Freigeben über

Verbinden Microsoft Sentinel mit dem Microsoft Defender-Portal

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel ist allgemein im Microsoft Defender-Portal verfügbar, mit oder ohne Microsoft Defender XDR oder E5-Lizenz. Indem Sie Microsoft Sentinel im Defender-Portal zusammen mit Microsoft Defender XDR-Diensten verwenden, vereinheitlichen Sie Funktionen wie incident management und advanced hunting. Reduzieren Sie den Toolwechsel, und erstellen Sie eine kontextorientiertere Untersuchung, die die Reaktion auf Vorfälle beschleunigt und Sicherheitsverletzungen schneller stoppt.

Dieser Artikel ist für Kunden relevant, deren Microsoft Sentinel Arbeitsbereiche noch nicht mit dem Defender-Portal verbunden sind. In vielen Fällen werden Kunden, die nach dem 1. Juli 2025 das Onboarding in Microsoft Sentinel durchführen, automatisch in das Defender-Portal integriert.

Weitere Informationen finden Sie unter:

Voraussetzungen

Bevor Sie beginnen, lesen Sie die Featuredokumentation, um die Produktänderungen und Einschränkungen zu verstehen.

Das Microsoft Defender-Portal unterstützt einen einzelnen Microsoft Entra Mandanten und die Verbindung mit einem primären Arbeitsbereich und mehreren sekundären Arbeitsbereichen. Wenn Sie beim Onboarding Microsoft Sentinel nur über einen Arbeitsbereich verfügen, wird dieser Arbeitsbereich als primärer Arbeitsbereich festgelegt. Weitere Informationen finden Sie unter Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal. Im Kontext dieses Artikels ist ein Arbeitsbereich ein Log Analytics-Arbeitsbereich mit aktiviertem Microsoft Sentinel.

Microsoft Sentinel Voraussetzungen

Um Microsoft Sentinel im Defender-Portal zu integrieren und zu verwenden, benötigen Sie die folgenden Ressourcen und Zugriff:

  • Ein Log Analytics-Arbeitsbereich, für den Microsoft Sentinel aktiviert ist

  • Ein Azure-Konto mit den geeigneten Rollen zum Onboarding, Verwenden und Erstellen von Supportanfragen für Microsoft Sentinel im Defender-Portal. Im Defender-Portal werden keine Arbeitsbereiche für das Onboarding angezeigt, in denen Sie nicht über die erforderlichen Berechtigungen verfügen. In der folgenden Tabelle sind einige der erforderlichen Schlüsselrollen aufgeführt.

    Aufgabe Microsoft Entra oder integrierte Azure-Rolle erforderlich Bereich
    Integrieren von Microsoft Sentinel in das Defender-Portal global administrierende Person oder Sicherheitsadministrator in Microsoft Entra ID Mandant
    Verbinden oder Trennen eines sekundären Arbeitsbereichs Besitzer oder
    Benutzerzugriffsadministrator und Microsoft Sentinel Mitwirkender    		 – Abonnement für die Rollen

    "Besitzer" oder "Benutzerzugriffsadministrator": Abonnement, Ressourcengruppe oder Arbeitsbereichsressource für Microsoft Sentinel Mitwirkender
    Ändern des primären Arbeitsbereichs global administrierende Person oder Sicherheitsadministrator in Microsoft Entra ID Mandant
    Anzeigen Microsoft Sentinel im Defender-Portal Microsoft Sentinel Reader Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Abfragen Microsoft Sentinel Datentabellen oder Anzeigen von Incidents Microsoft Sentinel Leser oder eine Rolle mit den folgenden Aktionen:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/read    		 Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Ergreifen von Ermittlungsmaßnahmen bei Vorfällen Microsoft Sentinel Mitwirkender oder eine Rolle mit den folgenden Aktionen:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 Abonnement, Ressourcengruppe oder Arbeitsbereichsressource
    Erstellen einer Supportanfrage Besitzer oder
    Mitwirkender oder
    Supportanfrage Mitwirkender oder eine benutzerdefinierte Rolle mit Microsoft.Support/*    		 Abonnement

    Wenn Sie mit mehreren Mandanten arbeiten, beachten Sie, dass granulare delegierte Administratorrechte (GDAP) mit Azure Lighthouse für Microsoft Sentinel Daten im Defender-Portal nicht unterstützt werden. Verwenden Sie stattdessen Microsoft Entra B2B-Authentifizierung. Weitere Informationen finden Sie unter Einrichten Microsoft Defender mehrinstanzenfähigen Verwaltung.

