Ingerir alertas do Microsoft Defender for Cloud para o Microsoft Sentinel

As proteções integradas de carga de trabalho na nuvem do Microsoft Defender for Cloud permitem detetar e responder rapidamente a ameaças em cargas de trabalho híbridas e multicloud. O conector do Microsoft Defender for Cloud permite que você ingira alertas de segurança do Defender for Cloud para o Microsoft Sentinel, para que você possa visualizar, analisar e responder aos alertas do Defender e aos incidentes que eles geram, em um contexto de ameaça organizacional mais amplo.

Os planos do Microsoft Defender for Cloud Defender são habilitados por assinatura. Embora o conector herdado do Microsoft Sentinel para Defender for Cloud Apps também esteja configurado por assinatura, o conector Microsoft Defender for Cloud baseado em locatário, em visualização, permite que você colete alertas do Defender for Cloud em todo o locatário sem precisar habilitar cada assinatura separadamente. O conector baseado em locatário também funciona com a integração do Defender for Cloud com o Microsoft Defender XDR para garantir que todos os seus alertas do Defender for Cloud sejam totalmente incluídos em quaisquer incidentes recebidos por meio da integração de incidentes do Microsoft Defender XDR.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Sincronização de alertas

• Quando você conecta o Microsoft Defender for Cloud ao Microsoft Sentinel, o status dos alertas de segurança que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Defender for Cloud, esse alerta também será exibido como fechado no Microsoft Sentinel.

• A alteração do status de um alerta no Defender for Cloud não afetará o status de nenhum incidente do Microsoft Sentinel que contenha o alerta do Microsoft Sentinel, apenas o do próprio alerta.

Sincronização de alertas bidirecionais

Habilitar a sincronização bidirecional sincronizará automaticamente o status dos alertas de segurança originais com o dos incidentes do Microsoft Sentinel que contêm esses alertas. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo alertas de segurança é fechado, o alerta original correspondente será fechado no Microsoft Defender for Cloud automaticamente.

Pré-requisitos

• Você deve ter permissões de leitura e gravação em seu espaço de trabalho do Microsoft Sentinel.

• Você deve ter a função de Colaborador ou Proprietário na assinatura que deseja conectar ao Microsoft Sentinel.

• Você precisará habilitar pelo menos um plano no Microsoft Defender for Cloud para cada assinatura em que deseja habilitar o conector. Para habilitar os planos do Microsoft Defender em uma assinatura, você deve ter a função de administrador de segurança para essa assinatura.

• Você precisará que o SecurityInsights provedor de recursos seja registrado para cada assinatura em que você deseja habilitar o conector. Analise as orientações sobre o status de registro do provedor de recursos e as maneiras de registrá-lo.

• Para habilitar a sincronização bidirecional, você deve ter a função de Colaborador ou Administrador de Segurança na assinatura relevante.

• Instale a solução para o Microsoft Defender for Cloud a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Conectar-se ao Microsoft Defender for Cloud

1. Depois de instalar a solução, no Microsoft Sentinel, selecione Conectores de dados de configuração>.

2. Na página Conectores de dados, selecione o conector Microsoft Defender for Cloud (Legado) baseado em assinatura ou o conector Microsoft Defender for Cloud (Visualização) baseado em locatário e selecione Abrir página de conector.

3. Em Configuração, você verá uma lista das assinaturas em seu locatário e o status de sua conexão com o Microsoft Defender for Cloud. Selecione a alternância Status ao lado de cada assinatura cujos alertas você deseja transmitir para o Microsoft Sentinel. Se pretender ligar várias subscrições de uma só vez, pode fazê-lo marcando as caixas de verificação junto às subscrições relevantes e, em seguida, selecionando o botão Ligar na barra acima da lista.

   • As caixas de seleção e as alternâncias Conectar ficam ativas somente nas assinaturas para as quais você tem as permissões necessárias.
   • O botão Conectar só estará ativo se pelo menos uma caixa de seleção de assinatura tiver sido marcada.

4. Para habilitar a sincronização bidirecional em uma assinatura, localize a assinatura na lista e escolha Habilitado na lista suspensa na coluna Sincronização bidirecional. Para habilitar a sincronização bidirecional em várias assinaturas ao mesmo tempo, marque suas caixas de seleção e marque o botão Ativar sincronização bidirecional na barra acima da lista.

   • As caixas de seleção e as listas suspensas estarão ativas somente nas assinaturas para as quais você tem as permissões necessárias.
   • O botão Ativar sincronização bidirecional estará ativo somente se pelo menos uma caixa de seleção de assinatura tiver sido marcada.

5. Na coluna Planos do Microsoft Defender da lista, você pode ver se os planos do Microsoft Defender estão habilitados na sua assinatura (um pré-requisito para habilitar o conector).

   O valor de cada assinatura nesta coluna está em branco (o que significa que nenhum plano Defender está habilitado), Todos habilitados ou Alguns habilitados. Aqueles que dizem Alguns ativados também têm um link Ativar tudo que você pode selecionar, que o levará ao painel de configuração do Microsoft Defender for Cloud para essa assinatura, onde você pode escolher os planos do Defender para habilitar.

   O botão de link Habilitar o Microsoft Defender para todas as assinaturas na barra acima da lista levará você à página de Introdução ao Microsoft Defender for Cloud, onde você pode escolher em quais assinaturas habilitar o Microsoft Defender for Cloud completamente. Por exemplo:

   

6. Você pode selecionar se deseja que os alertas do Microsoft Defender for Cloud gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Ativado para ativar a regra de análise padrão que cria automaticamente incidentes a partir de alertas. Em seguida, você pode editar essa regra em Análise, na guia Regras ativas.

   Gorjeta

   Ao configurar regras de análise personalizadas para alertas do Microsoft Defender for Cloud, considere a gravidade do alerta para evitar a abertura de incidentes para alertas informativos.

   Os alertas informativos no Microsoft Defender for Cloud não representam um risco de segurança por si só e são relevantes apenas no contexto de um incidente aberto existente. Para obter mais informações, consulte Alertas e incidentes de segurança no Microsoft Defender for Cloud.

Encontre e analise os seus dados

Nota

A sincronização de alertas em ambas as direções pode levar alguns minutos. As alterações no status dos alertas podem não ser exibidas imediatamente.

• Os alertas de segurança são armazenados na tabela SecurityAlert na área de trabalho do Log Analytics.

• Para consultar alertas de segurança no Log Analytics, copie o seguinte na janela de consulta como ponto de partida:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Consulte a guia Próximas etapas na página do conector para obter exemplos de consultas úteis adicionais, modelos de regras de análise e pastas de trabalho recomendadas.

Próximos passos

Neste documento, você aprendeu como conectar o Microsoft Defender for Cloud ao Microsoft Sentinel e sincronizar alertas entre eles. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Escreva suas próprias regras para detetar ameaças.