Share via


Conecte o Microsoft Sentinel ao Microsoft Defender XDR (versão prévia)

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Ao integrar o Microsoft Sentinel ao portal Microsoft Defender, você unifica recursos com Microsoft Defender XDR como gerenciamento de incidentes e caça avançada. Reduza a comutação de ferramentas e crie uma investigação mais focada em contexto que agilize a resposta a incidentes e pare as violações mais rapidamente. Para saber mais, veja:

Importante

As informações neste artigo referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Pré-requisitos

Antes de começar, examine a documentação do recurso para entender as alterações e limitações do produto:

O portal Microsoft Defender dá suporte a um único locatário Microsoft Entra e à conexão com um workspace por vez. No contexto deste artigo, um workspace é um workspace do Log Analytics com o Microsoft Sentinel habilitado.

Para integrar e usar o Microsoft Sentinel no portal Microsoft Defender, você deve ter os seguintes recursos e acesso:

  • Um workspace do Log Analytics que tem o Microsoft Sentinel habilitado

  • O conector de dados para Microsoft Defender XDR (anteriormente chamado microsoft 365 Defender) habilitado no Microsoft Sentinel para incidentes e alertas

  • Acesso a Microsoft Defender XDR no portal do Defender

  • Microsoft Defender XDR integrado ao locatário do Microsoft Entra

  • Uma conta do Azure com as funções apropriadas para integrar, usar e criar solicitações de suporte para o Microsoft Sentinel no portal do Defender. A tabela a seguir destaca algumas das principais funções necessárias.

    Tarefa Função interna do Azure necessária Escopo
    Conectar ou desconectar um workspace com o Microsoft Sentinel habilitado Proprietário ou
    Administrador de Acesso do Usuário e Colaborador do Microsoft Sentinel
    – Assinatura para funções

    de Administrador de Acesso ao Usuário ou Proprietário – Assinatura, grupo de recursos ou recurso de workspace para Colaborador do Microsoft Sentinel
    Exibir o Microsoft Sentinel no portal do Defender Leitor do Microsoft Sentinel Assinatura, grupo de recursos ou recurso de workspace
    Consultar tabelas de dados do Sentinel ou exibir incidentes Leitor do Microsoft Sentinel ou uma função com as seguintes ações:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    Assinatura, grupo de recursos ou recurso de workspace
    Tomar ações investigativas sobre incidentes Colaborador do Microsoft Sentinel ou uma função com as seguintes ações:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.. SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    Assinatura, grupo de recursos ou recurso de workspace
    Criar uma solicitação de suporte Proprietário ou
    colaborador ou
    solicitação de suporte contribuidor ou uma função personalizada com Microsoft.Support/*
    Assinatura

    Depois de conectar o Microsoft Sentinel ao portal do Defender, as permissões de RBAC (controle de acesso baseado em função) existentes do Azure permitem que você trabalhe com os recursos do Microsoft Sentinel aos quais você tem acesso. Continue gerenciando funções e permissões para seus usuários do Microsoft Sentinel do portal do Azure. Todas as alterações do RBAC do Azure são refletidas no portal do Defender. Para obter mais informações sobre as permissões do Microsoft Sentinel, consulte Funções e permissões no Microsoft Sentinel | Microsoft Learn e Gerenciar acesso aos dados do Microsoft Sentinel por recurso | Microsoft Learn.

Integrar o Microsoft Sentinel

Para conectar um workspace que tenha o Microsoft Sentinel habilitado para Defender XDR, conclua as seguintes etapas:

  1. Acesse o portal do Microsoft Defender e entre.

  2. Em Microsoft Defender XDR, selecione Visão geral.

  3. Selecione Conectar um workspace.

  4. Escolha o workspace que você deseja conectar e selecione Avançar.

  5. Leia e entenda as alterações de produto associadas à conexão do workspace. Essas alterações incluem:

    • Tabelas de log, consultas e funções no workspace do Microsoft Sentinel também estão disponíveis na busca avançada em Defender XDR.
    • A função Colaborador do Microsoft Sentinel é atribuída aos aplicativos Microsoft Threat Protection e WindowsDefenderATP na assinatura.
    • As regras de criação de incidentes de segurança da Microsoft ativa são desativadas para evitar incidentes duplicados. Essa alteração só se aplica às regras de criação de incidentes para alertas da Microsoft e não a outras regras de análise.
    • Todos os alertas relacionados a Defender XDR produtos são transmitidos diretamente do conector de dados main Defender XDR para garantir a consistência. Verifique se você tem incidentes e alertas desse conector ativados no workspace.
  6. Selecione Conectar.

Depois que o workspace estiver conectado, o banner na página Visão geral mostra que o SIEM (gerenciamento unificado de eventos e informações de segurança) e a detecção e resposta estendidas (XDR) estão prontos. A página Visão geral é atualizada com novas seções que incluem métricas do Microsoft Sentinel, como o número de conectores de dados e regras de automação.

Explorar recursos do Microsoft Sentinel no portal do Defender

Depois de conectar seu workspace ao portal do Defender, o Microsoft Sentinel estará no painel de navegação do lado esquerdo. Páginas como Visão Geral, Incidentes e Caça Avançada têm dados unificados do Microsoft Sentinel e Defender XDR. Para obter mais informações sobre os recursos unificados e as diferenças entre os portais, consulte Microsoft Sentinel no portal Microsoft Defender.

Muitos dos recursos existentes do Microsoft Sentinel são integrados ao portal do Defender. Para esses recursos, observe que a experiência entre o Microsoft Sentinel no portal do Azure e o portal do Defender é semelhante. Use os artigos a seguir para ajudar você a começar a trabalhar com o Microsoft Sentinel no portal do Defender. Ao usar esses artigos, tenha em mente que seu ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.

Localize as configurações do Microsoft Sentinel no portal do Defender emConfigurações do>Sistema>Microsoft Sentinel.

Offboard Microsoft Sentinel

Você só pode ter um workspace conectado ao portal do Defender por vez. Se você quiser se conectar a um workspace diferente que tenha o Microsoft Sentinel habilitado, desconecte o workspace atual e conecte o outro workspace.

  1. Acesse o portal do Microsoft Defender e entre.

  2. No portal do Defender, em Sistema, selecione Configurações>Microsoft Sentinel.

  3. Na página Workspaces , selecione o workspace conectado e Desconecte o workspace.

  4. Confirme sua seleção.

    Quando o workspace é desconectado, a seção do Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados do Microsoft Sentinel não estão mais incluídos na página Visão geral.

Se você quiser se conectar a um workspace diferente, na página Workspaces , selecione o workspace e Conecte um workspace.