Microsoft Sentinel no portal do Microsoft Defender (visualização)
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte:
- Plataforma unificada de operações de segurança com Microsoft Sentinel e Defender XDR
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
Este artigo descreve a experiência do Microsoft Sentinel no portal do Microsoft Defender.
Importante
As informações neste artigo referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, de forma expressa ou implícita, em relação à informação aqui apresentada.
Capacidades novas e melhoradas
A tabela a seguir descreve os recursos novos ou aprimorados disponíveis no portal do Defender com a integração do Microsoft Sentinel e do Defender XDR.
| Capacidades | Description |
|---|---|
| Caça avançada | Consulte a partir de um único portal em diferentes conjuntos de dados para tornar a caça mais eficiente e remover a necessidade de mudança de contexto. Exiba e consulte todos os dados, incluindo dados dos serviços de segurança da Microsoft e do Microsoft Sentinel. Use todo o conteúdo existente do espaço de trabalho do Microsoft Sentinel, incluindo consultas e funções. Para obter mais informações, consulte Caça avançada no portal do Microsoft Defender. |
| Ataque atrapalha | Implante a interrupção automática de ataques para SAP com a plataforma unificada de operações de segurança e a solução Microsoft Sentinel para aplicativos SAP. Por exemplo, contenha ativos comprometidos bloqueando usuários suspeitos do SAP em caso de um ataque de manipulação de processos financeiros. Os recursos de interrupção de ataque para SAP estão disponíveis apenas no portal do Defender. Para usar a interrupção de ataque para SAP, atualize a versão do agente do conector de dados e certifique-se de que a função relevante do Azure seja atribuída à identidade do seu agente. Para obter mais informações, consulte Interrupção automática de ataques para SAP (Visualização). |
| Entidades unificadas | As páginas de entidade para dispositivos, usuários, endereços IP e recursos do Azure no portal do Defender exibem informações de fontes de dados do Microsoft Sentinel e do Defender. Estas páginas de entidades fornecem um contexto expandido para as suas investigações de incidentes e alertas no portal do Defender. Para obter mais informações, consulte Investigar entidades com páginas de entidade no Microsoft Sentinel. |
| Incidentes unificados | Gerencie e investigue incidentes de segurança em um único local e a partir de uma única fila no portal do Defender. Os incidentes incluem: - Dados provenientes da amplitude das fontes - Ferramentas analíticas de IA de segurança da informação e gestão de eventos (SIEM) - Ferramentas de contexto e mitigação oferecidas pela deteção e resposta estendida (XDR) Para obter mais informações, consulte Resposta a incidentes no portal do Microsoft Defender. |
Diferenças de capacidade entre portais
A maioria dos recursos do Microsoft Sentinel está disponível nos portais do Azure e do Defender. No portal do Defender, algumas experiências do Microsoft Sentinel são abertas no portal do Azure para que você conclua uma tarefa.
Esta seção aborda os recursos ou integrações do Microsoft Sentinel na plataforma unificada de operações de segurança que só estão disponíveis no portal do Azure ou no portal do Defender ou outras diferenças significativas entre os portais. Ele exclui as experiências do Microsoft Sentinel que abrem o portal do Azure do portal do Defender.
| Funcionalidade | Disponibilidade | Description |
|---|---|---|
| Caça avançada usando marcadores | Apenas portal do Azure | Os marcadores não são suportados na experiência de caça avançada no portal do Microsoft Defender. No portal do Defender, eles são suportados no Microsoft Sentinel > Threat management > Hunting. Para obter mais informações, consulte Manter o controle de dados durante a caça com o Microsoft Sentinel. |
| Interrupção de ataques para SAP | Apenas portal do Defender | Essa funcionalidade não está disponível no portal do Azure. Para obter mais informações, consulte Interrupção automática de ataques no portal do Microsoft Defender. |
| Automatização | Alguns procedimentos de automação estão disponíveis apenas no portal do Azure. Outros procedimentos de automação são os mesmos nos portais do Defender e do Azure, mas diferem no portal do Azure entre espaços de trabalho integrados à plataforma unificada de operações de segurança e espaços de trabalho que não estão. |
Para obter mais informações, consulte Automação com a plataforma unificada de operações de segurança. |
| Conectores de dados: visibilidade dos conectores usados pela plataforma unificada de operações de segurança | Apenas portal do Azure | No portal do Defender, depois de integrar o Microsoft Sentinel, os seguintes conectores de dados que fazem parte da plataforma unificada de operações de segurança não são mostrados na página Conectores de dados: No portal do Azure, esses conectores de dados ainda estão listados com os conectores de dados instalados no Microsoft Sentinel. |
| Entidades: Adicionar entidades à inteligência de ameaças de incidentes | Apenas portal do Azure | Essa funcionalidade não está disponível na plataforma unificada de operações de segurança. Para obter mais informações, consulte Adicionar entidade a indicadores de ameaça. |
