Ligar Microsoft Sentinel ao portal do Microsoft Defender

Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, com ou sem Microsoft Defender XDR ou uma licença E5. Ao utilizar Microsoft Sentinel no portal do Defender juntamente com os serviços Microsoft Defender XDR, unifica capacidades como a gestão de incidentes e a investigação avançada. Reduza a mudança de ferramentas e crie uma investigação mais focada no contexto que agilize a resposta a incidentes e pare as falhas mais rapidamente.

Este artigo é relevante para clientes cujas áreas de trabalho Microsoft Sentinel ainda não estão ligadas ao portal do Defender. Em muitos casos, os clientes que integram o Microsoft Sentinel após 1 de julho de 2025 são automaticamente integrados no portal do Defender.

Para saber mais, confira:

• O que são operações de segurança unificadas?
• Microsoft Sentinel no portal do Microsoft Defender
• Microsoft Defender XDR integração com Microsoft Sentinel

Pré-requisitos

Antes de começar, reveja a documentação da funcionalidade para compreender as alterações e limitações do produto.

• Microsoft Sentinel no portal do Microsoft Defender
• Busca avançada no portal do Microsoft Defender
• Alertas, incidentes e correlação no Microsoft Defender XDR
• Microsoft Sentinel automatização no portal do Defender

O portal Microsoft Defender suporta um único inquilino Microsoft Entra e a ligação a uma área de trabalho primária e a várias áreas de trabalho secundárias. Se tiver apenas uma área de trabalho quando integrar Microsoft Sentinel, essa área de trabalho é designada como a área de trabalho principal. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender. No contexto deste artigo, uma área de trabalho é uma área de trabalho do Log Analytics com Microsoft Sentinel ativada.

pré-requisitos do Microsoft Sentinel

Para integrar e utilizar Microsoft Sentinel no portal do Defender, tem de ter os seguintes recursos e acesso:

• Uma área de trabalho do Log Analytics que tem Microsoft Sentinel ativada

• Uma conta do Azure com as funções adequadas para integrar, utilizar e criar pedidos de suporte para Microsoft Sentinel no portal do Defender. Não verá áreas de trabalho no portal do Defender para integrar, onde não tem as permissões necessárias. A tabela seguinte realça algumas das principais funções necessárias.

  Tarefa	Microsoft Entra ou função incorporada do Azure necessária	Escopo
  Integrar Microsoft Sentinel no portal do Defender	Um dos seguintes Microsoft Entra ID: - Proprietário da subscrição Administrador global AND - Administrador de segurançaProprietário da subscrição AND - Administrador global E Administrador de Acesso de Utilizador e Contribuidorde Microsoft Sentinel - Administrador de segurançaE Administrador de Acesso de Utilizadores E Contribuidor de Microsoft Sentinel	Tenant
  Ligar ou desligar uma área de trabalho secundária	Uma das seguintes opções: - Proprietário da subscrição Administrador global AND - Administrador de segurançaProprietário da subscrição AND - Administrador global E Administrador de Acesso de Utilizador e Contribuidorde Microsoft Sentinel - Administrador de segurançaE Administrador de Acesso de Utilizadores E Contribuidor de Microsoft Sentinel - Proprietário da Subscrição - Administrador de Acesso de UtilizadoresContribuidor do AND Microsoft Sentinel	– Funções de Proprietário da Subscrição ou Administrador de Acesso de Utilizadores – Subscrição, grupo de recursos ou recurso de área de trabalho para Microsoft Sentinel Contribuidor
  Alterar a área de trabalho primária	Administrador global ou administrador de segurança no Microsoft Entra ID	Tenant
  Ver Microsoft Sentinel no portal do Defender	Microsoft Sentinel Reader	Subscrição, grupo de recursos ou recurso de área de trabalho
  Consultar Microsoft Sentinel tabelas de dados ou ver incidentes	Microsoft Sentinel Leitor ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Subscrição, grupo de recursos ou recurso de área de trabalho
  Tomar medidas de investigação sobre incidentes	Microsoft Sentinel Contribuidor ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Subscrição, grupo de recursos ou recurso de área de trabalho
  Criar uma solicitação de suporte	Proprietário, Contribuidor ou Pedido de suporte contribuidor ou uma função personalizada com Microsoft.Support/*	Assinatura

  Depois de ligar Microsoft Sentinel ao portal do Defender, as permissões de controlo de acesso baseado em funções (RBAC) do Azure existentes permitem-lhe trabalhar com as funcionalidades Microsoft Sentinel às quais tem acesso. Continue a gerir funções e permissões para os utilizadores Microsoft Sentinel a partir do portal do Azure, uma vez que quaisquer alterações de RBAC do Azure são refletidas no portal do Defender.

