Conecte o Microsoft Sentinel ao Microsoft Defender XDR (versão prévia)
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Ao integrar o Microsoft Sentinel ao portal Microsoft Defender, você unifica recursos com Microsoft Defender XDR como gerenciamento de incidentes e caça avançada. Reduza a comutação de ferramentas e crie uma investigação mais focada em contexto que agilize a resposta a incidentes e pare as violações mais rapidamente. Para saber mais, veja:
- Microsoft Sentinel no portal Microsoft Defender
- Plataforma de operações de segurança unificada com o Microsoft Sentinel e Defender XDR
Importante
As informações neste artigo referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Pré-requisitos
Antes de começar, examine a documentação do recurso para entender as alterações e limitações do produto:
- Microsoft Sentinel no portal Microsoft Defender
- Busca avançada no portal do Microsoft Defender
- Automação com a plataforma de operações de segurança unificadas
O portal Microsoft Defender dá suporte a um único locatário Microsoft Entra e à conexão com um workspace por vez. No contexto deste artigo, um workspace é um workspace do Log Analytics com o Microsoft Sentinel habilitado.
Para integrar e usar o Microsoft Sentinel no portal Microsoft Defender, você deve ter os seguintes recursos e acesso:
Um workspace do Log Analytics que tem o Microsoft Sentinel habilitado
O conector de dados para Microsoft Defender XDR (anteriormente chamado microsoft 365 Defender) habilitado no Microsoft Sentinel para incidentes e alertas
Acesso a Microsoft Defender XDR no portal do Defender
Microsoft Defender XDR integrado ao locatário do Microsoft Entra
Uma conta do Azure com as funções apropriadas para integrar, usar e criar solicitações de suporte para o Microsoft Sentinel no portal do Defender. A tabela a seguir destaca algumas das principais funções necessárias.
Tarefa Função interna do Azure necessária Escopo Conectar ou desconectar um workspace com o Microsoft Sentinel habilitado Proprietário ou Administrador de Acesso do Usuário e Colaborador do Microsoft Sentinel – Assinatura para funções de Administrador de Acesso ao Usuário ou Proprietário – Assinatura, grupo de recursos ou recurso de workspace para Colaborador do Microsoft Sentinel Exibir o Microsoft Sentinel no portal do Defender Leitor do Microsoft Sentinel Assinatura, grupo de recursos ou recurso de workspace Consultar tabelas de dados do Sentinel ou exibir incidentes Leitor do Microsoft Sentinel ou uma função com as seguintes ações:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read Assinatura, grupo de recursos ou recurso de workspace Tomar ações investigativas sobre incidentes Colaborador do Microsoft Sentinel ou uma função com as seguintes ações:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.. SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write Assinatura, grupo de recursos ou recurso de workspace Criar uma solicitação de suporte Proprietário ou colaborador ou solicitação de suporte contribuidor ou uma função personalizada com Microsoft.Support/* Assinatura Depois de conectar o Microsoft Sentinel ao portal do Defender, as permissões de RBAC (controle de acesso baseado em função) existentes do Azure permitem que você trabalhe com os recursos do Microsoft Sentinel aos quais você tem acesso. Continue gerenciando funções e permissões para seus usuários do Microsoft Sentinel do portal do Azure. Todas as alterações do RBAC do Azure são refletidas no portal do Defender. Para obter mais informações sobre as permissões do Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel | Microsoft Learn e Gerenciar acesso aos dados do Microsoft Sentinel por recurso | Microsoft Learn.
Integrar o Microsoft Sentinel
Para conectar um workspace que tenha o Microsoft Sentinel habilitado para Defender XDR, conclua as seguintes etapas:
Acesse o portal do Microsoft Defender e entre.
Em Microsoft Defender XDR, selecione Visão geral.
Selecione Conectar um workspace.
Escolha o workspace que você deseja conectar e selecione Avançar.
