Microsoft Sentinel no portal do Microsoft Defender
Este artigo descreve a experiência do Microsoft Sentinel no portal do Microsoft Defender. O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender com Microsoft Defender XDR. Para saber mais, veja:
- Postagem no blog: Disponibilidade geral da plataforma de operações de segurança unificada da Microsoft
- Postagem no blog: Perguntas frequentes sobre a plataforma de operações de segurança unificada
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Suporte a recursos do Microsoft Sentinel em nuvens comerciais ou outras nuvens do Azure
Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR.
Recursos novos e aprimorados
A tabela a seguir descreve os recursos novos ou aprimorados disponíveis no portal do Defender com a integração do Microsoft Sentinel. A Microsoft continua inovando nessa nova experiência com recursos que podem ser exclusivos para o portal do Defender.
| Recursos | Descrição |
|---|---|
| Procura avançada | Faça consultas a partir de um único portal em diferentes conjuntos de dados para tornar a busca mais eficiente e remover a necessidade de alternância de contexto. Use o Security Copilot para ajudar a gerar seu KQL. Exibir e consultar todos os dados, inclusive os dados dos serviços de segurança da Microsoft e do Microsoft Sentinel. Use todo o conteúdo existente do workspace do Microsoft Sentinel, incluindo consultas e funções. Para obter mais informações, consulte os seguintes artigos: - Busca avançada no portal do Microsoft Defender - Security Copilot na busca avançada de ameaças |
| Otimizações do SOC | Obtenha recomendações acionáveis e de alta fidelidade para ajudá-lo a identificar as áreas a serem trabalhadas: - Reduzir custos - Adicionar controles de segurança - Adicionar dados ausentes As otimizações do SOC estão disponíveis nos portais do Defender e do Azure, são adaptadas ao seu ambiente e se baseiam na sua cobertura atual e no cenário de ameaças. Para obter mais informações, consulte os seguintes artigos: - Otimizar suas operações de segurança - Referência de otimização SOC de recomendações |
| Microsoft Copilot no Microsoft Defender | Ao investigar incidentes no portal do Defender, - Resumir incidentes - Analise os scripts - Analisar arquivos - Criar relatórios de incidentes Ao usar a busca avançada de ameaças, crie consultas KQL prontas para execução usando o assistente de consulta. Para obter mais informações, confira Microsoft Security Copilot na busca avançada de ameaças. |
A tabela a seguir descreve os recursos adicionais disponíveis no portal do Defender com a integração do Microsoft Sentinel e do Microsoft Defender XDR como parte da plataforma de operações de segurança unificada da Microsoft.
| Recursos | Descrição |
|---|---|
| Interrupção de ataque | Implante a interrupção automática de ataques para SAP com o portal do Defender e a solução do Microsoft Sentinel para aplicativos SAP. Por exemplo, contenha ativos comprometidos bloqueando usuários suspeitos do SAP no caso de um ataque de manipulação de processos financeiros. Os recursos de interrupção de ataque para SAP estão disponíveis apenas no portal do Defender. Para usar a interrupção de ataque para SAP, atualize a versão do agente do conector de dados e verifique se a função relevante do Azure está atribuída à identidade do agente. Para obter mais informações, consulte Interrupção automática de ataque para SAP. |
| Entidades unificadas | As páginas de entidade para dispositivos, usuários, endereços IP e recursos do Azure no portal do Defender exibem informações das fontes de dados do Microsoft Sentinel e do Defender. Essas páginas de entidade fornecem um contexto expandido para suas investigações de incidentes e alertas no portal do Defender. Para obter mais informações, confira Investigar entidades em páginas de entidade no Microsoft Sentinel. |
| Incidentes unificados | Gerenciar e investigar incidentes de segurança em um único local e em uma única fila no portal do Defender. Use o Security Copilot para resumir, responder e relatar. Os incidentes incluem: - Dados de diversas fontes - Ferramentas de análise de IA do SIEM (gerenciamento de eventos e informações de segurança) - Ferramentas de contexto e mitigação oferecidas pela XDR (detecção e resposta estendida) Para obter mais informações, consulte os seguintes artigos: - Resposta a incidentes no portal do Microsoft Defender - Investigar incidentes do Microsoft Sentinel no Security Copilot |
| Microsoft Copilot no Microsoft Defender | Ao investigar incidentes com o Microsoft Sentinel integrado ao Defender XDR, - Trie e investigue incidentes com respostas guiadas - Resuma as informações do dispositivo - Resuma as informações de identidade Usando o Security Copilot na inteligência contra ameaças, resuma as ameaças relevantes que afetam seu ambiente para priorizar a resolução de ameaças com base em seus níveis de exposição ou para encontrar agentes de ameaça que possam estar voltados ao seu setor. Para obter mais informações, confira Como usar o Microsoft Security Copilot para obter inteligência contra ameaças. |
Diferenças de funcionalidade entre portais
A maioria dos recursos do Microsoft Sentinel está disponível nos portais do Azure e do Defender. No portal do Defender, algumas experiências do Microsoft Sentinel se abrem no portal do Azure para que você conclua uma tarefa.
