MS Sentinel與 Defender XDR的整合

本文說明將 Microsoft Sentinel 整合到 Microsoft Defender 網站、建立統一安全操作平台。這種整合透過減少管理多個工具的需要來簡化操作，並透過允許從單一入口網站跨不同資料集進行查詢來增強搜尋功能。

整合的效益

透過 Microsoft Sentinel 和 Defender XDR 的整合，Defender 網站中提供了以下效益以及新增或改進的功能。

效益一: Sentinel與Defender XDR整合

使用下列方法之一將 Microsoft Sentinel 與 Microsoft Defender XDR 服務整合：

• 將 Microsoft Defender XDR 服務資料導入 Microsoft Sentinel 並在 Azure 網站中查看 Microsoft Sentinel 資料。透過在 Microsoft Sentinel 中啟用 Defender XDR 連接器。
• 將 Microsoft Sentinel 和 Defender XDR 整合到 Microsoft Defender 網站中的單一統一安全操作平台。在這種情況下，直接在 Microsoft Defender 網站中查看 Microsoft Sentinel 資料以及其餘的 Defender 事故、告警、漏洞和其他安全資料。透過在 Microsoft Sentinel 中安裝 Defender XDR 連接器，然後將 Microsoft Sentinel 新增至 Defender 網站中的統一操作平台來啟用。

選擇適當的選項，查看 Microsoft Sentinel 與 Defender XDR 的整合是什麼樣子，而具體取決於我們使用的整合方法。

下圖是 Microsoft 的 XDR 解決方案如何與 Microsoft Sentinel 整合。

在上圖中:

• 來自整個組織的資料見解會回饋到 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
• Microsoft Defender XDR 和 Microsoft Defender for Cloud 透過 Microsoft Sentinel 連接器傳送 SIEM 日誌資料。
• 然後，SecOps 團隊可以分析和回應 Microsoft Sentinel 和 Microsoft Defender XDR 中識別的威脅。
• Microsoft Sentinel 提供對多雲環境的支持，並與第三方應用程式和合作夥伴整合。

下圖展示了 Microsoft 的 XDR 解決方案如何透過統一的安全維運平台與 Microsoft Sentinel 無縫整合。

上圖中:

• 來自整個組織的資料見解會回饋到 Microsoft Defender XDR 和 Microsoft Defender for Cloud。
• Microsoft Sentinel 提供對多雲環境的支持，並與第三方應用程式和合作夥伴整合。
• Microsoft Sentinel 資料與組織的資料一起導入 Microsoft Defender 入口網站。
• 然後，SecOps 團隊可以在 Microsoft Defender 網站中分析和回應 Microsoft Sentinel 和 Microsoft Defender XDR 識別的威脅。

效益二:簡化維運

透過整合安全解決方案，可以簡化操作並降低管理和在多個工具之間切換的複雜性。這種整合不僅可以節省時間，還可以降低在不同系統之間切換時可能發生的錯誤風險。

效益三:進階威脅

從單一網站跨不同資料集進行查詢，使搜尋更加有效率並消除脈絡切換的需要。使用 Copilot for Security 的幫助產生 KQL搜尋查詢。檢視和查詢所有資料，包括來自 Microsoft 安全服務和 Microsoft Sentinel 的資料。使用所有現有的 Microsoft Sentinel 工作區內容，包括查詢和函數。

效益三:中斷攻擊

使用統一安全操作平台和適用於 SAP 應用程式的 Microsoft Sentinel 解決方案為 SAP 部署自動攻擊中斷。例如，透過在財務流程操縱攻擊中鎖定可疑 SAP 使用者來遏制受損資產。

效益四:Unified entities

Defender 網站中的裝置、使用者、IP 位址和 Azure 資源的實體(entity)頁面顯示來自 Microsoft Sentinel 和 Defender 資料來源的資訊。這些實體頁面為我們在 Defender 網站中調查事故和告警提供脈絡擴展。

統一的事故管理

在單一位置和 Defender 網站中的單一佇列中管理和調查安全事故。使用 Copilot for Security 進行總結、回應和報告。事故包括：

• 來自廣泛來源的資料
• SIEM的人工智慧分析工具
• XDR提供的脈絡和緩解工具

Defender XDR與Sentine的不同功能

大多數 Microsoft Sentinel 功能可在 Azure 和 Defender網站中使用。在 Defender 網站中，一些 Microsoft Sentinel 體驗向 Azure 網站開放，讓我們完成任務。

這裡介紹統一安全操作平台中的 Microsoft Sentinel 功能或整合，這些功能或整合僅在 Azure 網站或 Defender 網站中可用，或網站之間的其他顯著差異。它不包括從 Defender 網站開啟 Azure 網站的 Microsoft Sentinel 體驗。

Azure網站獨有的:

