Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel está disponível no portal do Microsoft Defender com Microsoft Defender XDR ou por conta própria. Proporciona uma experiência unificada em SIEM e XDR para uma deteção e resposta de ameaças mais rápida e precisa, fluxos de trabalho mais simples e melhor eficiência operacional.
Este artigo explica como fazer a transição da sua experiência de Microsoft Sentinel do portal do Azure para o portal do Defender. Se utilizar Microsoft Sentinel no portal do Azure, mude para Microsoft Defender para operações de segurança unificadas e as funcionalidades mais recentes. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender ou veja a nossa lista de reprodução do YouTube.
Nota
A transição para o portal do Defender, mesmo para clientes não E5, não tem custos adicionais para o cliente. O cliente continua a ser faturado como habitualmente pelo consumo apenas em Sentinel.
Pré-requisitos
Antes de começar, tenha em atenção:
Este artigo destina-se a clientes com uma área de trabalho existente ativada para Microsoft Sentinel que pretendem fazer a transição da sua experiência de Microsoft Sentinel para o portal do Defender. Se for um novo cliente que integrou com permissões de um Proprietário de subscrição ou de um Administrador de acesso de utilizador, as áreas de trabalho são automaticamente integradas no portal do Defender.
Algumas funcionalidades Microsoft Sentinel têm novas localizações no portal do Defender. Para obter mais informações, veja Referência rápida.
Quando relevante, os pré-requisitos detalhados estão nos artigos ligados para cada passo.
Planear e configurar o ambiente de transição
Audiência: Arquitetos de segurança
Vídeos:
- Integrar uma área de trabalho do Microsoft Sentinel no Microsoft Defender
- Gerir o RBAC unificado no Microsoft Defender
Veja a documentação de orientação de planeamento, conclua os pré-requisitos e integre
Reveja todas as orientações de planeamento e conclua todos os pré-requisitos antes de integrar a área de trabalho no portal do Defender. Para mais informações, consulte os seguintes artigos:
Planeie operações de segurança unificadas no portal do Defender. Após a integração no portal do Defender, a função contribuidor do Microsoft Sentinel é atribuída às aplicações Microsoft Threat Protection e WindowsDefenderATP na sua subscrição.
Gerir permissões de Microsoft Sentinel e Defender XDR no portal do Defender. Esta mensagem de blogue explica como Microsoft Sentinel e Defender XDR permissões funcionam no portal unificado do Defender, o que esperar à medida que faz a transição, bem como uma introdução ao novo controlo de acesso baseado em funções (URBAC) unificado. Para ler mais sobre o URBAC, veja Mapear Microsoft Defender XDR permissões RBAC unificadas para permissões RBAC existentes.
Implemente para operações de segurança unificadas no portal do Defender. Embora este artigo se destina a novos clientes que ainda não tenham uma área de trabalho para Microsoft Sentinel ou outros serviços integrados no portal do Defender, utilize-o como referência se estiver a mudar para o portal do Defender.
Ligue Microsoft Sentinel ao portal do Defender. Este artigo lista os pré-requisitos para integrar a área de trabalho no portal do Defender. Se planear utilizar Microsoft Sentinel sem Defender XDR, terá de dar um passo extra para acionar a ligação entre Microsoft Sentinel e o portal do Defender.
Rever as diferenças de armazenamento de dados e privacidade
Quando utiliza o portal do Azure, aplicam-se as políticas de Microsoft Sentinel para armazenamento, processo, retenção e partilha de dados. Quando utiliza o portal do Defender, aplicam-se as políticas de Microsoft Defender XDR, mesmo quando trabalha com Microsoft Sentinel dados.
A tabela seguinte fornece detalhes e ligações adicionais para que possa comparar experiências nos portais do Azure e do Defender.
| Área de suporte | portal do Azure | Portal do Defender |
|---|---|---|
| BCDR | Os clientes são responsáveis pela replicação dos seus dados | Microsoft Defender utiliza automatização para BCDR em painéis de controlo. |
| Armazenamento e processamento de dados |
-
Localização do armazenamento de dados - Regiões suportadas |
Localização do armazenamento de dados |
| Retenção de dados | Retenção de dados | Retenção de dados |
| Partilha de dados | Partilha de dados | Partilha de dados |
Para mais informações, consulte:
- Disponibilidade geográfica e residência dos dados no Microsoft Sentinel
- Segurança e retenção de dados no Microsoft Defender XDR
Integração no portal do Defender com chaves geridas pelo cliente (CMK)
Se tiver ativado a CMK antes da integração, quando integrar a área de trabalho ativada Microsoft Sentinel no portal do Defender, todos os dados de registo na área de trabalho continuam a ser encriptados com CMK, incluindo dados ingeridos anteriormente e recentemente.
