Ingerir alertas do Microsoft Defender para Nuvem no Microsoft Sentinel

As proteções de carga de trabalho de nuvem integradas no Microsoft Defender para Nuvem permitem detectar e responder rapidamente às ameaças nas cargas de trabalho híbridas e multinuvem.

Esse conector lhe permite ingerir alertas de segurança do Defender para Nuvem no Microsoft Sentinel para que você possa ver, analisar e responder aos alertas do Defender, e aos incidentes que geram, em um contexto mais amplo de ameaças organizacionais.

Como os planos do Defender do Microsoft Defender para Nuvem são habilitados por assinatura, esse conector de dados também será habilitado ou desabilitado separadamente para cada assinatura.

O novo conector do Microsoft Defender para Nuvem baseado em locatário, em versão prévia, permite que você colete alertas do Defender para Nuvem no locatário inteiro sem precisar habilitar cada assinatura separadamente. Também tira proveito da integração do Defender para Nuvem com o Microsoft Defender XDR (antigo Microsoft 365 Defender) para garantir que todos os alertas do Defender para Nuvem estejam totalmente incluídos em todos os incidentes que você receber por meio da integração de incidentes do Microsoft Defender XDR.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Sincronização de alerta

• Quando você conecta o Microsoft Defender para Nuvem ao Microsoft Sentinel, o status dos alertas de segurança que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Defender para Nuvem, esse alerta também será exibido como fechado no Microsoft Sentinel.

• Alterar o status de um alerta no Defender para Nuvem não afeta o status dos demais incidentes do Microsoft Sentinel que contiverem o alerta do Microsoft Sentinel sincronizado,mas apenas o do próprio alerta sincronizado.

Sincronização de alerta bidirecional

Habilitar a sincronização bidirecional sincronizará automaticamente o status dos alertas de segurança originais com aqueles dos incidentes do Microsoft Sentinel que contêm esses alertas. Portanto, por exemplo, quando um incidente do Microsoft Sentinel contendo alertas de segurança for fechado, o alerta original correspondente será fechado automaticamente no Microsoft Defender para Nuvem.

Pré-requisitos

• Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.

• Você deve ter a função de Colaborador ou Proprietário na assinatura que deseja conectar ao Microsoft Sentinel.

• Você precisará habilitar pelo menos um plano no Microsoft Defender para Nuvem para cada assinatura em que desejar habilitar o conector. Para habilitar os planos do Microsoft Defender em uma assinatura, é necessário ter a função de Administrador de Segurança para aquela assinatura.

• Você precisará que o provedor de recursos SecurityInsights seja registrado para cada assinatura em que deseja habilitar o conector. Revise as diretrizes sobre o status de registro do provedor de recursos e as maneiras de registrá-lo.

• Para habilitar a sincronização bidirecional, é necessário ter a função de Colaborador ou Administrador de Segurança na assinatura relevante.

• Instale a solução para Microsoft Defender para Nuvem a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, confira Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Conectar-se ao Microsoft Defender para Nuvem

1. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

2. Na galeria de conectores de dados, selecione Microsoft Defender para Nuvem e selecione Abrir página de conector no painel de detalhes.

3. Em Configuração, você verá uma lista das assinaturas no locatário e o status da conexão com o Microsoft Defender para Nuvem. Selecione a alternância de Status ao lado de cada assinatura cujos alertas você deseja transmitir para o Microsoft Sentinel. Se você quiser conectar várias assinaturas ao mesmo tempo, isso é possível marcando as caixas de seleção ao lado das assinaturas desejadas e, em seguida, selecionando o botão Conectar na barra acima da lista.

   Observação

   • As caixas de seleção e alternâncias de Conexão estarão ativas apenas nas assinaturas nas quais você tem as permissões necessárias.
   • O botão Conectar estará ativo apenas se pelo menos uma caixa de seleção de assinaturas estiver marcada.

4. Para habilitar a sincronização bidirecional em uma assinatura, localize a assinatura na lista e escolha Habilitado na lista suspensa na coluna Sincronização bidirecional. Para habilitar a sincronização bidirecional em várias assinaturas de uma vez, marque as caixas de seleção e selecione o botão Habilitar sincronização bidirecional na barra acima da lista.

   Observação

   • As caixas de seleção e as listas suspensas estarão ativas apenas nas assinaturas para as quais você tem as permissões necessárias.
   • O botão Habilitar sincronização bidirecional estará ativo apenas se pelo menos uma caixa de seleção de assinatura estiver marcada.

5. Na coluna de planos do Microsoft Defender da lista, é possível ver se os planos do Microsoft Defender estão habilitados na assinatura (um pré-requisito para habilitar o conector). O valor de cada assinatura nesta coluna estará em branco (o que significa que nenhum plano do Defender está habilitado), "Todos habilitados" ou "Alguns habilitados". Aqueles que dizem "Alguns habilitados" também terão um link Habilitar tudo que você pode selecionar, que levará você ao painel de configuração do Microsoft Defender para Nuvem para essa assinatura, no qual você poderá escolher os planos do Defender a serem habilitados. O botão do link Habilitar o Microsoft Defender para todas as assinaturas na barra acima da lista, o direcionará para a página da Introdução do Microsoft Defender para Nuvem, em que você poderá escolher em quais assinaturas habilitará o Microsoft Defender para Nuvem.

   

6. Você pode selecionar se deseja que os alertas do Microsoft Defender para Nuvem gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Habilitado para ativar a regra de análise padrão que cria incidentes de alertas automaticamente. É possível editar essa regra em Análise, na guia Regras ativas.

   Dica

   Ao configurar regras de análises personalizadas para alertas do Microsoft Defender para Nuvem, considere a severidade do alerta para evitar a abertura de incidentes para alertas informativos.

   Os alertas informativos no Microsoft Defender para Nuvem não representam um risco à segurança por si só e são relevantes apenas no contexto de um incidente aberto existente. Para mais informações, consulte Alertas e incidentes de segurança no Microsoft Defender para Nuvem.

Localizas e analisar os dados

Observação

A sincronização de alertas em ambas as direções pode levar alguns minutos. As alterações no status dos alertas podem não ser exibidas imediatamente.

• Os alertas de segurança são armazenados na tabela SecurityAlert no espaço de trabalho do Log Analytics.

• Para consultar alertas de segurança no Log Analytics, copie o seguinte na janela de consulta como ponto de partida:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Consulte a guia Próximas etapas na página do conector para obter os exemplos de consultas úteis adicionais, os modelos de regras de análise e as pastas de trabalho recomendadas.

Próximas etapas

Neste documento, você aprendeu a conectar o Microsoft Defender para Nuvem ao Microsoft Sentinel e sincronizar alertas entre eles. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:

• Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
• Introdução à detecção de ameaças com o Microsoft Sentinel.
• Grave suas próprias regras para detectar ameaças.