Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste início rápido, irá ativar Microsoft Sentinel e instalar uma solução a partir do hub de conteúdos. Em seguida, irá configurar um conector de dados para começar a ingerir dados no Microsoft Sentinel.
Microsoft Sentinel inclui muitos conectores de dados para produtos Microsoft, como o conector serviço a serviço Microsoft Defender XDR. Também pode ativar conectores incorporados para produtos não Microsoft, como o Syslog ou o Common Event Format (CEF). Neste início rápido, irá utilizar o conector de dados de Atividade do Azure que está disponível na solução atividade de Azure para Microsoft Sentinel.
Para integrar para Microsoft Sentinel com a API, veja a versão suportada mais recente do Sentinel Estados de Inclusão.
Pré-requisitos
Subscrição Azure Ativa. Se não tiver uma, crie uma conta gratuita antes de começar.
Permissões:
Para ativar Microsoft Sentinel, precisa de contribuidor permissões para a subscrição na qual reside a área de trabalho Microsoft Sentinel.
Para utilizar Microsoft Sentinel, precisa de permissões contribuidor Microsoft Sentinel ou leitor Microsoft Sentinel no grupo de recursos ao qual pertence a área de trabalho.
Para instalar ou gerir soluções no hub de conteúdos, precisa da função contribuidor Microsoft Sentinel no grupo de recursos ao qual pertence a área de trabalho.
Se for um novo cliente Microsoft Sentinel e tiver permissões de proprietário de uma subscrição ou administrador de acesso de utilizador, a área de trabalho é automaticamente integrada no portal do Defender. Os utilizadores dessas áreas de trabalho utilizam apenas Microsoft Sentinel no portal do Defender.
Microsoft Sentinel é um serviço pago. Reveja as opções de preços e a página de preços do Microsoft Sentinel.
Antes de implementar Microsoft Sentinel num ambiente de produção, reveja as atividades de pré-implementação e os pré-requisitos para implementar Microsoft Sentinel.
Criar uma área de trabalho do Log Analytics
Microsoft Sentinel tem de ser adicionado a uma área de trabalho. Se já tiver uma área de trabalho do Log Analytics, avance para adicionar Microsoft Sentinel à área de trabalho do Log Analytics. Se ainda não tiver uma área de trabalho do Log Analytics, pode criar uma com as instruções abaixo ou, para obter uma explicação mais detalhada, aceda a Criar uma área de trabalho do Log Analytics. Para obter mais informações sobre as áreas de trabalho do Log Analytics, veja Estruturar a implementação de Registos do Azure Monitor.
Poderá ter uma retenção predefinida de 30 dias na área de trabalho do Log Analytics utilizada para Microsoft Sentinel. Para se certificar de que pode utilizar todas as funcionalidades e funcionalidades Microsoft Sentinel, aumente a retenção para 90 dias. Configure a retenção de dados e as políticas de arquivo nos Registos do Azure Monitor.
Entre no portal do Azure.
Procure e selecione Microsoft Sentinel.
Selecione Criar.
Selecione Criar um novo espaço de trabalho.
EmGrupo de Recursos de Subscrição>, selecione Criar novo. Introduza um nome para o grupo de recursos e selecione OK.
Atribua um nome à área de trabalho e selecione uma região e, em seguida, selecione Rever + Criar. (Veja em que regiões o Log Analytics está disponível.)
Após a validação ter passado, selecione Criar. Aguarde até que a implementação esteja concluída.
Adicionar Microsoft Sentinel à área de trabalho do Log Analytics
Na portal do Azure, procure e selecione Microsoft Sentinel.
Selecione Criar.
Selecione a área de trabalho que pretende utilizar e selecione Adicionar. Pode executar Microsoft Sentinel em mais do que uma área de trabalho, mas os dados estão isolados numa única área de trabalho.
- As áreas de trabalho predefinidas criadas pelo Microsoft Defender para a Cloud não são apresentadas na lista. Não pode instalar Microsoft Sentinel nestas áreas de trabalho.
- Depois de implementada numa área de trabalho, Microsoft Sentinel não suporta mover essa área de trabalho para outro grupo de recursos ou subscrição.
Observação
Se a área de trabalho não estiver automaticamente integrada no portal do Defender, recomendamos a integração para uma experiência unificada na gestão de operações de segurança (SecOps) em Microsoft Sentinel e noutros serviços de segurança da Microsoft. Para obter mais informações, veja Integrar Microsoft Sentinel no portal do Defender.
Se a área de trabalho for automaticamente integrada ou se decidir integrar a área de trabalho agora, pode continuar os procedimentos neste artigo a partir do portal do Defender. Se esta for a primeira vez que utiliza o portal do Defender, haverá um atraso de alguns minutos enquanto o processo é concluído.
Aceder Microsoft Sentinel no portal do Defender
Para aceder a Microsoft Sentinel no portal do Defender:
Inicie sessão no portal do Defender.
Quando aceder ao portal do Defender pela primeira vez, demorará algum tempo a aprovisionar o seu inquilino.
Depois de aprovisionado, verá Microsoft Sentinel disponíveis no painel de navegação, com Microsoft Sentinel nós aninhados. Por exemplo:
Desloque-se para baixo no painel de navegação e selecione Definições > Microsoft Sentinel > Áreas de trabalho para ver as áreas de trabalho integradas no portal do Defender e disponíveis para si.
O portal do Defender suporta várias áreas de trabalho, com uma área de trabalho a funcionar como a área de trabalho principal por inquilino. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender e Microsoft Defender gestão multi-inquilino.
Instalar uma solução a partir do hub de conteúdos
O hub de conteúdos no Microsoft Sentinel é a localização centralizada para detetar e gerir conteúdo inicial, incluindo conectores de dados. Para este início rápido, instale a solução para a Atividade Azure.
No Microsoft Sentinel, navegue para a página Hub de conteúdos e localize e selecione a solução atividade Azure.
No painel de detalhes da solução no lado, selecione Instalar.
Configurar o conector de dados
Microsoft Sentinel ingere dados de serviços e aplicações ao ligar ao serviço e reencaminhar os eventos e registos para Microsoft Sentinel. Neste início rápido, instale o conector de dados para reencaminhar dados para a Atividade Azure para Microsoft Sentinel.
No Microsoft Sentinel, selecioneConectores de Dados de Configuração> e procure e selecione o conector Azure Dados de atividade.
No painel de detalhes do conector, selecione Abrir página do conector. Utilize as instruções na página do conector atividade do Azure para configurar o conector de dados.
Selecione Iniciar Azure Policy Assistente de Atribuições.
No separador Informações Básicas, defina o Âmbito para a subscrição e o grupo de recursos que tem atividade a enviar para Microsoft Sentinel. Por exemplo, selecione a subscrição que contém a sua instância de Microsoft Sentinel.
Selecione o separador Parâmetros e defina a área de trabalho Do Log Analytics Principal. Esta deve ser a área de trabalho onde Microsoft Sentinel está instalada.
Selecione Rever + criar e Criar.
Gerar dados de atividade
Vamos gerar alguns dados de atividade ao ativar uma regra que foi incluída na solução atividade do Azure para Microsoft Sentinel. Este passo também mostra como gerir conteúdos no hub de conteúdos.
No Microsoft Sentinel, selecione Hub de conteúdos e procure e selecione Modelo de regra de implementação de Recursos Suspeitos na solução atividade do Azure.
No painel de detalhes, selecione Criar regra para criar uma nova regra com o Assistente de regras de análise.
No assistente de regras de Análise – criar uma nova página regra agendada , altere o Estado para Ativado.
Neste separador e em todos os outros separadores do assistente, deixe os valores predefinidos tal como estão.
No separador Rever e criar , selecione Criar.
Ver dados ingeridos em Microsoft Sentinel
Agora que ativou o conector de dados da Atividade do Azure e gerou alguns dados de atividade, vamos ver os dados de atividade adicionados à área de trabalho.
No Microsoft Sentinel, selecioneConectores de Dados de Configuração> e procure e selecione o conector Azure Dados de atividade.
No painel de detalhes do conector, selecione Abrir página do conector.
Reveja o Estado do conector de dados. Deve ser Ligado.
Selecione um separador para continuar, consoante o portal que estiver a utilizar:
Selecione Ir para o Log Analytics para abrir a página Investigação avançada .
Na parte superior do painel, junto ao separador Nova consulta , selecione o + separador para adicionar uma nova consulta.
Execute a seguinte consulta para ver a data de atividade ingerida na área de trabalho:
AzureActivity
Por exemplo:
Próximas etapas
Neste início rápido, ativou Microsoft Sentinel e instalou uma solução a partir do hub de conteúdos. Em seguida, configure um conector de dados para começar a ingerir dados no Microsoft Sentinel. Também verificou que os dados estão a ser ingeridos ao ver os dados na área de trabalho.
Se for um novo cliente que foi automaticamente integrado no portal do Defender, os seus utilizadores acederão apenas a Microsoft Sentinel no portal do Defender. À medida que utiliza a documentação do Microsoft Sentinel, certifique-se de que seleciona a versão do portal do Defender da documentação.
- Para visualizar os dados que recolheu com os dashboards e livros, veja Visualizar dados recolhidos.
- Para detetar ameaças através de regras de análise, veja Tutorial: Detetar ameaças através de regras de análise no Microsoft Sentinel.