As regras de análise e outros conteúdos Sentinel, como regras de automatização, também continuam a ser encriptados por CMK. No entanto, os alertas e incidentes deixarão de ser encriptados pela CMK após a integração.
Para obter mais informações sobre a CMK, veja Configurar Microsoft Sentinel chave gerida pelo cliente.
Importante
A encriptação CMK não é totalmente suportada para dados armazenados no data lake Microsoft Sentinel. Todos os dados ingeridos no data lake , como tabelas personalizadas ou dados transformados, são encriptados com chaves geridas pela Microsoft.
Configurar a gestão multi-área de trabalho e multi-inquilino
O Defender suporta uma ou mais áreas de trabalho em vários inquilinos através do portal multi-inquilino, que funciona como um local central para gerir incidentes e alertas, procurar ameaças entre inquilinos e permite que os Parceiros de Serviço de Segurança Gerida (MSSPs) vejam em todos os clientes.
Em cenários de várias áreas de trabalho, o portal multi-inquilino permite-lhe ligar uma área de trabalho principal e várias áreas de trabalho secundárias por inquilino. Integre cada área de trabalho no portal do Defender separadamente para cada inquilino, tal como a inclusão de um único inquilino.
Para mais informações, consulte:
documentação do Azure Lighthouse. O Azure Lighthouse permite-lhe utilizar Microsoft Sentinel dados de outros inquilinos em áreas de trabalho integradas. Por exemplo, pode executar consultas entre áreas de trabalho com o
workspace()operador em Regras avançadas de investigação e análise.Microsoft Entra B2B. Microsoft Entra B2B permite-lhe aceder a dados entre inquilinos. O GDAP para Microsoft Sentinel está em pré-visualização.
Configurar e rever as definições e o conteúdo
Audiência: Engenheiros de segurança
Vídeo: Gerir conectores no Microsoft Defender
Confirmar e configurar a recolha de dados
Quando Microsoft Sentinel está integrado com Microsoft Defender, a arquitetura fundamental da recolha de dados e do fluxo de telemetria permanece intacta. Os conectores existentes que foram configurados no Microsoft Sentinel, seja para produtos Microsoft Defender ou outras origens de dados, continuam a funcionar sem interrupções.
Do ponto de vista do Log Analytics, a integração de Microsoft Sentinel no Microsoft Defender não introduz alterações ao pipeline de ingestão subjacente ou ao esquema de dados. Apesar da unificação de front-end, o back-end Microsoft Sentinel permanece totalmente integrado no Log Analytics para armazenamento, pesquisa e correlação de dados.
Os alertas relacionados com os produtos Defender são transmitidos diretamente a partir do conector Microsoft Defender XDR para garantir a consistência. Certifique-se de que tem incidentes e alertas deste conector ativados na área de trabalho. Assim que tiver este conector de dados configurado na área de trabalho, a exclusão da área de trabalho do Microsoft Defender também desliga o conector Microsoft Defender XDR.
Nota
Esta alteração nos conectores resulta em diferenças de esquema para alguns alertas. Para obter uma comparação detalhada, veja Diferenças de esquema de alerta: Conector autónomo vs. XDR.
Para obter mais informações, veja Connect data from Microsoft Defender XDR to Microsoft Sentinel (Ligar dados de Microsoft Defender XDR a Microsoft Sentinel).
Integrar com o Microsoft Defender para a Cloud
- Se estiver a utilizar o conector de dados baseado no inquilino para o Defender para a Cloud, certifique-se de que toma medidas para impedir eventos e alertas duplicados.
- Se estiver a utilizar o conector legado baseado na subscrição, certifique-se de que opta ativamente por não sincronizar incidentes e alertas para Microsoft Defender.
Para obter mais informações, veja Alertas e incidentes no Microsoft Defender.