    Nachdem Sie Microsoft Sentinel mit dem Defender-Portal verbunden haben, können Sie mit Ihren vorhandenen Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure mit den Microsoft Sentinel Features arbeiten, auf die Sie Zugriff haben. Verwalten Sie weiterhin Rollen und Berechtigungen für Ihre Microsoft Sentinel Benutzer aus dem Azure-Portal, da alle Azure RBAC-Änderungen im Defender-Portal widergespiegelt werden.

    Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel und Verwalten des Zugriffs auf Microsoft Sentinel Daten nach Ressource.

    Wichtig

    Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Voraussetzungen für einheitliche Sicherheitsvorgänge

Um Microsoft Defender XDR und Microsoft Sentinel Sicherheitsvorgänge im Defender-Portal zu vereinheitlichen, benötigen Sie die folgenden Ressourcen und Zugriff:

Falls zutreffend, müssen Sie die folgenden Voraussetzungen erfüllen:

Dienst Voraussetzungen
Microsoft Purview Insider-Risikomanagement Wenn Ihr organization Microsoft Purview Insider Risk Management verwendet, integrieren Sie diese Daten, indem Sie den Datenconnector Microsoft 365 Insider Risk Management in Ihrem primären Arbeitsbereich für Microsoft Sentinel aktivieren. Deaktivieren Sie diesen Connector für alle sekundären Arbeitsbereiche für Microsoft Sentinel, die Sie in das Defender-Portal integrieren möchten.

– Installieren Sie die Microsoft Purview Insider Risk Management Lösung aus dem Inhaltshub im primären Arbeitsbereich.
– Konfigurieren sie den Datenconnector.

Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.
Microsoft Defender für Cloud So streamen Sie Defender für Cloud-Incidents, die über alle Abonnements des Mandanten hinweg korreliert sind, zum primären Arbeitsbereich für Microsoft Sentinel:

– Verbinden Sie den mandantenbasierten Microsoft Defender für Clouddatenconnector (Vorschau) im primären Arbeitsbereich.
– Trennen Sie den Connector für abonnementbasierte Microsoft Defender für Cloudwarnungen (Legacy) von allen Arbeitsbereichen im Mandanten.

Wenn Sie keine korrelierten Mandantendaten für Defender für Cloud in den primären Arbeitsbereich streamen möchten, verwenden Sie weiterhin den abonnementbasierten Microsoft Defender für Cloud (Legacy)-Connector für Ihre Arbeitsbereiche. Weitere Informationen finden Sie unter Erfassen von Microsoft Defender für Cloudvorfälle mit Microsoft Defender XDR Integration.

Onboarding von Microsoft Sentinel

In diesem Verfahren wird das Onboarding eines Microsoft Sentinel-fähigen Arbeitsbereichs im Defender-Portal beschrieben.

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.
  2. Wählen SieSystemeinstellungen>>aus Microsoft Sentinel>Verbinden eines Arbeitsbereichs.
  3. Wählen Sie die Arbeitsbereiche aus, die Sie verbinden möchten, und wählen Sie Weiter aus.
  4. Wählen Sie den primären Arbeitsbereich aus.
  5. Lesen und verstehen Sie die Produktänderungen, die mit dem Verbinden Ihres Arbeitsbereichs verbunden sind.
  6. Wählen Sie Verbinden aus.

Nachdem Ihr Arbeitsbereich verbunden wurde, zeigt das Banner auf der Startseite , dass Ihre Umgebung bereit ist. Die Startseite wird mit neuen Abschnitten aktualisiert, die Metriken aus Microsoft Sentinel enthalten, z. B. die Anzahl von Datenconnectors und Automatisierungsregeln.

Erkunden Microsoft Sentinel Features im Defender-Portal

Nachdem Sie Ihren Arbeitsbereich mit dem Defender-Portal verbunden haben, befindet sich Microsoft Sentinel im linken Navigationsbereich. Wenn Sie Defender XDR aktiviert haben, verfügen Seiten wie Start, Incidents und Erweiterte Suche über einheitliche Daten aus dem primären Arbeitsbereich für Microsoft Sentinel und Defender XDR. Wenn Sie Defender XDR nicht aktiviert haben, enthalten diese Seiten nur Daten aus Microsoft Sentinel. Weitere Informationen zu den einheitlichen Funktionen und Unterschieden zwischen Portalen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Viele der vorhandenen Microsoft Sentinel Features sind in das Defender-Portal integriert. Beachten Sie für diese Features, dass die Erfahrung zwischen Microsoft Sentinel im Azure-Portal und Defender-Portal ähnlich ist. Verwenden Sie die folgenden Artikel, um ihnen zu helfen, mit Microsoft Sentinel im Defender-Portal zu arbeiten. Denken Sie bei der Verwendung dieser Artikel daran, dass Ihr Ausgangspunkt in diesem Kontext das Defender-Portal anstelle der Azure-Portal ist.

