Conecte o Microsoft Sentinel ao Microsoft Defender XDR (versão prévia)

• Aplica-se a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Ao integrar o Microsoft Sentinel ao portal Microsoft Defender, você unifica recursos com Microsoft Defender XDR como gerenciamento de incidentes e caça avançada. Reduza a comutação de ferramentas e crie uma investigação mais focada em contexto que agilize a resposta a incidentes e pare as violações mais rapidamente. Para saber mais, veja:

• Microsoft Sentinel no portal Microsoft Defender
• Plataforma de operações de segurança unificada com o Microsoft Sentinel e Defender XDR

Importante

As informações neste artigo referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Pré-requisitos

Antes de começar, examine a documentação do recurso para entender as alterações e limitações do produto:

• Microsoft Sentinel no portal Microsoft Defender
• Busca avançada no portal do Microsoft Defender
• Automação com a plataforma de operações de segurança unificadas

O portal Microsoft Defender dá suporte a um único locatário Microsoft Entra e à conexão com um workspace por vez. No contexto deste artigo, um workspace é um workspace do Log Analytics com o Microsoft Sentinel habilitado.

Para integrar e usar o Microsoft Sentinel no portal Microsoft Defender, você deve ter os seguintes recursos e acesso:

• Um workspace do Log Analytics que tem o Microsoft Sentinel habilitado

• O conector de dados para Microsoft Defender XDR (anteriormente chamado microsoft 365 Defender) habilitado no Microsoft Sentinel para incidentes e alertas

• Acesso a Microsoft Defender XDR no portal do Defender

• Microsoft Defender XDR integrado ao locatário do Microsoft Entra

• Uma conta do Azure com as funções apropriadas para integrar, usar e criar solicitações de suporte para o Microsoft Sentinel no portal do Defender. A tabela a seguir destaca algumas das principais funções necessárias.

  Tarefa	Função interna do Azure necessária	Escopo
  Conectar ou desconectar um workspace com o Microsoft Sentinel habilitado	Proprietário ou Administrador de Acesso do Usuário e Colaborador do Microsoft Sentinel	– Assinatura para funções de Administrador de Acesso ao Usuário ou Proprietário – Assinatura, grupo de recursos ou recurso de workspace para Colaborador do Microsoft Sentinel
  Exibir o Microsoft Sentinel no portal do Defender	Leitor do Microsoft Sentinel	Assinatura, grupo de recursos ou recurso de workspace
  Consultar tabelas de dados do Sentinel ou exibir incidentes	Leitor do Microsoft Sentinel ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Assinatura, grupo de recursos ou recurso de workspace
  Tomar ações investigativas sobre incidentes	Colaborador do Microsoft Sentinel ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.. SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Assinatura, grupo de recursos ou recurso de workspace
  Criar uma solicitação de suporte	Proprietário ou colaborador ou solicitação de suporte contribuidor ou uma função personalizada com Microsoft.Support/*	Assinatura

  Depois de conectar o Microsoft Sentinel ao portal do Defender, as permissões de RBAC (controle de acesso baseado em função) existentes do Azure permitem que você trabalhe com os recursos do Microsoft Sentinel aos quais você tem acesso. Continue gerenciando funções e permissões para seus usuários do Microsoft Sentinel do portal do Azure. Todas as alterações do RBAC do Azure são refletidas no portal do Defender. Para obter mais informações sobre as permissões do Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel | Microsoft Learn e Gerenciar acesso aos dados do Microsoft Sentinel por recurso | Microsoft Learn.

Integrar o Microsoft Sentinel

Para conectar um workspace que tenha o Microsoft Sentinel habilitado para Defender XDR, conclua as seguintes etapas:

1. Acesse o portal do Microsoft Defender e entre.

2. Em Microsoft Defender XDR, selecione Visão geral.

3. Selecione Conectar um workspace.

4. Escolha o workspace que você deseja conectar e selecione Avançar.

5. Leia e entenda as alterações de produto associadas à conexão do workspace. Essas alterações incluem:

   • Tabelas de log, consultas e funções no workspace do Microsoft Sentinel também estão disponíveis na busca avançada em Defender XDR.
   • A função Colaborador do Microsoft Sentinel é atribuída aos aplicativos Microsoft Threat Protection e WindowsDefenderATP na assinatura.
   • As regras de criação de incidentes de segurança da Microsoft ativa são desativadas para evitar incidentes duplicados. Essa alteração só se aplica às regras de criação de incidentes para alertas da Microsoft e não a outras regras de análise.
   • Todos os alertas relacionados a Defender XDR produtos são transmitidos diretamente do conector de dados main Defender XDR para garantir a consistência. Verifique se você tem incidentes e alertas desse conector ativados no workspace.