Visibilidade do conector de dados no portal do Defender
Depois de integrar a área de trabalho no Defender, os seguintes conectores de dados são utilizados para operações de segurança unificadas e não são apresentados na página Conectores de dados no portal do Defender:
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Endpoint
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365 (Pré-visualização)
- Microsoft Defender XDR
- Microsoft Defender baseado na subscrição para a Cloud (Legado)
- Microsoft Defender baseado no inquilino para a Cloud (Pré-visualização)
Estes conectores de dados continuam a ser listados no Microsoft Sentinel no portal do Azure.
Configurar o seu ecossistema
Embora o Gestor de Áreas de Trabalho do Microsoft Sentinel não esteja disponível no portal do Defender, utilize uma das seguintes capacidades alternativas para distribuir conteúdos como código entre áreas de trabalho:
Implemente conteúdo como código a partir do seu repositório (Pré-visualização pública). Utilize ficheiros YAML ou JSON no GitHub ou Azure DevOps para gerir e implementar configurações no Microsoft Sentinel e no Defender através de fluxos de trabalho CI/CD unificados.
Portal multi-inquilino. O portal multi-inquilino Microsoft Defender suporta a gestão e distribuição de conteúdos por vários inquilinos.
Caso contrário, continue a implementar pacotes de soluções que incluam vários tipos de conteúdo de segurança a partir do Hub de conteúdos no portal do Defender. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.
Configurar regras de análise
Microsoft Sentinel regras de análise estão disponíveis no portal do Defender para deteção, configuração e gestão. As funcionalidades das regras de análise permanecem as mesmas, incluindo a criação, atualização e gestão através do assistente, dos repositórios e da API Microsoft Sentinel. A correlação de incidentes e a deteção de ataques em várias fases também continuam a funcionar no portal do Defender. A funcionalidade de correlação de alertas gerida pela regra de análise de fusão no portal do Azure é processada pelo motor de Defender XDR no portal do Defender, que consolida todos os sinais num único local.
Ao mudar para o portal do Defender, as seguintes alterações são importantes para ter em atenção:
| Funcionalidade | Descrição |
|---|---|
| Regras de deteção personalizadas | Se tiver casos de utilização de deteção que envolvam dados de Defender XDR e Microsoft Sentinel, em que não precisa de reter Defender XDR dados durante mais de 30 dias, recomendamos que crie regras de deteção personalizadas que consultem dados de Microsoft Sentinel e Defender XDR tabelas. Isto é suportado sem ter de ingerir Defender XDR dados em Microsoft Sentinel. Para obter mais informações, veja Utilizar Microsoft Sentinel funções personalizadas na investigação avançada no Microsoft Defender. |
| Correlação de alertas | No portal do Defender, as correlações são aplicadas automaticamente a alertas relativamente a dados Microsoft Defender e dados de terceiros ingeridos a partir de Microsoft Sentinel, independentemente dos cenários de alerta. Os critérios utilizados para correlacionar alertas num único incidente fazem parte da lógica de correlação interna proprietária do portal do Defender. Para obter mais informações, veja Correlação de alertas e intercalação de incidentes no portal do Defender. |
| Agrupamento de alertas e intercalação de incidentes | Embora continue a ver a configuração do agrupamento de alertas nas regras de Análise, o Defender XDR motor de correlação controla totalmente o agrupamento de alertas e a intercalação de incidentes quando necessário no portal do Defender. Isto garante uma visão abrangente da história completa do ataque ao juntar alertas relevantes para ataques em várias fases. Por exemplo, várias regras de análise individuais configuradas para gerar um incidente para cada alerta podem resultar em incidentes intercalados se corresponderem Defender XDR lógica de correlação. |
| Visibilidade do alerta | Se tiver Microsoft Sentinel regras de análise configuradas apenas para acionar alertas, com a criação de incidentes desativada, estes alertas não estarão visíveis no portal do Defender. |
| Otimização de alertas | Assim que a área de trabalho Microsoft Sentinel estiver integrada no Defender, todos os incidentes, incluindo os das regras de análise de Microsoft Sentinel, são gerados pelo motor de Defender XDR. Como resultado, as capacidades de otimização de alertas no portal do Defender, anteriormente disponível apenas para alertas de Defender XDR, podem agora ser aplicadas a alertas de Microsoft Sentinel. Esta funcionalidade permite-lhe simplificar a resposta a incidentes ao automatizar a resolução de alertas comuns, reduzir falsos positivos e minimizar o ruído, para que os analistas possam priorizar incidentes de segurança significativos. |
| Fusão: deteção avançada de ataques de vários estados | A regra de análise de fusão, que no portal do Azure, cria incidentes com base nas correlações de alertas efetuadas pelo motor de correlação Fusão, é desativada quando integra Microsoft Sentinel no portal do Defender. Não perde a funcionalidade de correlação de alertas porque o portal do Defender utiliza as funcionalidades de criação de incidentes e correlação de Microsoft Defender XDR para substituir as do motor de Fusão. Para obter mais informações, veja Advanced multistage attack detection in Microsoft Sentinel (Deteção avançada de ataques em várias fases no Microsoft Sentinel |
Configurar regras de automatização e manuais de procedimentos
No Microsoft Sentinel, os manuais de procedimentos baseiam-se em fluxos de trabalho incorporados no Azure Logic Apps, um serviço cloud que o ajuda a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa.
