Ligar Microsoft Sentinel ao portal do Microsoft Defender

• Aplica-se a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificadas (SecOps) da Microsoft no portal Microsoft Defender. Ao integrar Microsoft Sentinel no portal do Defender com Microsoft Defender XDR, unifica capacidades como a gestão de incidentes e a investigação avançada. Reduza a mudança de ferramentas e crie uma investigação mais focada no contexto que agilize a resposta a incidentes e pare as falhas mais rapidamente. Para saber mais, confira:

• Mensagem de blogue: Disponibilidade geral da plataforma de operações de segurança unificada da Microsoft
• Mensagem de blogue: Perguntas mais frequentes sobre a plataforma de operações de segurança unificada
• Microsoft Sentinel no portal do Microsoft Defender
• Microsoft Defender XDR integração com Microsoft Sentinel

Para pré-visualização, Microsoft Sentinel está disponível no portal do Defender sem Microsoft Defender XDR ou uma licença E5.

Pré-requisitos

Antes de começar, reveja a documentação da funcionalidade para compreender as alterações e limitações do produto.

• Microsoft Sentinel no portal do Microsoft Defender
• Busca avançada no portal do Microsoft Defender
• Alertas, incidentes e correlação no Microsoft Defender XDR
• Automatização com a plataforma de operações de segurança unificada

O portal Microsoft Defender suporta um único inquilino Microsoft Entra e a ligação a uma área de trabalho de cada vez. No contexto deste artigo, uma área de trabalho é uma área de trabalho do Log Analytics com Microsoft Sentinel ativada.

pré-requisitos do Microsoft Sentinel

Para integrar e utilizar Microsoft Sentinel no portal do Defender, tem de ter os seguintes recursos e acesso:

• Uma área de trabalho do Log Analytics que tem Microsoft Sentinel ativada

• O conector de dados para Microsoft Defender XDR ativado no Microsoft Sentinel para incidentes e alertas. Instale a solução Defender XDR e configure o conector de dados para ligar Microsoft Sentinel ao portal do Defender. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial. No conector de dados Defender XDR, a opção de configuração para ligar alertas e incidentes é desativada depois de integrar Microsoft Sentinel no portal do Defender.

• Uma conta do Azure com as funções adequadas para integrar, utilizar e criar pedidos de suporte para Microsoft Sentinel no portal do Defender. A tabela seguinte realça algumas das principais funções necessárias.

  Tarefa	Microsoft Entra ou função incorporada do Azure necessária	Escopo
  Integrar Microsoft Sentinel no portal do Defender	Administrador global ou administrador de segurança no Microsoft Entra ID	Tenant
  Ligar ou desligar uma área de trabalho com Microsoft Sentinel ativado	Proprietário ou Administrador de Acesso de Utilizador e Contribuidorde Microsoft Sentinel	- Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel
  Ver Microsoft Sentinel no portal do Defender	Microsoft Sentinel Reader	Subscrição, grupo de recursos ou recurso de área de trabalho
  Consultar Sentinel tabelas de dados ou ver incidentes	Microsoft Sentinel Leitor ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Subscrição, grupo de recursos ou recurso de área de trabalho
  Tomar medidas de investigação sobre incidentes	Microsoft Sentinel Contribuidor ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Subscrição, grupo de recursos ou recurso de área de trabalho
  Criar uma solicitação de suporte	Proprietário, Contribuidor ou Pedido de suporte contribuidor ou uma função personalizada com Microsoft.Support/*	Assinatura

  Depois de ligar Microsoft Sentinel ao portal do Defender, as permissões de controlo de acesso baseado em funções (RBAC) do Azure existentes permitem-lhe trabalhar com as funcionalidades Microsoft Sentinel às quais tem acesso. Continue a gerir funções e permissões para os utilizadores Microsoft Sentinel a partir do portal do Azure. Todas as alterações do RBAC do Azure são refletidas no portal do Defender. Para obter mais informações sobre permissões de Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel | Microsoft Learn and Manage access to Microsoft Sentinel data by resource | Microsoft Learn.

Pré-requisitos da plataforma SecOps unificada da Microsoft

Para unificar as capacidades com Defender XDR na plataforma SecOps unificada da Microsoft, tem de ter os seguintes recursos e acesso:

• Licenciamento para Defender XDR, conforme descrito nos pré-requisitos do Microsoft Defender XDR
• A conta de Defender XDR é um membro do mesmo inquilino Microsoft Entra ao qual está associado Microsoft Sentinel
• Acesso a Microsoft Defender XDR no portal do Defender, conforme descrito em Microsoft Defender XDR pré-requisitos

Integrar Microsoft Sentinel

Para ligar uma área de trabalho Microsoft Sentinel ao portal do Defender, conclua os seguintes passos. Se estiver a integrar Microsoft Sentinel sem Defender XDR (pré-visualização), existe um passo extra para acionar a ligação com o portal do Microsoft Sentinel e do Defender.

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. Para integrar Microsoft Sentinel sem Defender XDR no portal do Defender:

   1. Para acionar a ligação com Microsoft Sentinel, selecione Investigação & resposta>Incidentes.
   2. Aguarde alguns minutos para que a ligação seja concluída.

