Início Rápido: Integrar o Microsoft Sentinel
Neste início rápido, você habilitará o Microsoft Sentinel e instalará uma solução do hub de conteúdo. Em seguida, você configurará um conector de dados para começar a ingerir dados no Microsoft Sentinel.
O Microsoft Sentinel vem com muitos conectores de dados para produtos Microsoft, como o conector de serviço a serviço Microsoft Defender XDR. Você também pode habilitar conectores internos para produtos que não sejam da Microsoft, como Syslog ou CEF (Common Event Format). Para este início rápido, você usará o conector de dados de Atividade do Azure disponível na solução de Atividade do Azure para Microsoft Sentinel.
Para integrar ao Microsoft Sentinel usando a API, consulte a versão mais recente com suporte do Sentinel Onboarding States.
Pré-requisitos
Subscrição Ativa do Azure. Se não tiver uma, crie uma conta gratuita antes de começar.
Espaço de trabalho do Log Analytics. Saiba como criar um espaço de trabalho do Log Analytics. Para obter mais informações sobre espaços de trabalho do Log Analytics, consulte Projetando sua implantação do Azure Monitor Logs.
Você pode ter um padrão de retenção de 30 dias no espaço de trabalho do Log Analytics usado para o Microsoft Sentinel. Para se certificar de que pode utilizar todas as funcionalidades e funcionalidades do Microsoft Sentinel, aumente a retenção para 90 dias. Configure políticas de retenção e arquivamento de dados nos Logs do Azure Monitor.
Permissões:
Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel reside.
Para usar o Microsoft Sentinel, você precisa de permissões do Microsoft Sentinel Contributor ou do Microsoft Sentinel Reader no grupo de recursos ao qual o espaço de trabalho pertence.
Para instalar ou gerenciar soluções no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no grupo de recursos ao qual o espaço de trabalho pertence.
O Microsoft Sentinel é um serviço pago. Analise as opções de preços e a página de preços do Microsoft Sentinel.
Antes de implantar o Microsoft Sentinel em um ambiente de produção, revise as atividades de pré-implantação e os pré-requisitos para implantar o Microsoft Sentinel.
Ativar o Microsoft Sentinel
Para começar, adicione o Microsoft Sentinel a um espaço de trabalho existente ou crie um novo.
Inicie sessão no portal do Azure.
Procure e selecione Microsoft Sentinel.
Selecione Criar.
Selecione o espaço de trabalho que deseja usar ou crie um novo. Você pode executar o Microsoft Sentinel em mais de um espaço de trabalho, mas os dados são isolados em um único espaço de trabalho.
- Os espaços de trabalho padrão criados pelo Microsoft Defender for Cloud não são mostrados na lista. Não é possível instalar o Microsoft Sentinel nesses espaços de trabalho.
- Uma vez implantado em um espaço de trabalho, o Microsoft Sentinel não oferece suporte à movimentação desse espaço de trabalho para outro grupo de recursos ou assinatura.
Selecione Adicionar.
Instalar uma solução a partir do hub de conteúdo
O hub de conteúdo no Microsoft Sentinel é o local centralizado para descobrir e gerenciar conteúdo pronto para uso, incluindo conectores de dados. Para este início rápido, instale a solução para a Atividade do Azure.
No Microsoft Sentinel, selecione Hub de conteúdo.
Localize e selecione a solução Azure Activity .
Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.
Configurar o conector de dados
O Microsoft Sentinel ingere dados de serviços e aplicativos conectando-se ao serviço e encaminhando os eventos e logs para o Microsoft Sentinel. Para este início rápido, instale o conector de dados para encaminhar dados da Atividade do Azure para o Microsoft Sentinel.
No Microsoft Sentinel, selecione Conectores de dados.
Procure e selecione o conector de dados da Atividade do Azure.
No painel de detalhes do conector, selecione Abrir página do conector.
Revise as instruções para configurar o conector.
Selecione Iniciar o Assistente de Atribuição de Políticas do Azure.
Na guia Noções básicas, defina o Escopo como o grupo de assinaturas e recursos que tem atividade para enviar ao Microsoft Sentinel. Por exemplo, selecione a assinatura que contém sua instância do Microsoft Sentinel.
Selecione o separador Parâmetros.
Defina o espaço de trabalho do Primary Log Analytics. Este deve ser o espaço de trabalho onde o Microsoft Sentinel está instalado.
Selecione Rever + criar e Criar.
Gerar dados de atividade
Vamos gerar alguns dados de atividade habilitando uma regra que foi incluída na solução de Atividade do Azure para Microsoft Sentinel. Esta etapa também mostra como gerenciar conteúdo no hub de conteúdo.
No Microsoft Sentinel, selecione Hub de conteúdo.
Localize e selecione a solução Azure Activity .
No painel do lado direito, selecione Gerenciar.
Localize e selecione o modelo de regra Implantação de recursos suspeitos.
Selecione Configuração.
Selecione a regra e Criar regra.
Na guia Geral, altere o Status para habilitado. Deixe o restante dos valores padrão.
Aceite os padrões nas outras guias.
Na guia Revisar e criar, selecione Criar.
Ver dados ingeridos no Microsoft Sentinel
Agora que você habilitou o conector de dados de atividade do Azure e gerou alguns dados de atividade, vamos exibir os dados de atividade adicionados ao espaço de trabalho.
No Microsoft Sentinel, selecione Conectores de dados.
Procure e selecione o conector de dados da Atividade do Azure.
No painel de detalhes do conector, selecione Abrir página do conector.
Revise o status do conector de dados. Deve estar ligado.
No painel do lado esquerdo acima do gráfico, selecione Ir para a análise de log.
Na parte superior do painel, ao lado da guia Nova consulta 1 , selecione a + guia para adicionar uma nova consulta.
No painel de consulta, execute a seguinte consulta para exibir a data da atividade ingerida no espaço de trabalho.
AzureActivity
Próximos passos
Neste início rápido, você habilitou o Microsoft Sentinel e instalou uma solução do hub de conteúdo. Em seguida, você configura um conector de dados para começar a ingerir dados no Microsoft Sentinel. Você também verificou que os dados estão sendo ingeridos exibindo os dados no espaço de trabalho.
- Para visualizar os dados coletados usando os painéis e pastas de trabalho, consulte Visualizar dados coletados.
- Para detetar ameaças usando regras de análise, consulte Tutorial: Detetar ameaças usando regras de análise no Microsoft Sentinel.