  Para obter mais informações, veja Funções e permissões no Microsoft Sentinel e Gerir o acesso ao Microsoft Sentinel dados por recurso.

  Importante

  A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Pré-requisitos das operações de segurança unificadas

Para unificar Microsoft Defender XDR e Microsoft Sentinel operações de segurança no portal do Defender, tem de ter os seguintes recursos e acesso:

• Licenciamento para Defender XDR, conforme descrito nos pré-requisitos do Microsoft Defender XDR
• A conta de Defender XDR é um membro do mesmo inquilino Microsoft Entra ao qual está associado Microsoft Sentinel
• Acesso a Microsoft Defender XDR no portal do Defender, conforme descrito em Microsoft Defender XDR pré-requisitos

Se aplicável, preencha estes pré-requisitos:

Serviço	Pré-requisito
Gerenciamento de Risco Interno do Microsoft Purview	Se a sua organização utilizar Gerenciamento de Risco Interno do Microsoft Purview, integre esses dados ao ativar o conector de dados Microsoft 365 Insider Risk Management na sua área de trabalho principal para Microsoft Sentinel. Desative esse conector em quaisquer áreas de trabalho secundárias para Microsoft Sentinel que planeie integrar no portal do Defender. - Instale a solução Gerenciamento de Risco Interno do Microsoft Purview a partir do Hub de conteúdos na área de trabalho principal. - Configurar o conector de dados. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.
Microsoft Defender para Nuvem	Para transmitir em fluxo incidentes do Defender para a Cloud que estão correlacionados em todas as subscrições do inquilino para a área de trabalho primária para Microsoft Sentinel: - Ligue o conector de dados Microsoft Defender baseado no inquilino para Cloud (Pré-visualização) na área de trabalho principal. - Desligue o conector de alertas do Microsoft Defender baseado na subscrição para a Cloud (Legado) de todas as áreas de trabalho no inquilino. Se não quiser transmitir dados de inquilino correlacionados do Defender para a Cloud para a área de trabalho principal, continue a utilizar o conector Microsoft Defender baseado na subscrição para a Cloud (Legado) nas áreas de trabalho. Para obter mais informações, veja Ingerir Microsoft Defender para incidentes na Cloud com Microsoft Defender XDR integração.

Integrar Microsoft Sentinel

Para ligar uma área de trabalho Microsoft Sentinel ao portal do Defender, conclua os seguintes passos. Se estiver a integrar Microsoft Sentinel sem Defender XDR, existe um passo adicional para acionar a ligação com o portal do Microsoft Sentinel e do Defender.

1. Aceda ao portal Microsoft Defender e inicie sessão.
2. Para integrar Microsoft Sentinel sem Defender XDR no portal do Defender:
   1. Para acionar a ligação com Microsoft Sentinel, selecione Investigação & resposta>Incidentes.
   2. Aguarde alguns minutos para que a ligação seja concluída.
3. No portal do Defender, selecione Descrição geral.
4. Selecione Ligar uma área de trabalho.
5. Selecione as áreas de trabalho que pretende ligar e selecione Seguinte.
6. Selecione a área de trabalho Principal.
7. Leia e compreenda as alterações ao produto associadas à ligação da área de trabalho.
8. Selecione Conectar.

Depois de a área de trabalho estar ligada, a faixa na página Descrição geral mostra que o ambiente está pronto. A página Descrição geral é atualizada com novas secções que incluem métricas de Microsoft Sentinel como o número de conectores de dados e regras de automatização.