3. No portal do Defender, selecione Descrição geral.

4. Selecione Ligar uma área de trabalho.

5. Selecione a área de trabalho que pretende ligar e selecione Seguinte.

6. Leia e compreenda as alterações ao produto associadas à ligação da área de trabalho. Estas alterações incluem:

   • As tabelas de registo, as consultas e as funções na área de trabalho Microsoft Sentinel também estão disponíveis na investigação avançada no portal do Defender.
   • A função Contribuidor Microsoft Sentinel é atribuída às aplicações Microsoft Threat Protection e WindowsDefenderATP na subscrição.
   • As regras ativas de criação de incidentes de segurança da Microsoft são desativadas para evitar incidentes duplicados. Esta alteração aplica-se apenas às regras de criação de incidentes para alertas da Microsoft e não a outras regras de análise.
   • Todos os alertas relacionados com produtos Defender XDR são transmitidos diretamente a partir do conector de dados main Defender XDR para garantir a consistência. Certifique-se de que tem incidentes e alertas deste conector ativados na área de trabalho.

7. Selecione Conectar.

Depois de a área de trabalho estar ligada, a faixa na página Descrição geral mostra que o ambiente está pronto. A página Descrição geral é atualizada com novas secções que incluem métricas de Microsoft Sentinel como o número de conectores de dados e regras de automatização.

Explorar Microsoft Sentinel funcionalidades no portal do Defender

Depois de ligar a área de trabalho ao portal do Defender, Microsoft Sentinel está no painel de navegação do lado esquerdo. Se tiver Defender XDR ativado, páginas como Descrição Geral, Incidentes e Investigação Avançada têm dados unificados de Microsoft Sentinel e Defender XDR. Se não tiver Defender XDR ativado, estas páginas incluem apenas dados de Microsoft Sentinel (pré-visualização). Para obter mais informações sobre as capacidades unificadas e as diferenças entre portais, veja Microsoft Sentinel no portal do Microsoft Defender.

Muitas das funcionalidades de Microsoft Sentinel existentes estão integradas no portal do Defender. Para estas funcionalidades, tenha em atenção que a experiência entre Microsoft Sentinel no portal do portal do Azure e do Defender é semelhante. Utilize os seguintes artigos para o ajudar a começar a trabalhar com Microsoft Sentinel no portal do Defender. Ao utilizar estes artigos, tenha em atenção que o ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.

• Pesquisar
  • Procurar em intervalos de tempo longos em grandes conjuntos de dados
  • Restaurar registos arquivados a partir da pesquisa
• Gerenciamento de ameaças
  • Visualizar e monitorizar os seus dados com livros
  • Conduzir investigação de ameaças ponto a ponto com Hunts
  • Utilizar marcadores de investigação para investigações de dados
  • Utilizar a caça ao Livestream no Microsoft Sentinel para detetar ameaças
  • Investigar ameaças de segurança com blocos de notas do Jupyter
  • Adicionar indicadores em massa para Microsoft Sentinel informações sobre ameaças a partir de um ficheiro CSV ou JSON
  • Trabalhar com indicadores de ameaças no Microsoft Sentinel
  • Compreender a cobertura de segurança pela arquitetura MITRE ATT&CK
• Gerenciamento de conteúdo
  • Detetar e gerir Microsoft Sentinel conteúdo inicial
  • Microsoft Sentinel catálogo do hub de conteúdos
  • Implementar conteúdo personalizado a partir do seu repositório
• Configuração
  • Localizar o conector de dados Microsoft Sentinel
  • Criar regras de análise personalizadas para detetar ameaças
  • Trabalhar com regras de análise de deteção quase em tempo real (NRT) no Microsoft Sentinel
  • Criar listas de observação
  • Gerir listas de observação no Microsoft Sentinel
  • Criar regras de automatização
  • Criar e personalizar Microsoft Sentinel manuais de procedimentos a partir de modelos de conteúdo

Localize Microsoft Sentinel definições no portal do Defender emDefinições> do Sistema>Microsoft Sentinel.

Microsoft Sentinel offboard

Só pode ter uma área de trabalho ligada ao portal do Defender de cada vez. Se quiser ligar a uma área de trabalho diferente que tenha Microsoft Sentinel ativada, desligue a área de trabalho atual e ligue a outra área de trabalho.

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. No portal do Defender, em Sistema, selecione Definições>Microsoft Sentinel.

3. Na página Áreas de trabalho , selecione a área de trabalho ligada e Desligar área de trabalho.

4. Indique um motivo pelo qual está a desligar a área de trabalho.

5. Confirme a sua seleção.

   Quando a área de trabalho estiver desligada, a secção Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados de Microsoft Sentinel já não estão incluídos na página Descrição geral.

Se quiser ligar a uma área de trabalho diferente, na página Áreas de trabalho , selecione a área de trabalho e Ligar uma área de trabalho.

Conteúdo relacionado

• Microsoft Sentinel no portal do Microsoft Defender
• Busca avançada no portal do Microsoft Defender
• Interrupção automática de ataques no Microsoft Defender XDR
• Investigar incidentes no portal do Microsoft Defender
• Otimizar as operações de segurança