As seguintes limitações aplicam-se a Microsoft Sentinel regras de automatização e manuais de procedimentos ao trabalhar no portal do Defender. Poderá ter de efetuar algumas alterações no seu ambiente ao efetuar a transição.
| Funcionalidade | Descrição |
|---|---|
| Regras de automatização com acionadores de alerta | No portal do Defender, as regras de automatização com acionadores de alertas atuam apenas em alertas de Microsoft Sentinel. Para obter mais informações, veja Acionador de criação de alertas. |
| Regras de automatização com acionadores de incidentes | Tanto no portal do Azure como no portal do Defender, a propriedade Condição do fornecedor de incidentes é removida, uma vez que todos os incidentes têm o Microsoft XDR como fornecedor de incidentes (o valor no campo ProviderName). Nessa altura, todas as regras de automatização existentes são executadas em incidentes de Microsoft Sentinel e Microsoft Defender XDR, incluindo aqueles em que a condição do Fornecedor de incidentes está definida como apenas Microsoft Sentinel ou o Microsoft 365 Defender. No entanto, as regras de automatização que especificam um nome de regra de análise específico são executadas apenas em incidentes que contenham alertas criados pela regra de análise especificada. Isto significa que pode definir a propriedade Da condição de nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar a sua regra a ser executada em incidentes apenas no Microsoft Sentinel. Além disso, depois de integrar no portal do Defender, a tabela SecurityIncident já não inclui um campo Descrição . Por conseguinte: - Se estiver a utilizar este campo Descrição como uma condição para uma regra de automatização com um acionador de criação de incidentes, essa regra de automatização não funcionará após a integração no portal do Defender. Nestes casos, certifique-se de que atualiza a configuração adequadamente. Para obter mais informações, veja Condições do acionador de incidentes. - Se tiver uma integração configurada com um sistema de pedidos de suporte externo, como ServiceNow, a descrição do incidente estará em falta. |
| Latência nos acionadores do manual de procedimentos | Poderá demorar até 5 minutos para que Microsoft Defender incidentes apareçam no Microsoft Sentinel. Se este atraso estiver presente, o acionamento do manual de procedimentos também está atrasado. |
| Alterações aos nomes de incidentes existentes | O portal do Defender utiliza um motor exclusivo para correlacionar incidentes e alertas. Ao integrar a área de trabalho no portal do Defender, os nomes de incidentes existentes poderão ser alterados se a correlação for aplicada. Para garantir que as regras de automatização são sempre executadas corretamente, recomendamos que evite utilizar títulos de incidentes como critérios de condição nas regras de automatização e sugira, em vez disso, que utilize o nome de qualquer regra de análise que tenha criado alertas incluídos no incidente e etiquetas se for necessária mais especificação. |
| Atualizado por campo | Para obter mais informações, veja Acionador de atualização de incidentes. |
| Criar regras de automatização diretamente a partir de um incidente | A criação de regras de automatização diretamente a partir de um incidente só é suportada no portal do Azure. Se estiver a trabalhar no portal do Defender, crie as regras de automatização de raiz a partir da página Automatização . |