• Advanced hunting using bookmarks
  Microsoft Defender 網站中的advanced hunting不支援bookmarks。在 Defender 網站中，它們在 Microsoft Sentinel > Threat management > Hunting。
• Data connectors: visibility of connectors used by the unified security operations platform
  在 Defender 網站中，再連到 Microsoft Sentinel 後，作為統一安全操作平台一部分的下列資料連接器不會顯示在資料連接器頁面中：
  — Microsoft Defender for Cloud Apps
  — Microsoft Defender for Endpoint
  — Microsoft Defender for Identity
  — Microsoft Defender for Office 365
  — Microsoft Defender XDR
  — Subscription-based Microsoft Defender for Cloud (Legacy)
  — Tenant-based Microsoft Defender for Cloud
  在 Azure 網站中，這些資料連接器仍與 Microsoft Sentinel 中已安裝的資料連接器一起列出。
• Entities: Add entities to threat intelligence from incidents
  統一安全維運平台不提供此功能。
• Fusion: Advanced multistage attack detection
  當將 Microsoft Sentinel 加入統一安全操作平台時，Fusion 分析規則將會停用，該規則會根據 Fusion 關聯引擎產生的告警關聯來建立事故。
  統一安全操作平台使用 Microsoft Defender XDR 的事故建立和關聯功能來取代 Fusion 引擎的功能。
• Incidents: editing comments
  將 Microsoft Sentinel 新增至統一安全操作平台後，可以在任一入口網站中新增評論，但無法編輯現有評論。對 Azure 網站中的註解進行的編輯不會同步到統一安全操作平台。
• Incidents: Programmatic and manual creation of incidents
  透過 API、Logic App playbook或從 Azure 網站手動建立的事故不會同步到統一安全性操作平台。 Azure 網站和 API 仍然支援這些事故。
• Incidents: Reopening closed incidents
  在統一安全操作平台中，如果新增告警，我們無法在 Microsoft Sentinel 分析規則中設定告警分組以重新開啟已關閉的事件。在這種情況下，已關閉的事故不會重新打開，並且新警報會觸發新事件。
• Incidents: Tasks
  統一安全營運平台中無法執行任務。

Defender網站獨有的:

• Attack disruption for SAP
  此功能在 Azure 網站無法使用。
• Incidents: Adding alerts to incidents /
  Removing alerts from incidents
  將 Microsoft Sentinel 加入統一安全操作平台後，無法再向 Azure 網站中的事故新增告警或從中刪除。可以從 Defender 網站中的事故中刪除告警，但只能透過將告警連結到另一個事故（現有的或新的）來實現。

不同點:

• 自動化
  某些自動化程序僅在 Azure 網站中可用。 Defender 和 Azure 網站中的其他自動化流程相同。Azure 網站的差異在於已加入統一安全操作平台的工作區和未加入統一安全操作平台的工作區。
• Microsoft Sentinel 的多工作區管理
  Defender 網站：每個tenant僅限一個 Microsoft Sentinel 工作區
  Azure 網站：為tenant集中管理多個 Microsoft Sentinel 工作區
  目前，統一安全營運平台僅支援每個tenant使用一個 Microsoft Sentinel 工作區。因此，Microsoft Defender multitenant管理支援每個tenant一個 Microsoft Sentinel 工作區。

從Sentinel連結到Defender XDR

在將 Microsoft Sentinel 新增至 Microsoft Defender XDR之前，請確保我們已完成以下步驟並擁有所需的資源和存取權限。

Microsoft Defender 網站支援

• Single Microsoft Entra tenant
• 一次與一個工作區的連線。

在本文中，工作區是指啟用 Microsoft Sentinel 的 Log Analytics workspace。若要在 Microsoft Defender 網站中加入並使用 Microsoft Sentinel，須要擁有下列資源和存取權限：

• 啟用了 Microsoft Sentinel 的 Log Analytics workspace
• Microsoft Sentinel 中為事故和告警啟用了 Microsoft Defender XDR的資料連接器。有關詳細信息，參閱 Connect data from Microsoft Defender XDR to Microsoft Sentinel。
• 在 Defender 網站中存取 Microsoft Defender XDR
• Microsoft Defender XDR 已加入 Microsoft Entra tenant
• 具有適當角色的 Azure 帳號，可在 Defender 網站中加入、使用 Microsoft Sentinel 並建立支援請求。下表重點介紹了所需的一些關鍵角色。

將 Microsoft Sentinel 連接到 Defender 網站後，現有的 Azure 基於RBAC權限可讓我們使用有權存取的 Microsoft Sentinel 功能。繼續從 Azure 網站管理 Microsoft Sentinel 使用者的角色和權限。任何 Azure RBAC 變更都會反映在 Defender 網站中。更多資訊請查看Roles and permissions in Microsoft Sentinel | Microsoft Learn與Manage access to Microsoft Sentinel data by resource | Microsoft Learn.