6. Selecione Conectar.

Depois que o workspace estiver conectado, o banner na página Visão geral mostra que o SIEM (gerenciamento unificado de eventos e informações de segurança) e a detecção e resposta estendidas (XDR) estão prontos. A página Visão geral é atualizada com novas seções que incluem métricas do Microsoft Sentinel, como o número de conectores de dados e regras de automação.

Explorar recursos do Microsoft Sentinel no portal do Defender

Depois de conectar seu workspace ao portal do Defender, o Microsoft Sentinel estará no painel de navegação do lado esquerdo. Páginas como Visão Geral, Incidentes e Caça Avançada têm dados unificados do Microsoft Sentinel e Defender XDR. Para obter mais informações sobre os recursos unificados e as diferenças entre os portais, consulte Microsoft Sentinel no portal Microsoft Defender.

Muitos dos recursos existentes do Microsoft Sentinel são integrados ao portal do Defender. Para esses recursos, observe que a experiência entre o Microsoft Sentinel no portal do Azure e o portal do Defender é semelhante. Use os artigos a seguir para ajudar você a começar a trabalhar com o Microsoft Sentinel no portal do Defender. Ao usar esses artigos, tenha em mente que seu ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.

• Pesquisar
  • Pesquisa em longos períodos de tempo em grandes conjuntos de dados
  • Restaurar logs arquivados da pesquisa
• Gerenciamento de ameaças
  • Visualizar e monitorar seus dados usando pastas de trabalho
  • Realizar caça de ameaças de ponta a ponta com Hunts
  • Usar indicadores de caça para investigações de dados
  • Usar o Livestream de caça no Microsoft Sentinel para detectar ameaças
  • Procurar ameaças de segurança com notebooks Jupyter
  • Adicionar indicadores em massa à inteligência contra ameaças do Microsoft Sentinel de um arquivo CSV ou JSON
  • Trabalhar com indicadores de ameaça no Microsoft Sentinel
  • Entender a cobertura de segurança pela estrutura do MITRE ATT&CK
• Gerenciamento de conteúdo
  • Descobrir e gerenciar o conteúdo fora da caixa do Microsoft Sentinel
  • Catálogo do hub de conteúdo do Microsoft Sentinel
  • Implantar conteúdo personalizado em seu repositório
• Configuração
  • Localizar seu conector de dados do Microsoft Sentinel
  • Create regras de análise personalizadas para detectar ameaças
  • Trabalhar com regras de análise de detecção de NRT (quase em tempo real) no Microsoft Sentinel
  • Create watchlists
  • Gerenciar listas de observação no Microsoft Sentinel
  • Create regras de automação
  • Create e personalizar guias estratégicos do Microsoft Sentinel a partir de modelos de conteúdo

Localize as configurações do Microsoft Sentinel no portal do Defender emConfigurações do>Sistema>Microsoft Sentinel.

Offboard Microsoft Sentinel

Você só pode ter um workspace conectado ao portal do Defender por vez. Se você quiser se conectar a um workspace diferente que tenha o Microsoft Sentinel habilitado, desconecte o workspace atual e conecte o outro workspace.

1. Acesse o portal do Microsoft Defender e entre.

2. No portal do Defender, em Sistema, selecione Configurações>Microsoft Sentinel.

3. Na página Workspaces , selecione o workspace conectado e Desconecte o workspace.

4. Confirme sua seleção.

   Quando o workspace é desconectado, a seção do Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados do Microsoft Sentinel não estão mais incluídos na página Visão geral.

Se você quiser se conectar a um workspace diferente, na página Workspaces , selecione o workspace e Conecte um workspace.

Conteúdo relacionado

• Microsoft Sentinel no portal Microsoft Defender
• Busca avançada no portal do Microsoft Defender
• Interrupção automática de ataque no Microsoft Defender XDR
• Investigar incidentes em Microsoft Defender XDR