Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,无论是否具有Microsoft Defender XDR或 E5 许可证。 在 Defender 门户中使用 Microsoft Sentinel 以及Microsoft Defender XDR服务,可以统一事件管理和高级搜寻等功能。 减少工具切换,并构建更注重上下文的调查,以加快事件响应并更快地阻止违规。
本文适用于Microsoft Sentinel 工作区尚未连接到 Defender 门户的客户。 在许多情况下,在 2025 年 7 月 1 日之后加入 Microsoft Sentinel 的客户会自动加入 Defender 门户。
有关更多信息,请参阅:
先决条件
在开始之前,请查看功能文档以了解产品更改和限制。
- Microsoft Defender 门户中的 Microsoft Sentinel
- Microsoft Defender 门户中的高级搜寻
- Microsoft Defender XDR中的警报、事件和关联
- 在 Defender 门户中Microsoft Sentinel 自动化
Microsoft Defender门户支持单个Microsoft Entra租户,以及与主工作区和多个辅助工作区的连接。 如果在 Microsoft Sentinel 上架时只有一个工作区,则会将该工作区指定为主工作区。 有关详细信息,请参阅 Defender 门户中的多个Microsoft Sentinel 工作区。 在本文中,工作区是启用了 Microsoft Sentinel 的 Log Analytics 工作区。
Microsoft Sentinel 先决条件
若要在 Defender 门户中载入和使用 Microsoft Sentinel,必须具有以下资源和访问权限:
已启用 Sentinel Microsoft的 Log Analytics 工作区
具有适当角色的 Azure 帐户,可在 Defender 门户中加入、使用和创建 Microsoft Sentinel 支持请求。 在没有所需权限的 Defender 门户中看不到要加入的工作区。 下表突出显示了所需的一些关键角色。
任务 需要Microsoft Entra或 Azure 内置角色 范围 将 Microsoft Sentinel 载入到 Defender 门户 Microsoft Entra ID 中的全局管理员或安全管理员
所有者 或
用户访问管理员 和 Microsoft Sentinel 参与者Tenant
- 所有者或用户访问管理员角色
的订阅 - Microsoft Sentinel 参与者的订阅、资源组或工作区资源连接辅助工作区或断开连接 Microsoft Entra ID 中的全局管理员或安全管理员
所有者 或
用户访问管理员 和 Microsoft Sentinel 参与者Tenant
- 所有者或用户访问管理员角色
的订阅 - Microsoft Sentinel 参与者的订阅、资源组或工作区资源更改主工作区 Microsoft Entra ID 中的全局管理员或安全管理员
所有者 或
用户访问管理员 和 Microsoft Sentinel 参与者Tenant
- 所有者或用户访问管理员角色
的订阅 - Microsoft Sentinel 参与者的订阅、资源组或工作区资源在 Defender 门户中查看Microsoft Sentinel Microsoft Sentinel 读取器 订阅、资源组或工作区资源 查询Microsoft Sentinel 数据表或查看事件 Microsoft Sentinel Reader 或具有以下作的角色:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/read订阅、资源组或工作区资源 对事件采取调查措施 Microsoft Sentinel 参与者 或具有以下作的角色:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/write订阅、资源组或工作区资源 创建支持请求 所有者、
参与者或
支持请求参与者或具有 Microsoft.Support/* 的自定义角色订阅 如果使用的是多个租户,请注意,在 Defender 门户中Microsoft Sentinel 数据不支持使用 Azure Lighthouse (GDAP) 精细委派的管理员权限。 请改用 Microsoft Entra B2B 身份验证。 有关详细信息,请参阅设置Microsoft Defender多租户管理。
将 Microsoft Sentinel 连接到 Defender 门户后,现有的 Azure 基于角色的访问控制 (RBAC) 权限允许你使用有权访问的 Microsoft Sentinel 功能。 继续从 Azure 门户管理 Microsoft Sentinel 用户的角色和权限,因为任何 Azure RBAC 更改都反映在 Defender 门户中。
有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限 和 按资源管理对Microsoft Sentinel 数据的访问权限。
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
统一安全作先决条件
若要在 Defender 门户中统一Microsoft Defender XDR和Microsoft Sentinel 安全作,必须具有以下资源和访问权限:
- Defender XDR许可,如Microsoft Defender XDR先决条件中所述
- Defender XDR帐户是与 Sentinel 关联的同一Microsoft Entra租户的成员Microsoft
- 在 Defender 门户中访问Microsoft Defender XDR,如Microsoft Defender XDR先决条件中所述
如果适用,请完成以下先决条件:
| 服务 | 先决条件 |
|---|---|
| Microsoft Purview 内部风险管理 | 如果组织使用 Microsoft Purview 内部风险管理,请在主工作区上启用数据连接器Microsoft 365 Insider Risk Management,以便Microsoft Sentinel 集成这些数据。 在计划载入到 Defender 门户的 Microsoft Sentinel 的任何辅助工作区上禁用该连接器。 - 从主工作区上的内容中心安装 Microsoft Purview 内部风险管理 解决方案。 - 配置数据连接器。 有关详细信息,请参阅 发现和管理Microsoft Sentinel 现装内容。 |
| Microsoft Defender for Cloud | 若要将跨租户的所有订阅关联的 Defender for Cloud 事件流式传输到 Microsoft Sentinel 的主工作区: - 在主工作区中连接基于租户的云Microsoft Defender (预览版) 数据连接器。 - 断开基于订阅的云Microsoft Defender (旧版) 警报连接器与租户中的所有工作区的连接。 如果不希望将 Defender for Cloud 的相关租户数据流式传输到主工作区,请继续在工作区上使用基于订阅的 Microsoft Defender云 (旧版) 连接器。 有关详细信息,请参阅引入具有Microsoft Defender XDR集成的云事件的Microsoft Defender。 |
载入 Microsoft Sentinel
此过程介绍如何将已启用 Microsoft Sentinel 的工作区载入到 Defender 门户。
- 转到Microsoft Defender门户并登录。
- 选择“ 系统>设置”>Microsoft“Sentinel>连接工作区”。
- 选择要连接的工作区,然后选择“ 下一步”。
- 选择“ 主工作区”。
- 阅读并了解与连接工作区相关的产品更改。
- 选择“连接”。
连接工作区后, 主页 上的横幅显示环境已准备就绪。 主页更新了包含来自 Microsoft Sentinel 的指标(例如数据连接器数量和自动化规则)的新部分。
在 Defender 门户中探索Microsoft Sentinel 功能
将工作区连接到 Defender 门户后, Microsoft Sentinel 位于左侧导航窗格中。 如果已启用Defender XDR,主页、事件和高级搜寻等页面将从主工作区获得Microsoft Sentinel 和Defender XDR的统一数据。 如果未启用Defender XDR,则这些页面仅包含来自 Microsoft Sentinel 的数据。 有关门户之间的统一功能和差异的详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
许多现有的 Microsoft Sentinel 功能已集成到 Defender 门户中。 对于这些功能,请注意,Azure 门户门户中Microsoft Sentinel 与 Defender 之间的体验类似。 使用以下文章帮助你开始在 Defender 门户中使用 Microsoft Sentinel。 使用这些文章时,请记住,此上下文中的起点是 Defender 门户,而不是Azure 门户。
在 Defender 门户中的“系统>设置Microsoft Sentinel”下查找Microsoft Sentinel 设置>。
更改主工作区
一次只能有一个主工作区连接到 Defender 门户。 但可以更改主工作区。
- 在 Defender 门户中,转到“ 系统>设置Microsoft>Sentinel>工作区”。
- 选择要设为主工作区的名称。
- 选择“ 设置为主数据库”。
- 阅读并了解与更改主工作区相关的产品更改。
- 选择“ 确认”并继续。
切换 Microsoft Sentinel 的主工作区时,Defender XDR连接器将连接到新的主工作区,并自动与以前的主工作区断开连接。 有关详细信息,请参阅 Defender 门户中的多个Microsoft Sentinel 工作区。
Offboard Microsoft Sentinel
如果决定从 Defender 门户卸载工作区,请断开工作区与 Microsoft Sentinel 的设置的连接。
如果工作区配置了Microsoft Defender XDR连接器,则从 Defender 门户卸载工作区也会断开Microsoft Defender XDR连接器的连接。
转到Microsoft Defender门户并登录。
在 Defender 门户中的 “系统”下,选择 “设置>Microsoft Sentinel”。
在 “工作区” 页上,选择“连接的工作区”和“ 断开连接工作区”。
提供断开工作区连接的原因。
确认你的选择。
工作区断开连接时,将从 Defender 门户的左侧导航栏中删除 Microsoft Sentinel 部分。 来自 Microsoft Sentinel 的数据不再包含在 主页 上。
如果要连接到其他工作区,请在“ 工作区” 页中选择工作区并 连接工作区。