| Regras de criação de incidentes da Microsoft | As regras de criação de incidentes da Microsoft não são suportadas no portal do Defender. Para obter mais informações, veja Microsoft Defender XDR incidentes e regras de criação de incidentes da Microsoft. |
| Executar regras de automatização a partir do portal do Defender | Pode demorar até 10 minutos a partir do momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automatização é executada. Este atraso de tempo deve-se ao facto de o incidente ser criado no portal do Defender e, em seguida, reencaminhado para Microsoft Sentinel para a regra de automatização. |
| Separador Manuais de procedimentos ativos | Após a integração no portal do Defender, por predefinição, o separador Manuais de procedimentos ativos mostra um filtro predefinido com a subscrição da área de trabalho integrada. Na portal do Azure, adicione dados para outras subscrições com o filtro de subscrição. Para obter mais informações, veja Criar e personalizar Microsoft Sentinel manuais de procedimentos a partir de modelos. |
| Executar manuais de procedimentos manualmente a pedido | Os seguintes procedimentos não são atualmente suportados no portal do Defender: |
| A execução de manuais de procedimentos em incidentes requer Microsoft Sentinel sincronização | Se tentar executar um manual de procedimentos num incidente a partir do portal do Defender e vir a mensagem "Não é possível aceder a dados relacionados com esta ação. Atualize o ecrã dentro de alguns minutos". Isto significa que o incidente ainda não está sincronizado com Microsoft Sentinel. Atualize a página do incidente após o incidente ser sincronizado para executar o manual de procedimentos com êxito. |
|
Incidentes: Adicionar alertas a incidentes/ Remover alertas de incidentes |
Uma vez que adicionar alertas ou remover alertas de incidentes não é suportado depois de integrar a área de trabalho no portal do Defender, estas ações também não são suportadas a partir de manuais de procedimentos. Para obter mais informações, veja Compreender como os alertas estão correlacionados e os incidentes são intercalados no portal do Defender. |
| Microsoft Defender XDR integração em várias áreas de trabalho | Se integrou dados XDR com mais do que uma área de trabalho num único inquilino, os dados serão agora ingeridos apenas na área de trabalho primária no portal do Defender. Transfira regras de automatização para a área de trabalho relevante para mantê-las em execução. |
| Automatização e o motor de Correlação | O motor de correlação pode combinar alertas de vários sinais num único incidente, o que pode resultar na receção de dados de automatização que não antecipou. Recomendamos que reveja as regras de automatização para garantir que está a ver os resultados esperados. |
Configurar APIs
A experiência unificada no portal do Defender apresenta alterações importantes a incidentes e alertas de APIs. Suporta chamadas à API com base na API REST v1.0 do Microsoft Graph, que pode ser utilizada para automatização relacionada com alertas, incidentes, investigação avançada e muito mais.
A API Microsoft Sentinel continua a suportar ações contra recursos Microsoft Sentinel, como regras de análise, regras de automatização e muito mais. Para interagir com alertas e incidentes unificados, recomendamos que utilize a API REST do Microsoft Graph.
Se estiver a utilizar a API Microsoft Sentinel SecurityInsights para interagir com Microsoft Sentinel incidentes, poderá ter de atualizar as condições de automatização e acionar critérios devido a alterações no corpo da resposta.