| Fusion: Deteção avançada de ataques em vários estágios | Apenas portal do Azure | A regra de análise do Fusion, que cria incidentes com base em correlações de alerta feitas pelo mecanismo de correlação do Fusion, é desabilitada quando você integra o Microsoft Sentinel à plataforma unificada de operações de segurança. A plataforma unificada de operações de segurança usa as funcionalidades de criação de incidentes e correlação do Microsoft Defender XDR para substituir as do mecanismo Fusion. Para obter mais informações, consulte Deteção avançada de ataques em vários estágios no Microsoft Sentinel |
| Incidentes: Adicionar alertas a incidentes / Remoção de alertas de incidentes |
Apenas portal do Defender | Depois de integrar o Microsoft Sentinel à plataforma unificada de operações de segurança, você não pode mais adicionar alertas ou remover alertas de incidentes no portal do Azure. Você pode remover um alerta de um incidente no portal do Defender, mas apenas vinculando o alerta a outro incidente (existente ou novo). |
| Incidentes: edição de comentários | Apenas portal do Azure | Depois de integrar o Microsoft Sentinel à plataforma unificada de operações de segurança, você pode adicionar comentários a incidentes em qualquer portal, mas não pode editar comentários existentes. As edições feitas em comentários no portal do Azure não são sincronizadas com a plataforma unificada de operações de segurança. |
| Incidentes: Criação programática e manual de incidentes | Apenas portal do Azure | Os incidentes criados no Microsoft Sentinel por meio da API, por um manual do Aplicativo Lógico ou manualmente do portal do Azure não são sincronizados com a plataforma unificada de operações de segurança. Esses incidentes ainda têm suporte no portal do Azure e na API. Consulte Criar seus próprios incidentes manualmente no Microsoft Sentinel. |
| Incidentes: Reabertura de incidentes encerrados | Apenas portal do Azure | Na plataforma unificada de operações de segurança, não é possível definir o agrupamento de alertas nas regras de análise do Microsoft Sentinel para reabrir incidentes fechados se novos alertas forem adicionados. Neste caso, os incidentes encerrados não são reabertos e novos alertas desencadeiam novos incidentes. |
| Incidentes: Tarefas | Apenas portal do Azure | As tarefas não estão disponíveis na plataforma unificada de operações de segurança. Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel. |
Referência rápida
Alguns recursos do Microsoft Sentinel, como a fila de incidentes unificada, são integrados ao Microsoft Defender XDR na plataforma unificada de operações de segurança. Muitos outros recursos do Microsoft Sentinel estão disponíveis na seção Microsoft Sentinel do portal do Defender.
A imagem a seguir mostra o menu do Microsoft Sentinel no portal do Defender:
As seções a seguir descrevem onde encontrar os recursos do Microsoft Sentinel no portal do Defender. As seções são organizadas como Microsoft Sentinel está no portal do Azure.
Geral
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Geral no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Descrição geral | Descrição geral |
| Registos | Investigação e resposta > Caça > avançada |
| Notícias e guias | Não disponível |
| Pesquisar | Pesquisa do Microsoft Sentinel > |
Gestão de ameaças
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Gerenciamento de ameaças no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Incidentes | Investigação e resposta > Incidentes & alertas > Incidentes |
| Livros | Pastas de trabalho de gerenciamento de> ameaças do Microsoft Sentinel > |
| Investigação | Caça ao gerenciamento de ameaças > do Microsoft Sentinel > |
| Notebooks | Notebooks de gerenciamento de ameaças > do Microsoft Sentinel > |
| Comportamento da entidade | Página da entidade do usuário: Assets > Identities >{user}> Sentinel events Página da entidade do dispositivo: Assets > Devices >{device}> Sentinel events Além disso, localize as páginas de entidade para os tipos de entidade de usuário, dispositivo, IP e recursos do Azure a partir de incidentes e alertas à medida que aparecem. |
| Informações sobre ameaças | Microsoft Sentinel > Gestão de > ameaças Inteligência de ameaças |
| MITRE ATT&CK | Gerenciamento de > ameaças do Microsoft Sentinel > MITRE ATT&CK |
Content management (Gestão de conteúdos)
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Gerenciamento de conteúdo no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Hub de conteúdo | Hub de conteúdo de gerenciamento de > conteúdo do Microsoft Sentinel > |
| Repositórios | Repositórios de gerenciamento de conteúdo > do Microsoft Sentinel > |
| Comunidade | Comunidade de gerenciamento de conteúdo > do Microsoft Sentinel > |
Configuração
A tabela a seguir lista as alterações na navegação entre os portais do Azure e do Defender para a seção Configuração no portal do Azure.
| Portal do Azure | Portal do Defender |
|---|---|
| Gestor de espaços de trabalho | Não disponível |
| Conectores de dados | Conectores de dados de configuração > do Microsoft Sentinel > |
| Análise | Análise de configuração do > Microsoft Sentinel > |
| Listas de observação | Listas de observação de configuração > do Microsoft Sentinel > |
| Automatização | Automação de configuração > do Microsoft Sentinel > |
| Definições | Configurações do > sistema > Microsoft Sentinel |