Ingerir alertas do Microsoft Defender for Cloud para o Microsoft Sentinel

As proteções integradas de carga de trabalho na nuvem do Microsoft Defender for Cloud permitem detetar e responder rapidamente a ameaças em cargas de trabalho híbridas e multicloud.

Esse conector permite que você ingira alertas de segurança do Defender for Cloud no Microsoft Sentinel, para que você possa visualizar, analisar e responder aos alertas do Defender e aos incidentes que eles geram, em um contexto de ameaça organizacional mais amplo.

Como os planos do Microsoft Defender para Cloud Defender são habilitados por assinatura, esse conector de dados também é habilitado ou desabilitado separadamente para cada assinatura.

O novo conector do Microsoft Defender for Cloud baseado em inquilino, em pré-visualização, permite-lhe recolher alertas do Defender for Cloud sobre todo o seu inquilino, sem ter de ativar cada subscrição separadamente. Ele também aproveita a integração do Defender for Cloud com o Microsoft Defender XDR (anteriormente Microsoft 365 Defender) para garantir que todos os seus alertas do Defender for Cloud sejam totalmente incluídos em quaisquer incidentes recebidos por meio da integração de incidentes do Microsoft Defender XDR.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Sincronização de alertas

• Quando você conecta o Microsoft Defender for Cloud ao Microsoft Sentinel, o status dos alertas de segurança que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Defender for Cloud, esse alerta também será exibido como fechado no Microsoft Sentinel.

• A alteração do status de um alerta no Defender for Cloud não afetará o status de nenhum incidente do Microsoft Sentinel que contenha o alerta do Microsoft Sentinel, apenas o do próprio alerta.

Sincronização de alertas bidirecionais

Habilitar a sincronização bidirecional sincronizará automaticamente o status dos alertas de segurança originais com o dos incidentes do Microsoft Sentinel que contêm esses alertas. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo alertas de segurança é fechado, o alerta original correspondente será fechado no Microsoft Defender for Cloud automaticamente.

Pré-requisitos

• Você deve ter permissões de leitura e gravação em seu espaço de trabalho do Microsoft Sentinel.

• Você deve ter a função de Colaborador ou Proprietário na assinatura que deseja conectar ao Microsoft Sentinel.

• Você precisará habilitar pelo menos um plano no Microsoft Defender for Cloud para cada assinatura em que deseja habilitar o conector. Para habilitar os planos do Microsoft Defender em uma assinatura, você deve ter a função de administrador de segurança para essa assinatura.

• Você precisará que o provedor de recursos seja registrado para cada assinatura em que você deseja habilitar o SecurityInsights conector. Analise as orientações sobre o status de registro do provedor de recursos e as maneiras de registrá-lo.

• Para habilitar a sincronização bidirecional, você deve ter a função de Colaborador ou Administrador de Segurança na assinatura relevante.

• Instale a solução para o Microsoft Defender for Cloud a partir do Content Hub no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Conectar-se ao Microsoft Defender for Cloud

1. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.

2. Na galeria de conectores de dados, selecione Microsoft Defender for Cloud e selecione Abrir página do conector no painel de detalhes.

3. Em Configuração, você verá uma lista das assinaturas em seu locatário e o status de sua conexão com o Microsoft Defender for Cloud. Selecione a alternância Status ao lado de cada assinatura cujos alertas você deseja transmitir para o Microsoft Sentinel. Se pretender ligar várias subscrições de uma só vez, pode fazê-lo marcando as caixas de verificação junto às subscrições relevantes e, em seguida, selecionando o botão Ligar na barra acima da lista.

   Nota

   • As caixas de seleção e as alternâncias Conectar estarão ativas somente nas assinaturas para as quais você tem as permissões necessárias.
   • O botão Conectar estará ativo somente se pelo menos uma caixa de seleção de assinatura tiver sido marcada.

4. Para habilitar a sincronização bidirecional em uma assinatura, localize a assinatura na lista e escolha Habilitado na lista suspensa na coluna Sincronização bidirecional. Para habilitar a sincronização bidirecional em várias assinaturas ao mesmo tempo, marque suas caixas de seleção e marque o botão Ativar sincronização bidirecional na barra acima da lista.

   Nota

   • As caixas de seleção e as listas suspensas estarão ativas somente nas assinaturas para as quais você tem as permissões necessárias.
   • O botão Ativar sincronização bidirecional estará ativo somente se pelo menos uma caixa de seleção de assinatura tiver sido marcada.

5. Na coluna Planos do Microsoft Defender da lista, você pode ver se os planos do Microsoft Defender estão habilitados na sua assinatura (um pré-requisito para habilitar o conector). O valor de cada assinatura nesta coluna estará em branco (o que significa que nenhum plano do Defender está habilitado), "Todos habilitados" ou "Alguns habilitados". Aqueles que dizem "Alguns ativados" também terão um link Ativar tudo que você pode selecionar, que o levará ao painel de configuração do Microsoft Defender for Cloud para essa assinatura, onde você poderá escolher os planos do Defender para habilitar. O botão de link Habilitar o Microsoft Defender para todas as assinaturas na barra acima da lista levará você à página de Introdução ao Microsoft Defender for Cloud, onde você pode escolher em quais assinaturas habilitar o Microsoft Defender for Cloud completamente.

   

6. Você pode selecionar se deseja que os alertas do Microsoft Defender for Cloud gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Ativado para ativar a regra de análise padrão que cria automaticamente incidentes a partir de alertas. Em seguida, você pode editar essa regra em Análise, na guia Regras ativas.

   Gorjeta

   Ao configurar regras de análise personalizadas para alertas do Microsoft Defender for Cloud, considere a gravidade do alerta para evitar a abertura de incidentes para alertas informativos.

   Os alertas informativos no Microsoft Defender for Cloud não representam um risco de segurança por si só e são relevantes apenas no contexto de um incidente aberto existente. Para obter mais informações, consulte Alertas e incidentes de segurança no Microsoft Defender for Cloud.

Encontre e analise os seus dados

Nota

A sincronização de alertas em ambas as direções pode levar alguns minutos. As alterações no status dos alertas podem não ser exibidas imediatamente.

• Os alertas de segurança são armazenados na tabela SecurityAlert na área de trabalho do Log Analytics.

• Para consultar alertas de segurança no Log Analytics, copie o seguinte na janela de consulta como ponto de partida:

  SecurityAlert 
  | where ProductName == "Azure Security Center"
  

• Consulte a guia Próximas etapas na página do conector para obter exemplos de consultas úteis adicionais, modelos de regras de análise e pastas de trabalho recomendadas.

Próximos passos

Neste documento, você aprendeu como conectar o Microsoft Defender for Cloud ao Microsoft Sentinel e sincronizar alertas entre eles. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.
• Escreva suas próprias regras para detetar ameaças.