A tabela seguinte lista os campos que são importantes nos fragmentos de resposta e compara-os nos portais do Azure e do Defender:
| Funcionalidade | portal do Azure | Portal do Defender |
|---|---|---|
| Ligação para o incidente |
incidentUrl: o URL direto para o incidente no portal do Microsoft Sentinel |
providerIncidentUrl: este campo adicional fornece uma ligação direta para o incidente, que pode ser utilizada para sincronizar estas informações com um sistema de permissões de terceiros, como ServiceNow. incidentUrlainda está disponível, mas aponta para o portal Microsoft Sentinel. |
| As origens que acionaram a deteção e publicaram o alerta | alertProductNames |
alertProductNames: requer a adição ?$expand=alerts ao GET. Por exemplo, https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| O nome do fornecedor de alertas |
providerName= "Azure Sentinel" |
providerName = "Microsoft XDR" |
| O serviço ou produto que criou o alerta | Não existe no portal do Azure | serviceSource Por exemplo, "microsoftDefenderForCloudApps" |
| A tecnologia ou sensor de deteção que identificou o componente ou atividade notável | Não existe no portal do Azure |
detectionSource Por exemplo, "cloudAppSecurity" |
| O nome do produto que publicou este alerta | Não existe no portal do Azure |
productNamePor exemplo, "Microsoft Defender for Cloud Apps" |
Executar operações no portal do Defender
Audiência: Analistas de segurança
Vídeos:
- Detetar e gerir Microsoft Sentinel conteúdos e informações sobre ameaças no Microsoft Defender
- Criar automatização e livros no Microsoft Defender
- Correlação de alertas no Microsoft Defender
- Investigação de incidentes no Microsoft Defender
- Gestão de casos no Microsoft Defender
- Investigação avançada em Microsoft Defender
- Otimizações do SOC no Microsoft Defender
Atualizar processos de triagem de incidentes para o portal do Defender
Se tiver utilizado Microsoft Sentinel no portal do Azure, irá notar melhorias significativas na experiência do utilizador no portal do Defender. Embora possa ter de atualizar os processos SOC e preparar novamente os seus analistas, a estrutura consolida todas as informações relevantes num único local para fornecer fluxos de trabalho mais simplificados e eficientes.
A fila de incidentes unificada no portal do Defender consolida todos os incidentes em todos os produtos numa única vista, afetando a forma como os analistas triagemm incidentes que agora contêm múltiplos alertas de domínio entre segurança. Por exemplo:
- Tradicionalmente, os analistas triagemm incidentes com base em domínios de segurança ou conhecimentos específicos, muitas vezes a processar pedidos por entidade, como um utilizador ou anfitrião. Esta abordagem pode criar pontos cegos, que a experiência unificada pretende abordar.
- Quando um atacante se move lateralmente, os alertas relacionados podem acabar em incidentes separados devido a domínios de segurança diferentes. A experiência unificada elimina este problema ao fornecer uma visão abrangente, garantindo que todos os alertas relacionados estão correlacionados e geridos de forma coesa.
Os analistas também podem ver origens de deteção e nomes de produtos no portal do Defender e aplicar e partilhar filtros para uma triagem de incidentes e alertas mais eficiente.
O processo de triagem unificada pode ajudar a reduzir as cargas de trabalho dos analistas e até mesmo combinar potencialmente as funções dos analistas da camada 1 e da camada 2. No entanto, o processo de triagem unificada também pode exigir conhecimentos mais amplos e aprofundados dos analistas. Recomendamos formação na nova interface do portal para garantir uma transição suave.
Para obter mais informações, veja Incidentes e alertas no portal do Microsoft Defender.
Compreender como os alertas estão correlacionados e os incidentes são intercalados no portal do Defender
O motor de correlação do Defender intercala incidentes quando reconhece elementos comuns entre alertas em incidentes separados. Quando um novo alerta cumpre os critérios de correlação, Microsoft Defender agrega e correlaciona-o com outros alertas relacionados de todas as origens de deteção num novo incidente. Depois de integrar Microsoft Sentinel no portal do Defender, a fila de incidentes unificada revela um ataque mais abrangente, tornando os analistas mais eficientes e fornecendo uma história de ataque completa.
Em cenários de várias áreas de trabalho, apenas os alertas de uma área de trabalho primária estão correlacionados com Microsoft Defender XDR dados. Também existem cenários específicos em que os incidentes não são intercalados.