Explorar Microsoft Sentinel funcionalidades no portal do Defender

Depois de ligar a área de trabalho ao portal do Defender, Microsoft Sentinel está no painel de navegação do lado esquerdo. Se tiver Defender XDR ativado, páginas como Descrição Geral, Incidentes e Investigação Avançada têm dados unificados da área de trabalho primária para Microsoft Sentinel e Defender XDR. Se não tiver Defender XDR ativado, estas páginas incluem apenas dados de Microsoft Sentinel. Para obter mais informações sobre as capacidades unificadas e as diferenças entre portais, veja Microsoft Sentinel no portal do Microsoft Defender.

Muitas das funcionalidades de Microsoft Sentinel existentes estão integradas no portal do Defender. Para estas funcionalidades, tenha em atenção que a experiência entre Microsoft Sentinel no portal do portal do Azure e do Defender é semelhante. Utilize os seguintes artigos para o ajudar a começar a trabalhar com Microsoft Sentinel no portal do Defender. Ao utilizar estes artigos, tenha em atenção que o ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.

• Pesquisar
  • Procurar em intervalos de tempo longos em grandes conjuntos de dados
  • Restaurar registos arquivados a partir da pesquisa
• Gerenciamento de ameaças
  • Visualizar e monitorizar os seus dados com livros
  • Conduzir investigação de ameaças ponto a ponto com Hunts
  • Utilizar marcadores de investigação para investigações de dados
  • Utilizar a caça ao Livestream no Microsoft Sentinel para detetar ameaças
  • Investigar ameaças de segurança com blocos de notas do Jupyter
  • Adicionar indicadores em massa para Microsoft Sentinel informações sobre ameaças a partir de um ficheiro CSV ou JSON
  • Trabalhar com indicadores de ameaças no Microsoft Sentinel
  • Compreender a cobertura de segurança pela arquitetura MITRE ATT&CK
• Gerenciamento de conteúdo
  • Detetar e gerir Microsoft Sentinel conteúdo inicial
  • Microsoft Sentinel catálogo do hub de conteúdos
  • Implementar conteúdo personalizado a partir do seu repositório
• Configuração
  • Localizar o conector de dados Microsoft Sentinel
  • Criar regras de análise personalizadas para detetar ameaças
  • Trabalhar com regras de análise de deteção quase em tempo real (NRT) no Microsoft Sentinel
  • Criar listas de observação
  • Gerir listas de observação no Microsoft Sentinel
  • Criar regras de automatização
  • Criar e personalizar Microsoft Sentinel manuais de procedimentos a partir de modelos de conteúdo

Localize Microsoft Sentinel definições no portal do Defender emDefinições> do Sistema>Microsoft Sentinel.

Alterar a área de trabalho primária

Só pode ter uma área de trabalho principal ligada ao portal do Defender de cada vez. No entanto, pode alterar a área de trabalho principal.

1. No portal do Defender, aceda aDefinições> do Sistema>Microsoft Sentinel>Workspaces.
2. Selecione o nome da área de trabalho que pretende tornar primária.
3. Selecione Definir como principal.
4. Leia e compreenda as alterações do produto associadas à alteração da área de trabalho primária.
5. Selecione Confirmar e continue.

Quando muda a área de trabalho primária para Microsoft Sentinel, o conector Defender XDR é ligado ao novo principal e desligado automaticamente do antigo. Para obter mais informações, veja Várias áreas de trabalho Microsoft Sentinel no portal do Defender.

Microsoft Sentinel offboard

Se decidir remover uma área de trabalho do portal do Defender, desligue a área de trabalho das definições do Microsoft Sentinel.

1. Aceda ao portal Microsoft Defender e inicie sessão.

2. No portal do Defender, em Sistema, selecione Definições>Microsoft Sentinel.

3. Na página Áreas de trabalho , selecione a área de trabalho ligada e Desligar área de trabalho.

4. Indique um motivo pelo qual está a desligar a área de trabalho.

5. Confirme a sua seleção.

   Quando a área de trabalho estiver desligada, a secção Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados de Microsoft Sentinel já não estão incluídos na página Descrição geral.

Se quiser ligar a uma área de trabalho diferente, na página Áreas de trabalho , selecione a área de trabalho e Ligar uma área de trabalho.

Conteúdo relacionado

• Microsoft Sentinel no portal do Microsoft Defender
• Busca avançada no portal do Microsoft Defender
• Interrupção automática de ataques no Microsoft Defender XDR
• Investigar incidentes no portal do Microsoft Defender
• Otimizar as operações de segurança