Featurekategorie Links
Search - Suchen über lange Zeiträume in großen Datasets
- Wiederherstellen archivierter Protokolle aus der Suche
Bedrohungsverwaltung - Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen
- Durchführen der End-to-End-Bedrohungssuche mit Hunts
- Verwenden von Suchmarken für Datenuntersuchungen
- Verwenden des Hunting-Livestreams in Microsoft Sentinel zum Erkennen von Bedrohungen
- Suchen nach Sicherheitsbedrohungen mit Jupyter Notebooks
- Massenweises Hinzufügen von Indikatoren zu Microsoft Sentinel Threat Intelligence aus einer CSV- oder JSON-Datei
- Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel
- Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK-Framework
Inhaltsverwaltung - Entdecken und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten
- Microsoft Sentinel Content Hub-Katalog
- Bereitstellen von benutzerdefinierten Inhalten aus Ihrem Repository
Konfiguration - Suchen des Microsoft Sentinel-Datenconnectors
- Erstellen von benutzerdefinierten Analyseregeln zum Erkennen von Bedrohungen
- Arbeiten mit Regeln für die Erkennungsanalyse nahezu in Echtzeit (NRT) in Microsoft Sentinel
- Erstellen von Watchlists
- Verwalten von Watchlists in Microsoft Sentinel
- Erstellen von Automatisierungsregeln
- Erstellen und Anpassen Microsoft Sentinel Playbooks aus Inhaltsvorlagen

Suchen Sie Microsoft Sentinel Einstellungen im Defender-Portal unterSystemeinstellungen>>Microsoft Sentinel.

Ändern des primären Arbeitsbereichs

Es kann jeweils nur ein primärer Arbeitsbereich mit dem Defender-Portal verbunden sein. Sie können jedoch den primären Arbeitsbereich ändern.

  1. Navigieren Sie im Defender-Portal zu Systemeinstellungen>>Microsoft Sentinel>Arbeitsbereiche.
  2. Wählen Sie den Namen des Arbeitsbereichs aus, den Sie als primär festlegen möchten.
  3. Wählen Sie Als primär festlegen aus.
  4. Lesen und verstehen Sie die Produktänderungen, die mit der Änderung des primären Arbeitsbereichs verbunden sind.
  5. Wählen Sie Bestätigen aus, und fahren Sie fort.

Wenn Sie den primären Arbeitsbereich für Microsoft Sentinel wechseln, wird der Defender XDR-Connector automatisch mit dem neuen primären Arbeitsbereich verbunden und automatisch von der vorherigen Verbindung getrennt. Weitere Informationen finden Sie unter Mehrere Microsoft Sentinel Arbeitsbereiche im Defender-Portal.

Offboarden von Microsoft Sentinel

Wenn Sie einen Arbeitsbereich über das Defender-Portal offboarden möchten, trennen Sie den Arbeitsbereich von den Einstellungen für Microsoft Sentinel.

Wenn für Ihren Arbeitsbereich der Microsoft Defender XDR Connector konfiguriert ist, wird durch das Offboarding des Arbeitsbereichs über das Defender-Portal auch der Microsoft Defender XDR Connector getrennt.

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

  2. Wählen Sie im Defender-Portal unter Systemdie Option Einstellungen>Microsoft Sentinel aus.

  3. Wählen Sie auf der Seite Arbeitsbereiche den verbundenen Arbeitsbereich und dann Arbeitsbereich trennen aus.

  4. Geben Sie einen Grund an, warum Sie die Verbindung mit dem Arbeitsbereich trennen.

  5. Bestätigen Sie Ihre Auswahl.

    Wenn ihr Arbeitsbereich getrennt wird, wird der Abschnitt Microsoft Sentinel aus der linken Navigation des Defender-Portals entfernt. Daten aus Microsoft Sentinel sind nicht mehr auf der Startseite enthalten.

Wenn Sie eine Verbindung mit einem anderen Arbeitsbereich herstellen möchten, wählen Sie auf der Seite Arbeitsbereiche den Arbeitsbereich und dann Arbeitsbereich verbinden aus.

Verwandte Inhalte