Microsoft Sentinel no portal do Microsoft Defender
Este artigo descreve a experiência do Microsoft Sentinel no portal do Microsoft Defender. O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender com o Microsoft Defender XDR. Para obter mais informações, consulte:
- Postagem no blog: Disponibilidade geral da plataforma unificada de operações de segurança da Microsoft
- Postagem no blog: Perguntas frequentes sobre a plataforma unificada de operações de segurança
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Suporte de recursos do Microsoft Sentinel para nuvens comerciais/outras nuvens do Azure
Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5.
Capacidades novas e melhoradas
A tabela a seguir descreve os recursos novos ou aprimorados disponíveis no portal do Defender com a integração do Microsoft Sentinel. A Microsoft continua a inovar nesta nova experiência com funcionalidades que podem ser exclusivas do portal Defender.
| Capacidades | Description |
|---|---|
| Caça avançada | Consulte a partir de um único portal em diferentes conjuntos de dados para tornar a caça mais eficiente e remover a necessidade de mudança de contexto. Use o Security Copilot para ajudar a gerar seu KQL. Exiba e consulte todos os dados, incluindo dados dos serviços de segurança da Microsoft e do Microsoft Sentinel. Use todo o conteúdo existente do espaço de trabalho do Microsoft Sentinel, incluindo consultas e funções. Para obter mais informações, consulte os seguintes artigos: - Caça avançada no portal do Microsoft Defender - Copiloto de segurança em caça avançada |
| Otimizações SOC | Obtenha recomendações práticas e de alta fidelidade para ajudá-lo a identificar áreas para: - Reduzir custos - Adicionar controles de segurança - Adicionar dados em falta As otimizações SOC estão disponíveis nos portais do Defender e do Azure, são adaptadas ao seu ambiente e baseiam-se na sua cobertura atual e no cenário de ameaças. Para obter mais informações, consulte os seguintes artigos: - Otimize suas operações de segurança - Referência de recomendações de otimização SOC |
| Microsoft Copilot no Microsoft Defender | Ao investigar incidentes no portal Defender, - Resumir incidentes - Analise scripts - Analise arquivos - Criar relatórios de incidente Ao procurar ameaças na caça avançada, crie consultas KQL prontas para executar usando o assistente de consulta. Para obter mais informações, consulte Microsoft Security Copilot in advanced hunting. |
A tabela a seguir descreve os recursos adicionais disponíveis no portal do Defender com a integração do Microsoft Sentinel e do Microsoft Defender XDR como parte da plataforma unificada de operações de segurança da Microsoft.
| Capacidades | Description |
|---|---|
| Ataque atrapalha | Implante a interrupção automática de ataques para SAP com o portal Defender e a solução Microsoft Sentinel para aplicativos SAP. Por exemplo, contenha ativos comprometidos bloqueando usuários suspeitos do SAP em caso de um ataque de manipulação de processos financeiros. Os recursos de interrupção de ataque para SAP estão disponíveis apenas no portal do Defender. Para usar a interrupção de ataque para SAP, atualize a versão do agente do conector de dados e certifique-se de que a função relevante do Azure seja atribuída à identidade do seu agente. Para obter mais informações, consulte Interrupção automática de ataques para SAP. |
| Entidades unificadas | As páginas de entidade para dispositivos, usuários, endereços IP e recursos do Azure no portal do Defender exibem informações de fontes de dados do Microsoft Sentinel e do Defender. Estas páginas de entidades fornecem um contexto expandido para as suas investigações de incidentes e alertas no portal do Defender. Para obter mais informações, consulte Investigar entidades com páginas de entidade no Microsoft Sentinel. |
| Incidentes unificados | Gerencie e investigue incidentes de segurança em um único local e a partir de uma única fila no portal do Defender. Use o Security Copilot para resumir, responder e relatar. Os incidentes incluem: - Dados provenientes da amplitude das fontes - Ferramentas analíticas de IA de segurança da informação e gestão de eventos (SIEM) - Ferramentas de contexto e mitigação oferecidas pela deteção e resposta estendida (XDR) Para obter mais informações, consulte os seguintes artigos: - Resposta a incidentes no portal do Microsoft Defender - Investigar incidentes do Microsoft Sentinel no Security Copilot |
| Microsoft Copilot no Microsoft Defender | Ao investigar incidentes com o Microsoft Sentinel integrado ao Defender XDR, - Triagem e investigação de incidentes com respostas guiadas - Resumir informações do dispositivo - Resumir informações de identidade Resuma as ameaças relevantes que afetam seu ambiente, priorize a resolução de ameaças com base em seus níveis de exposição ou encontre agentes de ameaças que possam estar visando seu setor usando o Security Copilot em inteligência de ameaças. Para obter mais informações, consulte Usando o Microsoft Security Copilot para informações sobre ameaças. |
Diferenças de capacidade entre portais
A maioria dos recursos do Microsoft Sentinel está disponível nos portais do Azure e do Defender. No portal do Defender, algumas experiências do Microsoft Sentinel são abertas no portal do Azure para que você conclua uma tarefa.
