel, men eftersom det här är en simulering är din möjlighet att utforska Microsoft Sentinel i Microsoft Defender-portalen begränsad. I en verklig miljö skulle du kunna utforska de fullständiga Microsoft Sentinel-funktionerna i Microsoft Defender-portalen.