登入MS Sentinel

若要將啟用了 Microsoft Sentinel 的workspace連線至 Defender XDR，請完成下列步驟：

PS:
在連接工作區之前，請確保已從Content hub安裝適用於 Microsoft Sentinel 的 Microsoft Defender XDR 解決方案。然後，啟用 Microsoft Defender XDR 資料連接器來收集事故和警報。

1. Go to the Microsoft Defender portal and sign in.
2. In Microsoft Defender XDR, select Home (Overview).
3. Select Connect a workspace in the Get your SIEM and XDR in one place banner.
4. Choose the workspace you want to connect and select Next.
5. Read and understand the product changes associated with connecting your workspace. These changes include:
   — Microsoft Sentinel workspace中的Log tables、查詢和功能也可用於 Defender XDR 中的進階搜尋。
   — Microsoft Sentinel Contributor role指派給訂閱內的 Microsoft 威脅防護和 WindowsDefenderATP apps。
   — 運作中的 Microsoft security incident creation rules已停用，以避免重複事故。此變更僅適用於 Microsoft 告警的事故建立規則，不適用於其他分析規則。
   — 與 Defender XDR 產品相關的所有告警均直接從主要 Defender XDR 資料連接器傳輸，以確保一致性。確保在工作區中開啟了來自此連接器的事故和警報。

6. Select Connect.

連接工作區後，Home（Overview）頁面上的橫幅顯示SIEM以及XDR已準備就緒。主頁更新了新部分，其中包括 Microsoft Sentinel 的指標，例如資料連接器和自動化規則的數量。

斷離Microsoft Sentinel

我們一次只能將一個工作區連線到 Defender 網站。如果要連線到 Microsoft Sentinel 的其他工作區，需要中斷目前工作區的連線並連線其他工作區。

1. Go to the Microsoft Defender portal and sign in.
2. In the Defender portal, under System, select Settings > Microsoft Sentinel.
3. On the Workspaces page, select the connected workspace and Disconnect workspace.
4. Provide a reason why you’re disconnecting the workspace.
5. Confirm your selection.

當工作區斷開連線時，Microsoft Sentinel 部分將從 Defender 網站的左側導覽中刪除。 「Overview」頁面上不再包含來自 Microsoft Sentinel 的資料。

如果要連線到其他工作區，請從「工作區」頁面中選擇工作區並連接工作區。

Defender XDR的Sentinel功能

將工作區連接到 Defender 網站後，Microsoft Sentinel 位於左側導覽窗格中。Overview、Incidents與Advanced Hunting等頁面具有來自 Microsoft Sentinel 和 Defender XDR 的統一資料。有關網站之間的統一功能和差異的更多資訊，請參閱Microsoft Sentinel in the Microsoft Defender portal。

許多現有的 Microsoft Sentinel 功能都整合到 Defender 網站中。對於這些功能，需要注意，Azure 網站中的 Microsoft Sentinel 和 Defender 網站之間的體驗類似。下列文章可協助我們開始在 Defender 網站中使用 Microsoft Sentinel。看這些文章時，請記住，在此脈絡中的起始點是 Defender 網站而不是 Azure 網站。

• Search
  — Search across long time spans in large datasets
  — Restore archived logs from search
• Threat management
  — Visualize and monitor your data by using workbooks
  — Conduct end-to-end threat hunting with Hunts
  — Use hunting bookmarks for data investigations
  — Use hunting Livestream in Microsoft Sentinel to detect threat
  — Hunt for security threats with Jupyter notebooks
  — Add indicators in bulk to Microsoft Sentinel threat intelligence from a CSV or JSON file
  — Work with threat indicators in Microsoft Sentinel
  — Understand security coverage by the MITRE ATT&CK framework
• Content management
  — Discover and manage Microsoft Sentinel out-of-the-box content
  — Microsoft Sentinel content hub catalog
  — Deploy custom content from your repository
• Configuration
  — Find your Microsoft Sentinel data connector
  — Create custom analytics rules to detect threats
  — Work with near-real-time (NRT) detection analytics rules in Microsoft Sentinel
  — Create watchlists
  — Manage watchlists in Microsoft Sentinel
  — Create automation rule
  — Create and customize Microsoft Sentinel playbooks from content templates

在 Defender口網站中的System > Settings > Microsoft Sentinel下尋找 Microsoft Sentinel 設定。

一些 Microsoft Sentinel 功能（例如unified incident queue）與統一安全操作平台中的 Microsoft Defender XDR 整合。 Defender 網站的 Microsoft Sentinel 部分提供了許多其他 Microsoft Sentinel 功能。
下圖顯示了 Defender網站中的 Microsoft Sentinel 選單