Conectar o Microsoft Sentinel ao Microsoft Defender XDR
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Ao integrar o Microsoft Sentinel no portal do Defender, unifica as capacidades com o Microsoft Defender XDR, como a gestão de incidentes e a investigação avançada. Reduza a mudança de ferramentas e crie uma investigação mais focada no contexto que agilize a resposta a incidentes e pare as falhas mais rapidamente. Para saber mais, confira:
- Mensagem de blogue: Disponibilidade geral da plataforma de operações de segurança unificada da Microsoft
- Mensagem de blogue: Perguntas mais frequentes sobre a plataforma de operações de segurança unificada
- Microsoft Sentinel no portal do Microsoft Defender
- Integração do Microsoft Defender XDR com o Microsoft Sentinel
Pré-requisitos
Antes de começar, reveja a documentação da funcionalidade para compreender as alterações e limitações do produto:
- Microsoft Sentinel no portal do Microsoft Defender
- Busca avançada no portal do Microsoft Defender
- Alertas, incidentes e correlação no Microsoft Defender XDR
- Automatização com a plataforma de operações de segurança unificada
O portal do Microsoft Defender suporta um único inquilino do Microsoft Entra e a ligação a uma área de trabalho de cada vez. No contexto deste artigo, uma área de trabalho é uma área de trabalho do Log Analytics com o Microsoft Sentinel ativado.
Para integrar e utilizar o Microsoft Sentinel no portal do Microsoft Defender, tem de ter os seguintes recursos e acesso:
Uma área de trabalho do Log Analytics com o Microsoft Sentinel ativado
O conector de dados do Microsoft Defender XDR (anteriormente denominado Microsoft 365 Defender) ativado no Microsoft Sentinel para incidentes e alertas. Para obter mais informações, veja Ligar dados do Microsoft Defender XDR ao Microsoft Sentinel.
Acesso ao Microsoft Defender XDR no portal do Defender
Microsoft Defender XDR integrado no inquilino do Microsoft Entra
Uma conta do Azure com as funções adequadas para integrar, utilizar e criar pedidos de suporte para o Microsoft Sentinel no portal do Defender. A tabela seguinte realça algumas das principais funções necessárias.
Tarefa Função incorporada do Azure necessária Escopo Ligar ou desligar uma área de trabalho com o Microsoft Sentinel ativado Proprietário ou
Administrador de Acesso de Utilizadores e Contribuidor do Microsoft Sentinel- Subscrição para funções
de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para Contribuidor do Microsoft SentinelVer o Microsoft Sentinel no portal do Defender Leitor do Microsoft Sentinel Subscrição, grupo de recursos ou recurso de área de trabalho Consultar tabelas de dados do Sentinel ou ver incidentes Leitor do Microsoft Sentinel ou uma função com as seguintes ações:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readSubscrição, grupo de recursos ou recurso de área de trabalho Tomar medidas de investigação sobre incidentes Contribuidor do Microsoft Sentinel ou uma função com as seguintes ações:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeSubscrição, grupo de recursos ou recurso de área de trabalho Criar uma solicitação de suporte Contribuidor ou
Contribuidor ou
Contribuidor do pedido de suporte ou uma função personalizada com Microsoft.Support/*Assinatura Depois de ligar o Microsoft Sentinel ao portal do Defender, as permissões de controlo de acesso baseado em funções (RBAC) do Azure existentes permitem-lhe trabalhar com as funcionalidades do Microsoft Sentinel às quais tem acesso. Continue a gerir funções e permissões para os seus utilizadores do Microsoft Sentinel a partir do portal do Azure. Todas as alterações do RBAC do Azure são refletidas no portal do Defender. Para obter mais informações sobre as permissões do Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel | Microsoft Learn e Gerir o acesso aos dados do Microsoft Sentinel por recurso | Microsoft Learn.
Integrar o Microsoft Sentinel
Para ligar uma área de trabalho que tenha o Microsoft Sentinel ativado para o Defender XDR, conclua os seguintes passos:
Aceda ao portal do Microsoft Defender e inicie sessão.
No Microsoft Defender XDR, selecione Descrição geral.
Selecione Ligar uma área de trabalho.
Selecione a área de trabalho que pretende ligar e selecione Seguinte.