Essa secção abrange as funcionalidades ou integrações do Microsoft Sentinel que só estão disponíveis no portal Azure ou no portal Defender ou outras diferenças significativas entre os portais. Ela exclui as experiências do Microsoft Sentinel que abrem o portal do Azure a partir do portal do Defender.
| Funcionalidade | Disponibilidade | Descrição |
|---|---|---|
| Busca avançada usando indicadores | Apenas portal do Azure | Não há suporte para indicadores na experiência de busca avançada no portal do Microsoft Defender. No portal do Defender, há suporte para eles em Microsoft Sentinel > Gerenciamento de ameaças > Busca. Para obter mais informações, confira Manter o controle dos dados durante a busca com o Microsoft Sentinel. |
| Interrupção de ataque para SAP | Portal do Defender somente com o Defender XDR | Esta funcionalidade não está disponível no portal do Azure. Para obter mais informações, confira Interrupção automática de ataque no portal do Microsoft Defender. |
| Automação | Alguns procedimentos de automação estão disponíveis apenas no portal do Azure. Outros procedimentos de automação são os mesmos nos portais do Defender e do Azure, mas diferem no portal do Azure entre os workspaces que estão integrados ao portal do Defender e os workspaces que não estão. |
Para obter mais informações, confira Automação com a plataforma de operações de segurança unificada. |
| Conectores de dados: visibilidade dos conectores usados pela plataforma de operações de segurança unificada | Apenas portal do Azure | No portal Defender, depois de integrar o Microsoft Sentinel, os seguintes conectores de dados que fazem parte da plataforma unificada de operações de segurança não são mostrados na página Conectores de dados: No portal do Azure, esses conectores de dados ainda estão listados com os conectores de dados instalados no Microsoft Sentinel. |
| Entidades: adicionar entidades à inteligência contra ameaças de incidentes | Apenas portal do Azure | Esta funcionalidade não está disponível no portal do Defender. Para obter mais informações, confira Adicionar entidade a indicadores de ameaça. |
| Fusão: detecção avançada de ataque multiestágio | Apenas portal do Azure | A regra de análise Fusion, que cria incidentes com base em correlações de alerta feitas pelo mecanismo de correlação Fusion, é desabilitada quando você integra o Microsoft Sentinel ao portal do Defender. O portal do Defender usa as funcionalidades de criação e correlação de incidentes do Microsoft Defender XDR para substituir as do mecanismo Fusion. Para obter mais informações, veja Detecção avançada de ataques em vários estágios no Microsoft Sentinel |
| Incidentes: adicionar alertas a incidentes / Removendo alertas de incidentes |
Somente portal do Defender | Depois de integrar o Microsoft Sentinel ao portal do Defender, você não poderá mais adicionar ou remover alertas de incidentes no portal do Azure. Você pode remover um alerta de um incidente no portal Defender, mas apenas vinculando o alerta a outro incidente (existente ou novo). |
| Incidentes: editar comentários | Apenas portal do Azure | Depois de integrar o Microsoft Sentinel ao portal do Defender, você poderá adicionar comentários a incidentes em qualquer portal, mas não poderá editar os comentários existentes. As edições feitas em comentários no portal do Azure não são sincronizadas com o portal do Defender. |
| Incidentes: criação programática e manual de incidentes | Apenas portal do Azure | Incidentes criados no Microsoft Sentinel por meio da API, por um guia estratégico do Aplicativo Lógico ou manualmente a partir do portal do Azure não são sincronizados com o portal do Defender. Esses incidentes ainda têm suporte no portal do Azure e na API. Veja Crie seus próprios incidentes manualmente no Microsoft Sentinel. |
| Incidentes: reabertura de incidentes encerrados | Apenas portal do Azure | No portal do Defender, não é possível definir o agrupamento de alertas nas regras de análise do Microsoft Sentinel para reabrir incidentes fechados se novos alertas forem adicionados. Nesse caso, os incidentes fechados não são reabertos e novos alertas desencadeiam novos incidentes. |
| Incidentes: tarefas | Apenas portal do Azure | As tarefas não estão disponíveis no portal do Defender. Para obter mais informações, confira Usar tarefas para gerenciar incidentes no Microsoft Sentinel. |
| Gestão de vários espaços de trabalho para o Microsoft Sentinel | Portal do Defender: limitado a um espaço de trabalho do Microsoft Sentinel por locatário Portal do Azure: gerenciar centralmente vários espaços de trabalho do Microsoft Sentinel para locatários |
Atualmente, há suporte para apenas um espaço de trabalho do Microsoft Sentinel por locatário no portal do Defender. Portanto, o gerenciamento multilocatário do Microsoft Defender dá suporte a um espaço de trabalho do Microsoft Sentinel por locatário. Para obter mais informações, consulte os seguintes artigos: – Portal do Defender: gerenciamento multilocatário do Microsoft Defender – Portal do Azure: gerenciar vários workspaces do Microsoft Sentinel com o gerenciador de espaços de trabalho |
Funcionalidades limitadas ou indisponíveis
Ao integrar o Microsoft Sentinel ao portal do Defender sem o Defender XDR ou outros serviços habilitados, os recursos a seguir mostrados no portal do Defender ficam limitados ou indisponíveis.