Após a inclusão Microsoft Sentinel no portal do Defender, aplicam-se as seguintes alterações a incidentes e alertas:
| Funcionalidade | Descrição |
|---|---|
| Atrasar logo após a integração da área de trabalho | Pode demorar até 5 minutos até Microsoft Defender incidentes se integrarem totalmente com Microsoft Sentinel. Isto não afeta as funcionalidades fornecidas diretamente por Microsoft Defender, como a interrupção automática do ataque. |
| Regras de criação de incidentes de segurança | Quaisquer regras ativas de criação de incidentes de segurança da Microsoft são desativadas para evitar a criação de incidentes duplicados. As definições de criação de incidentes noutros tipos de regras de análise permanecem como estão e são configuráveis no portal do Defender. |
| Nome do fornecedor de incidentes | No portal do Defender, o nome do fornecedor de incidentes é sempre Microsoft XDR. |
| Adicionar/remover alertas de incidentes | A adição ou remoção de alertas de Microsoft Sentinel de/para incidentes só é suportada no portal do Defender. Para remover um alerta de um incidente no portal do Defender, tem de adicionar o alerta a outro incidente. |
| Editar comentários | Adicione comentários a incidentes no Defender ou no portal do Azure, mas a edição de comentários existentes não é suportada no portal do Defender. As edições efetuadas aos comentários no portal do Azure não são sincronizadas com o portal do Defender. |
| Criação programática e manual de incidentes | Os incidentes criados no Microsoft Sentinel através da API, por um manual de procedimentos da Aplicação Lógica ou manualmente a partir do portal do Azure, não são sincronizados com o portal do Defender. Estes incidentes continuam a ser suportados no portal do Azure e na API. Veja Criar os seus próprios incidentes manualmente no Microsoft Sentinel. |
| Reabrir incidentes fechados | No portal do Defender, não pode definir o agrupamento de alertas no Microsoft Sentinel regras de análise para reabrir incidentes fechados se forem adicionados novos alertas. Os incidentes fechados não são reabertos neste caso e os novos alertas acionam novos incidentes. |
Para obter mais informações, veja Incidentes e alertas no portal do Microsoft Defender e Correlação de alertas e intercalação de incidentes no portal do Microsoft Defender.
Tenha em atenção as alterações às investigações com Investigação avançada
Depois de integrar Microsoft Sentinel no portal do Defender, aceda e utilize todas as tabelas de registo existentes, consultas Linguagem de Pesquisa Kusto (KQL) e funções na página Investigação avançada. Todos os alertas Microsoft Sentinel associados a incidentes são ingeridos na AlertInfo tabela, acessíveis a partir da página Investigação avançada.
Existem algumas diferenças, como os marcadores, que não são suportados na Investigação avançada. Em vez disso, os marcadores são suportados no portal do Defender no Microsoft Sentinel > Investigação de Gestão > de ameaças.
Para obter mais informações, veja Investigação avançada com Microsoft Sentinel dados no Microsoft Defender, especialmente a lista de problemas conhecidos, e Controlar os dados durante a investigação com Microsoft Sentinel.
Investigar com entidades no portal do Defender
No portal Microsoft Defender, as entidades são geralmente recursos, como contas, anfitriões ou caixas de correio, ou provas, como endereços IP, ficheiros ou URLs.
Após a inclusão de Microsoft Sentinel no portal do Defender, as páginas de entidade para utilizadores, dispositivos e endereços IP são consolidadas numa única vista com uma vista abrangente da atividade e contexto e dados da entidade de Microsoft Sentinel e Microsoft Defender XDR.
O portal do Defender também fornece uma barra de pesquisa global que centraliza os resultados de todas as entidades para que possa procurar em SIEM e XDR.
Para obter mais informações, veja Páginas de entidades no Microsoft Sentinel.
Investigar com o UEBA no portal do Defender
A maioria das funcionalidades da Análise de Comportamento do Utilizador e da Entidade (UEBA) permanecem as mesmas no portal do Defender que estavam no portal do Azure, com as seguintes exceções:
A adição de entidades a informações sobre ameaças de incidentes só é suportada no portal do Azure. Para obter mais informações, veja Adicionar entidade a indicadores de ameaças.
Ao integrar Microsoft Sentinel no portal do Microsoft Defender, a
IdentityInfotabela está disponível tanto na experiência Microsoft Defender Investigação Avançada como na sua área de trabalho do Sentinel Log Analytics. AIdentityInfotabela utilizada na Investigação Avançada inclui campos unificados de Defender XDR e Microsoft Sentinel. Alguns campos existentes na Sentinel tabela da área de trabalho do Log Analytics são renomeados ou não são suportados na tabela Investigação Avançada. Certifique-se de que revê e atualiza quaisquer consultas executadas no Microsoft Defender, como consultas de Investigação Avançada ou deteções personalizadas. Microsoft Sentinel regras analíticas, livros e outras consultas de Sentinel continuam a utilizar aIdentityInfotabela na área de trabalho do Log Analytics e não são afetadas. Para obter mais informações e uma comparação dos esquemas de tabela na experiência de Investigação Avançada e no Log Analytics, veja IdentityInfo table (Tabela IdentityInfo).