Leia e compreenda as alterações ao produto associadas à ligação da área de trabalho. Estas alterações incluem:
- As tabelas de registo, as consultas e as funções na área de trabalho do Microsoft Sentinel também estão disponíveis na investigação avançada no Defender XDR.
- A função Contribuidor do Microsoft Sentinel é atribuída às aplicações Microsoft Threat Protection e WindowsDefenderATP na subscrição.
- As regras ativas de criação de incidentes de segurança da Microsoft são desativadas para evitar incidentes duplicados. Esta alteração aplica-se apenas às regras de criação de incidentes para alertas da Microsoft e não a outras regras de análise.
- Todos os alertas relacionados com produtos Defender XDR são transmitidos diretamente a partir do conector de dados XDR do Defender para garantir a consistência. Certifique-se de que tem incidentes e alertas deste conector ativados na área de trabalho.
Selecione Conectar.
Depois de a área de trabalho estar ligada, a faixa na página Descrição geral mostra que a gestão unificada de informações e eventos de segurança (SIEM) e a deteção e resposta alargadas (XDR) estão prontas. A página Descrição geral é atualizada com novas secções que incluem métricas do Microsoft Sentinel, como o número de conectores de dados e regras de automatização.
Explorar as funcionalidades do Microsoft Sentinel no portal do Defender
Depois de ligar a área de trabalho ao portal do Defender, o Microsoft Sentinel encontra-se no painel de navegação do lado esquerdo. Páginas como Descrição Geral, Incidentes e Investigação Avançada têm dados unificados do Microsoft Sentinel e do Defender XDR. Para obter mais informações sobre as capacidades unificadas e as diferenças entre portais, veja Microsoft Sentinel no portal do Microsoft Defender.
Muitas das funcionalidades existentes do Microsoft Sentinel estão integradas no portal do Defender. Para estas funcionalidades, tenha em atenção que a experiência entre o Microsoft Sentinel no portal do Azure e o portal do Defender é semelhante. Utilize os seguintes artigos para o ajudar a começar a trabalhar com o Microsoft Sentinel no portal do Defender. Ao utilizar estes artigos, tenha em atenção que o ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.
- Pesquisar
- Gerenciamento de ameaças
- Visualizar e monitorizar os seus dados com livros
- Conduzir investigação de ameaças ponto a ponto com Hunts
- Utilizar marcadores de investigação para investigações de dados
- Utilizar a caça ao Livestream no Microsoft Sentinel para detetar ameaças
- Investigar ameaças de segurança com blocos de notas do Jupyter
- Adicionar indicadores em massa às informações sobre ameaças do Microsoft Sentinel a partir de um ficheiro CSV ou JSON
- Trabalhar com indicadores de ameaças no Microsoft Sentinel
- Compreender a cobertura de segurança pela arquitetura MITRE ATT&CK
- Gerenciamento de conteúdo
- Configuração
- Localizar o conector de dados do Microsoft Sentinel
- Criar regras de análise personalizadas para detetar ameaças
- Trabalhar com regras de análise de deteção quase em tempo real (NRT) no Microsoft Sentinel
- Criar listas de observação
- Gerir listas de observação no Microsoft Sentinel
- Criar regras de automatização
- Criar e personalizar manuais de procedimentos do Microsoft Sentinel a partir de modelos de conteúdo
Localize as definições do Microsoft Sentinel no portal do Defender emDefinições> do Sistema>do Microsoft Sentinel.
Exclusão do Microsoft Sentinel
Só pode ter uma área de trabalho ligada ao portal do Defender de cada vez. Se quiser ligar a uma área de trabalho diferente que tenha o Microsoft Sentinel ativado, desligue a área de trabalho atual e ligue a outra área de trabalho.
Aceda ao portal do Microsoft Defender e inicie sessão.
No portal do Defender, em Sistema, selecione Definições>Microsoft Sentinel.
Na página Áreas de trabalho , selecione a área de trabalho ligada e Desligar área de trabalho.
Indique um motivo pelo qual está a desligar a área de trabalho.
Confirme a sua seleção.
Quando a área de trabalho está desligada, a secção Do Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados do Microsoft Sentinel já não estão incluídos na página Descrição geral.
Se quiser ligar a uma área de trabalho diferente, na página Áreas de trabalho , selecione a área de trabalho e Ligar uma área de trabalho.