| Funcionalidade | Serviço necessário |
|---|---|
| Gerenciamento de exposição | Gerenciamento de Exposição de Segurança da Microsoft |
| Regras de detecção personalizadas | Microsoft Defender XDR |
| Central de ações | Microsoft Defender XDR |
As seguintes limitações também se aplicam ao Microsoft Sentinel no portal do Defender sem o Defender XDR ou outros serviços habilitados:
- Novos clientes do Microsoft Sentinel não estão qualificados para integrar um workspace do Log Analytics criado na região de Israel. Para integrar ao portal do Defender, crie outro workspace para o Microsoft Sentinel em uma região diferente. Este espaço de trabalho adicional não precisa conter nenhum dado.
- Os clientes que usam a UEBA (análise de comportamento de entidade e usuário) do Microsoft Sentinel recebem uma versão limitada da tabela IdentityInfo.
Referência rápida
Alguns recursos do Microsoft Sentinel, como a fila unificada de incidentes, são integrados ao Microsoft Defender XDR na plataforma de operações de segurança unificada da Microsoft. Muitos outros recursos do Microsoft Sentinel estão disponíveis na seção Microsoft Sentinel do portal do Defender.
A imagem a seguir mostra o menu do Microsoft Sentinel no portal do Defender:
As seções a seguir descrevem onde encontrar recursos do Microsoft Sentinel no portal do Defender. As seções são organizadas conforme o Microsoft Sentinel está no portal do Azure.
Geral
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Geral no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Visão geral | Visão geral |
| Logs | Investigação e resposta > Busca > Busca avançada |
| Notícias & guias | Não disponível |
| Pesquisar | Microsoft Sentinel > Search |
Gerenciamento de ameaças
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Gerenciamento de ameaças no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Incidentes | Investigação e resposta > Incidentes e alertas > Incidentes |
| Pastas de trabalho | Microsoft Sentinel > Gerenciamento de ameaças> Workbooks |
| Caça | Microsoft Sentinel > Gerenciamento de ameaças > Busca |
| Notebooks | Microsoft Sentinel > Gerenciamento de ameaças > Notebooks |
| Comportamento de entidades | Página da entidade do usuário: Ativos > Identidades >{user}> Eventos do Sentinel Página da entidade do dispositivo: Ativos > Dispositivos >{device}> Eventos do Sentinel Além disso, localize as páginas de entidade para os tipos de entidade de usuário, dispositivo, IP e recurso do Azure a partir dos incidentes e alertas, conforme aparecem. |
| Inteligência contra ameaças | Microsoft Sentinel > Gerenciamento de ameaças > Inteligência contra ameaças |
| MITRE ATT&CK | Microsoft Sentinel > Gerenciamento de ameaças > MITRE ATT&CK |
Gerenciamento de conteúdo
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Gerenciamento de conteúdo no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Hub de conteúdo | Microsoft Sentinel > Gerenciamento de conteúdo > Hub de conteúdo |
| Repositórios | Microsoft Sentinel > Gerenciamento de conteúdo > Repositórios |
| Comunidade | Microsoft Sentinel > Gerenciamento de conteúdo > Comunidade |
Configuração
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Configuração no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Gerenciador do workspace | Não disponível |
| Conectores de dados | Microsoft Sentinel > Configuração > Conectores de dados |
| Análise | Microsoft Sentinel > Configuração > Análise |
| Watchlists | Microsoft Sentinel > Configuração > Watchlists |
| Automação | Microsoft Sentinel > Configuração > Automação |
| Configurações | Sistema > Configurações > Microsoft Sentinel |