Esta seção aborda os recursos ou integrações do Microsoft Sentinel que só estão disponíveis no portal do Azure ou no portal do Defender ou outras diferenças significativas entre os portais. Ele exclui as experiências do Microsoft Sentinel que abrem o portal do Azure do portal do Defender.
| Funcionalidade | Disponibilidade | Description |
|---|---|---|
| Caça avançada usando marcadores | Apenas portal do Azure | Os marcadores não são suportados na experiência de caça avançada no portal do Microsoft Defender. No portal do Defender, eles são suportados no Microsoft Sentinel > Threat management > Hunting. Para obter mais informações, consulte Manter o controle de dados durante a caça com o Microsoft Sentinel. |
| Interrupção de ataques para SAP | Portal do Defender apenas com o Defender XDR | Essa funcionalidade não está disponível no portal do Azure. Para obter mais informações, consulte Interrupção automática de ataques no portal do Microsoft Defender. |
| Automatização | Alguns procedimentos de automação estão disponíveis apenas no portal do Azure. Outros procedimentos de automação são os mesmos nos portais do Defender e do Azure, mas diferem no portal do Azure entre espaços de trabalho integrados ao portal do Defender e espaços de trabalho que não estão. |
Para obter mais informações, consulte Automação com a plataforma unificada de operações de segurança. |
| Conectores de dados: visibilidade dos conectores usados pela plataforma unificada de operações de segurança | Apenas portal do Azure | No portal do Defender, depois de integrar o Microsoft Sentinel, os seguintes conectores de dados que fazem parte da plataforma unificada de operações de segurança não são mostrados na página Conectores de dados: No portal do Azure, esses conectores de dados ainda estão listados com os conectores de dados instalados no Microsoft Sentinel. |
| Entidades: Adicionar entidades à inteligência de ameaças de incidentes | Apenas portal do Azure | Esta funcionalidade não está disponível no portal do Defender. Para obter mais informações, consulte Adicionar entidade a indicadores de ameaça. |
| Fusion: Deteção avançada de ataques em vários estágios | Apenas portal do Azure | A regra de análise do Fusion, que cria incidentes com base em correlações de alerta feitas pelo mecanismo de correlação do Fusion, é desabilitada quando você integra o Microsoft Sentinel ao portal do Defender. O portal Defender usa as funcionalidades de criação de incidentes e correlação do Microsoft Defender XDR para substituir as do mecanismo Fusion. Para obter mais informações, consulte Deteção avançada de ataques em vários estágios no Microsoft Sentinel |
| Incidentes: Adicionar alertas a incidentes / Remoção de alertas de incidentes |
Apenas portal do Defender | Depois de integrar o Microsoft Sentinel ao portal do Defender, você não pode mais adicionar alertas ou remover alertas de incidentes no portal do Azure. Você pode remover um alerta de um incidente no portal do Defender, mas apenas vinculando o alerta a outro incidente (existente ou novo). |
| Incidentes: edição de comentários | Apenas portal do Azure | Depois de integrar o Microsoft Sentinel ao portal do Defender, você pode adicionar comentários a incidentes em qualquer portal, mas não pode editar comentários existentes. As edições feitas nos comentários no portal do Azure não são sincronizadas com o portal do Defender. |
| Incidentes: Criação programática e manual de incidentes | Apenas portal do Azure | Os incidentes criados no Microsoft Sentinel por meio da API, por um playbook do Aplicativo Lógico ou manualmente do portal do Azure não são sincronizados com o portal do Defender. Esses incidentes ainda têm suporte no portal do Azure e na API. Consulte Criar seus próprios incidentes manualmente no Microsoft Sentinel. |
| Incidentes: Reabertura de incidentes encerrados | Apenas portal do Azure | No portal do Defender, não é possível definir o agrupamento de alertas nas regras de análise do Microsoft Sentinel para reabrir incidentes fechados se novos alertas forem adicionados. Neste caso, os incidentes encerrados não são reabertos e novos alertas desencadeiam novos incidentes. |
| Incidentes: Tarefas | Apenas portal do Azure | As tarefas não estão disponíveis no portal do Defender. Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel. |
| Gerenciamento de vários espaços de trabalho para o Microsoft Sentinel | Portal do Defender: limitado a um espaço de trabalho do Microsoft Sentinel por locatário Portal do Azure: gerencie centralmente vários espaços de trabalho do Microsoft Sentinel para locatários |
Atualmente, apenas um espaço de trabalho do Microsoft Sentinel por locatário é suportado no portal do Defender. Assim, o gerenciamento multilocatário do Microsoft Defender oferece suporte a um espaço de trabalho do Microsoft Sentinel por locatário. Para obter mais informações, consulte os seguintes artigos: - Portal Defender: gerenciamento multilocatário Microsoft Defender - Portal do Azure: gerencie vários espaços de trabalho do Microsoft Sentinel com o gerenciador de espaços de trabalho |
Capacidades limitadas ou indisponíveis
Quando você integra o Microsoft Sentinel ao portal do Defender sem o Defender XDR ou outros serviços habilitados, os seguintes recursos exibidos no portal do Defender estão atualmente limitados ou indisponíveis.
| Funcionalidade | Serviço necessário |
|---|---|
| Gestão da exposição | Gerenciamento de exposição de segurança da Microsoft |
| Regras de deteção personalizadas | Microsoft Defender XDR |
| Centro de ação | Microsoft Defender XDR |
As limitações a seguir também se aplicam ao Microsoft Sentinel no portal do Defender sem o Defender XDR ou outros serviços habilitados:
- Os novos clientes do Microsoft Sentinel não são elegíveis para integrar um espaço de trabalho do Log Analytics criado na região de Israel. Para integrar o portal do Defender, crie outro espaço de trabalho para o Microsoft Sentinel em uma região diferente. Esse espaço de trabalho adicional não precisa conter dados.
- Os clientes que usam o Microsoft Sentinel user and entity behavior analytics (UEBA) recebem uma versão limitada da tabela IdentityInfo.
Referência rápida
Alguns recursos do Microsoft Sentinel, como a fila de incidentes unificada, são integrados ao Microsoft Defender XDR na plataforma unificada de operações de segurança da Microsoft. Muitos outros recursos do Microsoft Sentinel estão disponíveis na seção Microsoft Sentinel do portal do Defender.
A imagem a seguir mostra o menu do Microsoft Sentinel no portal do Defender:
As seções a seguir descrevem onde encontrar os recursos do Microsoft Sentinel no portal do Defender. As seções são organizadas como Microsoft Sentinel está no portal do Azure.
Geral
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Geral no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Descrição geral | Descrição geral |
| Registos | Investigação e resposta > Caça > avançada |
| Notícias e guias | Não disponível |
| Pesquisar | Pesquisa do Microsoft Sentinel > |
Gestão de ameaças
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Gerenciamento de ameaças no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Incidentes | Investigação e resposta > Incidentes & alertas > Incidentes |
| Livros | Pastas de trabalho de gerenciamento de> ameaças do Microsoft Sentinel > |
| Investigação | Caça ao gerenciamento de ameaças > do Microsoft Sentinel > |
| Notebooks | Notebooks de gerenciamento de ameaças > do Microsoft Sentinel > |
| Comportamento da entidade | Página da entidade do usuário: Assets > Identities >{user}> Sentinel events Página da entidade do dispositivo: Assets > Devices >{device}> Sentinel events Além disso, localize as páginas de entidade para os tipos de entidade de usuário, dispositivo, IP e recursos do Azure a partir de incidentes e alertas à medida que aparecem. |
| Informações sobre ameaças | Microsoft Sentinel > Gestão de > ameaças Inteligência de ameaças |
| MITRE ATT&CK | Gerenciamento de > ameaças do Microsoft Sentinel > MITRE ATT&CK |
Content management (Gestão de conteúdos)
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Gerenciamento de conteúdo no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Hub de conteúdo | Hub de conteúdo de gerenciamento de > conteúdo do Microsoft Sentinel > |
| Repositórios | Repositórios de gerenciamento de conteúdo > do Microsoft Sentinel > |
| Comunidade | Comunidade de gerenciamento de conteúdo > do Microsoft Sentinel > |
Configuração
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Configuração no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Gestor de espaços de trabalho | Não disponível |
| Conectores de dados | Conectores de dados de configuração > do Microsoft Sentinel > |
| Análise | Análise de configuração do > Microsoft Sentinel > |
| Listas de observação | Listas de observação de configuração > do Microsoft Sentinel > |
| Automatização | Automação de configuração > do Microsoft Sentinel > |
| Definições | Configurações do > sistema > Microsoft Sentinel |