Переход на Microsoft Defender XDR вносит существенные изменения в управление, которые крайне важны для эффективной работы единого центра операций по безопасности. Изначально существующие назначения Azure RBAC остаются функциональными, а данные Sentinel хранятся в текущем месте, обеспечивая непрерывность с первого дня. Однако платформа предоставляет мощные новые возможности, включая разрешения, ограниченные областью данных, не привязанные к одному рабочему пространству. Она также вводит многоуровневую модель данных, позволяющую долгосрочно хранить данные с меньшими затратами, и многопользовательское управление, охватывающее до 100 клиентских клиентов с единым входом.Переход включает в себя эволюцию ролей и персон, переход от классического Azure RBAC к унифицированному RBAC (URBAC). Хотя URBAC становится основным источником разрешений после его включения, Azure RBAC продолжает функционировать для конкретных случаев использования, таких как роли автоматизации и сервисные принципалы, которые еще не полностью поддерживаются URBAC. URBAC предлагает более гранулированный подход с разрешениями, ограниченными областью данных и межрабочими пространствами, а также поддерживает RBAC на уровне строк для повышения безопасности. Аналитики безопасности, инженеры и менеджеры увидят изменения в управлении своими разрешениями в рамках этой новой модели.Ключевым элементом управления является озеро данных Sentinel, которое отражает данные аналитического уровня, предоставляя единый источник истины для исторического поиска угроз, соответствия требованиям и расследований. Это разделение "горячих" данных обнаружения от "теплых/холодных" данных расследований оптимизирует затраты и упрощает запросы. Озеро данных поддерживает запросы KQL по всем подключенным рабочим пространствам Sentinel и может запрашивать внешние источники данных без их перемещения.Для поставщиков управляемых услуг безопасности (MSSP) и крупных предприятий многопользовательское управление в Defender XDR упрощает операции, предлагая единое межклиентское представление. Хотя оно не заменяет Azure Lighthouse, оно оптимизирует повседневные задачи с помощью централизованной системы управления до 100 клиентов. Это единое представление улучшает расследование инцидентов, продвинутый поиск и распространение контента в нескольких средах. Переход подчеркивает движение к более интегрированной и функциональной системе управления для современных операций безопасности.