Início Rápido: integrar o Microsoft Sentinel

Neste início rápido, você habilita o Microsoft Sentinel e configura os conectores de dados para monitorar e proteger o ambiente. Depois de conectar as fontes de dados usando os conectores de dados, escolha em uma galeria de pastas de trabalho criadas por especialistas que mostram insights com base nos dados. Essas pastas de trabalho podem ser facilmente personalizadas de acordo com suas necessidades.

O Microsoft Sentinel vem com muitos conectores para produtos da Microsoft, por exemplo, o conector de serviço a serviço do Microsoft 365 Defender. Você também pode habilitar os conectores internos para produtos que não são da Microsoft, por exemplo, Syslog ou CEF (Formato Comum de Evento). Saiba mais sobre os conectores de dados.

Importante

Examine o preço do Microsoft Sentinel e as informações de cobrança e custos do Microsoft Sentinel.

Pré-requisitos globais

Disponibilidade de geográfica e residência de dados

  • O Microsoft Azure Sentinel pode ser executado em workspaces na maioria das regiões em que o Log Analytics está em disponibilidade geral. As regiões em que o Log Analytics está disponível recentemente podem levar algum tempo para integração do serviço Microsoft Azure Sentinel.

  • Consulte Residência de dados no Azure para obter informações sobre áreas geográficas e regiões e sobre onde os dados do cliente são armazenados.

  • A residência de dados de região única é fornecida no momento apenas na região Sudeste da Ásia (Cingapura) da geografia Pacífico Asiático e na região Sul do Brasil (estado de São Paulo) da geografia do Brasil.

    Importante

    • Ao habilitar determinadas regras que usam o mecanismo de ML (aprendizado de máquina), você concede à Microsoft permissão para copiar dados ingeridos relevantes fora da geografia do seu espaço de trabalho do Microsoft Sentinel, pois pode ser exigido pelo mecanismo de aprendizado de máquina para processar essas regras.

Habilitar Microsoft Sentinel

  1. Entre no portal do Azure. Verifique se a assinatura na qual o Microsoft Sentinel foi criado está selecionada.

  2. Pesquise pelo Microsoft Sentinel e selecione-o.

    Captura de tela de como procurar um serviço ao ativar o Microsoft Sentinel.

  3. Selecione Adicionar.

  4. Selecione o workspace que você quer usar ou crie um novo. Você pode executar o Microsoft Sentinel em mais de um workspace, mas os dados são isolados em um só workspace. Observe que os workspaces padrão criados pelo Microsoft Defender para Nuvem não são mostrados na lista. Não é possível instalar o Microsoft Sentinel nesses workspaces.

    Captura de tela de como escolher um workspace ao ativar o Microsoft Sentinel.

    Importante

    • Após a implantação em um workspace, o Microsoft Sentinel atualmente não dá suporte para mover o workspace para outros grupos de recursos ou assinaturas.

      Se você já tiver movido o workspace, desabilite todas as regras ativas em Análise e habilite-as novamente após cinco minutos. Isso deve ser eficaz na maioria dos casos, porém, para reiterar, não há suporte para esse procedimento e ele traz riscos.

  5. Selecione Adicionar Microsoft Sentinel.

Configurar conectores de dados

O Microsoft Sentinel ingere dados de serviços e aplicativos conectando-se ao serviço e encaminhando os eventos e logs ao Microsoft Sentinel.

  • Para computadores físicos e máquinas virtuais, você pode instalar o agente do Log Analytics, que coleta os logs e os encaminha para o Microsoft Sentinel.
  • Para Firewalls e proxies, o Microsoft Sentinel instala o agente do Log Analytics em um servidor Syslog do Linux, do qual o agente coleta os arquivos de log e os encaminha para o Microsoft Sentinel.
  1. No menu principal, selecione Conectores de dados. Isso abre a galeria de conectores de dados.

  2. Selecione um conector de dados e depois o botão Abrir página do conector.

  3. A página do conector mostra instruções para configurar o conector e quaisquer outras instruções que possam ser necessárias.

    Por exemplo, se você selecionar o conector de dados do Azure Active Directory, que permite transmitir logs do Azure AD para o Microsoft Sentinel, poderá selecionar o tipo de logs deseja: de conexão e/ou de auditoria.
    Siga as instruções de instalação. Para saber mais, leia o guia de conexão relevante ou saiba mais sobre os conectores de dados do Microsoft Sentinel.

  4. A guia Próximas etapas na página do conector mostra pastas de trabalho internas relevantes, consultas de exemplo e modelos de regra de análise que acompanham o conector de dados. Você pode usá-los no estado em que se encontram ou modificá-los, mas das duas maneiras é possível obter imediatamente insights interessantes sobre os seus dados.

Depois de configurar os conectores de dados, os dados começarão a ser transmitidos para o Microsoft Sentinel e estarão prontos para você começar a trabalhar com eles. Você pode ver os logs nas pastas de trabalho internas e começar a criar consultas no Log Analytics para investigar os dados.

Examine as melhores práticas de coleta de dados.

Próximas etapas

Para obter mais informações, consulte: