Início Rápido: integrar o Microsoft Sentinel

Neste início rápido, você habilitará o Microsoft Sentinel e instalará uma solução a partir do hub de conteúdo. Em seguida, você configurará um conector de dados para começar a ingerir dados no Microsoft Sentinel.

O Microsoft Sentinel oferece muitos conectores de dados para produtos Microsoft, como o conector de serviço a serviço do Microsoft Defender XDR. Você também pode habilitar conectores internos para produtos que não sejam da Microsoft, como Syslog ou CEF (Formato Comum de Evento). Para este início rápido, você usará o conector de dados do Atividade do Azure disponível na solução Atividade do Azure para o Microsoft Sentinel.

Pré-requisitos

• Assinatura ativa do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.

• Espaço de Trabalho do Log Analytics. Saiba como criar um espaço de trabalho do Log Analytics. Para saber mais sobre workspaces do Log Analytics, confira Criar sua implantação de logs do Azure Monitor.

  Você pode ter um padrão de retenção de 30 dias no workspace do Log Analytics usado no Microsoft Azure Sentinel. Para garantir que você possa usar todas as funcionalidades e recursos do Microsoft Sentinel, aumente a retenção para 90 dias. Configurar políticas de arquivamento e retenção de dados em logs do Azure Monitor.

• Permissões:

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador na assinatura em que o workspace do Microsoft Sentinel está.

  • Para usar o Microsoft Sentinel, são necessárias permissões do Colaborador do Microsoft Sentinel ou do Leitor do Microsoft Sentinel no grupo de recursos ao qual o workspace pertence.

  • Para instalar ou gerenciar soluções no hub de conteúdo, é necessária a função Colaborador do Microsoft Sentinel no grupo de recursos ao qual o workspace pertence.

• O Microsoft Sentinel é um serviço pago. Examine as opções de preço e a página de preços do Microsoft Sentinel.

• Antes de implantar o Microsoft Sentinel em um ambiente de produção, revise as atividades de pré-implantação e os pré-requisitos para a implantação do Microsoft Sentinel.

Habilitar Microsoft Sentinel

Para começar, adicione o Microsoft Sentinel a um workspace existente ou crie um novo.

1. Entre no portal do Azure.

2. Pesquise pelo Microsoft Sentinel e selecione-o.

   

3. Selecione Criar.

4. Selecione o workspace que você quer usar ou crie um novo. Você pode executar o Microsoft Sentinel em mais de um workspace, mas os dados são isolados em um só workspace.

   

   • Os workspaces padrão criados pelo Microsoft Defender para Nuvem não são mostrados na lista. Não é possível instalar o Microsoft Sentinel nesses workspaces.
   • Depois de implantado em um espaço de trabalho, o Microsoft Sentinel não oferece suporte à movimentação desse espaço de trabalho para outro grupo de recursos ou assinatura.

5. Selecione Adicionar.

Como alternativa ao uso do portal, você pode integrar o Microsoft Sentinel usando uma solicitação de API, chamando a API ARM OnboardingStates.

Instalar uma solução a partir do hub de conteúdo

O hub de conteúdo no Microsoft Sentinel é o local centralizado para descobrir e gerenciar conteúdo pronto para uso, incluindo conectores de dados. Para este início rápido, instale a solução para a Atividade do Azure.

1. No Microsoft Sentinel, selecione Hub de conteúdo.

2. Localize e selecione a solução Atividade do Azure.

   

3. Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.

Configurar o conector de dados

O Microsoft Sentinel ingere dados de serviços e aplicativos conectando-se ao serviço e encaminhando os eventos e logs ao Microsoft Sentinel. Para este início rápido, instale o conector de dados para encaminhar dados da Atividade do Azure para o Microsoft Sentinel.

1. No Microsoft Sentinel, selecione Conectores de dados.

2. Procure e selecione o conector de dados da Atividade do Azure.

3. No painel de detalhes, selecione Abrir página do conector.

4. Revise as instruções para configurar o conector.

5. Selecione Iniciar o assistente de Atribuição do Azure Policy.

6. Na guia Básico, defina o Escopo para a assinatura e o grupo de recursos que tem atividade a ser enviada ao Microsoft Sentinel. Por exemplo, selecione a assinatura que contém a instância do Microsoft Sentinel.

7. Selecione a guia Parâmetros .

8. Defina o workspace do Log Analytics primário. Ele deve ser o workspace em que o Microsoft Sentinel está instalado.

9. Selecione Examinar + criar e Criar.

Gerar dados de atividade

Vamos gerar alguns dados de atividade habilitando uma regra que foi incluída na solução Atividade do Azure para o Microsoft Sentinel. Essa etapa também mostra como gerenciar o conteúdo no hub de conteúdo.

1. No Microsoft Sentinel, selecione Hub de conteúdo.

2. Localize e selecione a solução Atividade do Azure.

3. No painel do lado direito, selecione Gerenciar.

4. Localize e selecione o modelo de regra Implantação de Recurso Suspeito.

5. Selecione Configuração.

6. Selecione a regra e clique em Criar regra.

7. Na guia Geral, altere o Status para habilitado. Deixe os valores restantes com as definições padrão.

8. Aceite os padrões nas outras guias.

9. Na guia Revisar e criar, selecione Criar.

Exibir dados ingeridos no Microsoft Sentinel

Agora que você habilitou o conector de dados da Atividade do Azure e gerou alguns dados de atividade, exibiremos os dados de atividade adicionados ao workspace.

1. No Microsoft Sentinel, selecione Conectores de dados.

2. Procure e selecione o conector de dados da Atividade do Azure.

3. No painel de detalhes, selecione Abrir página do conector.

4. Revise o Status do conector de dados. Ele deve estar Conectado.

   

5. No painel do lado esquerdo, acima do gráfico, selecione Acessar a análise de logs.

6. Na parte superior do painel, ao lado da guia Nova consulta 1, selecione + para adicionar uma nova guia de consulta.

7. No painel de consulta, execute a seguinte consulta para exibir a data da atividade ingerida no workspace.

    AzureActivity
   

   

Próximas etapas

Neste início rápido, você habilitou o Microsoft Sentinel e instalou uma solução do hub de conteúdo. Em seguida, configurou um conector de dados para começar a ingerir dados no Microsoft Sentinel. Você também verificou que os dados estão sendo ingeridos exibindo os dados no workspace.

• Para exibir os dados que você coletou usando os painéis e as pastas de trabalho, confira Exibir dados coletados.
• Para detectar ameaças usando regras de análise, confira Tutorial: Detectar ameaças usando regras de análise no Microsoft Sentinel.