Importante
Quando efetua a transição para o portal do Defender, a IdentityInfo tabela torna-se uma tabela nativa do Defender que não suporta o controlo de acesso baseado em funções (RBAC) ao nível da tabela. Se a sua organização utilizar o RBAC ao nível da tabela para restringir o IdentityInfo acesso à tabela no portal do Azure, este controlo de acesso deixará de estar disponível após a transição para o portal do Defender.
Atualizar processos de investigação para utilizar Microsoft Defender informações sobre ameaças
Para Microsoft Sentinel clientes que transitem do portal do Azure para o portal do Defender, as funcionalidades de informações sobre ameaças familiares são mantidas no portal do Defender sob gestão da Intel e melhoradas com outras funcionalidades de informações sobre ameaças disponíveis no portal do Defender. As funcionalidades suportadas dependem das licenças que tiver, tais como:
| Funcionalidade | Descrição |
|---|---|
| Análise de ameaças | Suportado para clientes Microsoft Defender XDR. Uma solução no produto fornecida por investigadores de segurança da Microsoft, concebida para ajudar as equipas de segurança ao oferecer informações sobre ameaças emergentes, ameaças ativas e respetivos impactos. Os dados são apresentados num dashboard intuitivo com cartões, linhas de dados, filtros e muito mais. |
| Perfis Intel | Suportado para clientes Informações sobre Ameaças do Microsoft Defender. Categorize ameaças e comportamentos por um Perfil de Ator de Ameaças, tornando mais fácil controlar e correlacionar. Estes perfis incluem quaisquer Indicadores de Compromisso (IoC) relacionados com táticas, técnicas e ferramentas utilizadas em ataques. |
| Intel Explorer | Suportado para clientes Informações sobre Ameaças do Microsoft Defender. Consolida os IoCs disponíveis e fornece artigos relacionados com ameaças à medida que são publicados, permitindo que as equipas de segurança se mantenham atualizadas sobre ameaças emergentes. |
| Intel Projects | Suportado para clientes Informações sobre Ameaças do Microsoft Defender. Permite que as equipas consolidem informações sobre ameaças num "projeto" para rever todos os artefactos relacionados com um cenário específico de interesse. |
No portal do Defender, utilize os ThreatIntelOjbects indicadores e ThreatIntelIndicators em conjunto com Indicadores de Compromisso para investigação de ameaças, resposta a incidentes, Copilot, relatórios e para criar gráficos relacionais que mostrem ligações entre indicadores e entidades.
Para os clientes que utilizam o feed Informações sobre Ameaças do Microsoft Defender (MDTI), está disponível uma versão gratuita através do conector de dados do Microsoft Sentinel para MDTI. Os utilizadores com licenças MDTI também podem ingerir dados MDTI e utilizar Security Copilot para análise de ameaças, revisão de ameaças ativa e investigação de ator de ameaças.
Para mais informações, consulte:
- Gestão de ameaças
- Análise de ameaças no Microsoft Defender XDR
- Utilizar projetos
- Informações sobre ameaças no Microsoft Sentinel
Utilizar livros para visualizar e reportar dados Microsoft Defender
Azure livros continuam a ser a principal ferramenta de visualização e interação de dados no portal do Defender, funcionando tal como no portal do Azure.
Para utilizar livros com dados da Investigação avançada, certifique-se de que ingere registos no Microsoft Sentinel.
Para obter mais informações, consulte Visualizar e monitorizar os seus dados com livros no Microsoft Sentinel.
Incidentes semelhantes (Pré-visualização) não são suportados no portal do Defender
A funcionalidade Microsoft Sentinel incidentes semelhantes está em Pré-visualização, não é suportada no portal do Defender. Isto significa que, ao ver uma página de detalhes do incidente no portal do Defender, o separador Incidentes semelhantes não está disponível.
Conteúdos relacionados
- The Best of Microsoft Sentinel - agora no Microsoft Defender (blogue)
- Veja o webinar: Transition to the Unified SOC Platform: Deep Dive and Interactive Q&A for SOC Professionals (Transição para a Plataforma SOC Unificada: Deep Dive e Interactive Q&A for SOC Professionals).
- Veja as perguntas mais frequentes no blogue TechCommunity ou no Microsoft Community Hub.
- Rever as diferenças de esquema de alertas entre conectores Autónomos e XDR