Leia e entenda as alterações de produto associadas à conexão do workspace. Essas alterações incluem:
- Tabelas de log, consultas e funções no workspace do Microsoft Sentinel também estão disponíveis na busca avançada em Defender XDR.
- A função Colaborador do Microsoft Sentinel é atribuída aos aplicativos Microsoft Threat Protection e WindowsDefenderATP na assinatura.
- As regras de criação de incidentes de segurança da Microsoft ativa são desativadas para evitar incidentes duplicados. Essa alteração só se aplica às regras de criação de incidentes para alertas da Microsoft e não a outras regras de análise.
- Todos os alertas relacionados a Defender XDR produtos são transmitidos diretamente do conector de dados main Defender XDR para garantir a consistência. Verifique se você tem incidentes e alertas desse conector ativados no workspace.
Selecione Conectar.
Depois que o workspace estiver conectado, o banner na página Visão geral mostra que o SIEM (gerenciamento unificado de eventos e informações de segurança) e a detecção e resposta estendidas (XDR) estão prontos. A página Visão geral é atualizada com novas seções que incluem métricas do Microsoft Sentinel, como o número de conectores de dados e regras de automação.
Explorar recursos do Microsoft Sentinel no portal do Defender
Depois de conectar seu workspace ao portal do Defender, o Microsoft Sentinel estará no painel de navegação do lado esquerdo. Páginas como Visão Geral, Incidentes e Caça Avançada têm dados unificados do Microsoft Sentinel e Defender XDR. Para obter mais informações sobre os recursos unificados e as diferenças entre os portais, consulte Microsoft Sentinel no portal Microsoft Defender.
Muitos dos recursos existentes do Microsoft Sentinel são integrados ao portal do Defender. Para esses recursos, observe que a experiência entre o Microsoft Sentinel no portal do Azure e o portal do Defender é semelhante. Use os artigos a seguir para ajudar você a começar a trabalhar com o Microsoft Sentinel no portal do Defender. Ao usar esses artigos, tenha em mente que seu ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.
- Pesquisar
- Gerenciamento de ameaças
- Visualizar e monitorar seus dados usando pastas de trabalho
- Realizar caça de ameaças de ponta a ponta com Hunts
- Usar indicadores de caça para investigações de dados
- Usar o Livestream de caça no Microsoft Sentinel para detectar ameaças
- Procurar ameaças de segurança com notebooks Jupyter
- Adicionar indicadores em massa à inteligência contra ameaças do Microsoft Sentinel de um arquivo CSV ou JSON
- Trabalhar com indicadores de ameaça no Microsoft Sentinel
- Entender a cobertura de segurança pela estrutura do MITRE ATT&CK
- Gerenciamento de conteúdo
- Configuração
- Localizar seu conector de dados do Microsoft Sentinel
- Create regras de análise personalizadas para detectar ameaças
- Trabalhar com regras de análise de detecção de NRT (quase em tempo real) no Microsoft Sentinel
- Create watchlists
- Gerenciar listas de observação no Microsoft Sentinel
- Create regras de automação
- Create e personalizar guias estratégicos do Microsoft Sentinel a partir de modelos de conteúdo
Localize as configurações do Microsoft Sentinel no portal do Defender emConfigurações do>Sistema>Microsoft Sentinel.
Offboard Microsoft Sentinel
Você só pode ter um workspace conectado ao portal do Defender por vez. Se você quiser se conectar a um workspace diferente que tenha o Microsoft Sentinel habilitado, desconecte o workspace atual e conecte o outro workspace.
Acesse o portal do Microsoft Defender e entre.
No portal do Defender, em Sistema, selecione Configurações>Microsoft Sentinel.
Na página Workspaces , selecione o workspace conectado e Desconecte o workspace.
Confirme sua seleção.
Quando o workspace é desconectado, a seção do Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados do Microsoft Sentinel não estão mais incluídos na página Visão geral.
Se você quiser se conectar a um workspace diferente, na página Workspaces , selecione o workspace e Conecte um workspace.
Conteúdo relacionado
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de