Início Rápido: Integrar o Microsoft Sentinel

Neste início rápido, vai ativar o Microsoft Sentinel e, em seguida, configurar conectores de dados para monitorizar e proteger o seu ambiente. Depois de ligar as suas origens de dados através de conectores de dados, pode escolher a partir de uma galeria de livros criados de forma especializada que apresenta informações com base nos seus dados. Estes livros podem ser facilmente personalizados de acordo com as suas necessidades.

Microsoft Sentinel inclui vários conectores para produtos Microsoft, por exemplo, o conector serviço a serviço Microsoft 365 Defender. Também pode ativar conectores incorporados para produtos não Microsoft, por exemplo, Syslog ou Common Event Format (CEF). Saiba mais sobre os conectores de dados.

Pré-requisitos globais

Ativar Microsoft Sentinel

  1. Inicie sessão no portal do Azure. Certifique-se de que a subscrição na qual o Microsoft Sentinel é criado está selecionada.

  2. Procure e selecione Microsoft Sentinel.

    Captura de ecrã a mostrar a pesquisa de um serviço ao ativar o Microsoft Sentinel.

  3. Selecione Adicionar.

  4. Selecione a área de trabalho que pretende utilizar ou crie uma nova. Pode executar Microsoft Sentinel em mais do que uma área de trabalho, mas os dados estão isolados numa única área de trabalho. Tenha em atenção que as áreas de trabalho predefinidas criadas por Microsoft Defender para a Cloud não são apresentadas na lista. Não pode instalar o Microsoft Sentinel nestas áreas de trabalho.

    Captura de ecrã a mostrar a escolha de uma área de trabalho ao ativar o Microsoft Sentinel.

    Importante

    • Depois de implementado numa área de trabalho, o Microsoft Sentinel não suporta atualmente a movimentação dessa área de trabalho para outros grupos de recursos ou subscrições.

      Se já tiver movido a área de trabalho, desative todas as regras ativas em Análise e reative-as passados cinco minutos. Isto deve ser eficaz na maioria dos casos, no entanto, para reiterar, não é suportado e levado a cabo por sua conta e risco.

  5. Selecione Adicionar Microsoft Sentinel.

Configurar conectores de dados

Microsoft Sentinel ingere dados de serviços e aplicações ao ligar ao serviço e reencaminhar os eventos e registos para o Microsoft Sentinel.

  • Para máquinas físicas e virtuais, pode instalar o agente do Log Analytics que recolhe os registos e os reencaminha para o Microsoft Sentinel.
  • Para firewalls e proxies, o Microsoft Sentinel instala o agente do Log Analytics num servidor Syslog do Linux, a partir do qual o agente recolhe os ficheiros de registo e os reencaminha para Microsoft Sentinel.
  1. No menu principal, selecione Conectores de dados. Esta ação abre a galeria de conectores de dados.

  2. Selecione um conector de dados e, em seguida, selecione o botão Abrir página do conector .

  3. A página do conector mostra instruções para configurar o conector e quaisquer outras instruções que possam ser necessárias.

    Por exemplo, se selecionar o conector de dados do Azure Active Directory, que lhe permite transmitir registos de Azure AD para o Microsoft Sentinel, pode selecionar o tipo de registos que pretende obter: registos de início de sessão e/ou registos de auditoria.
    Siga as instruções de instalação. Para saber mais, leia o guia de ligação relevante ou saiba mais sobre Microsoft conectores de dados do Sentinel.

  4. O separador Passos seguintes na página do conector mostra livros incorporados relevantes, consultas de exemplo e modelos de regras de análise que acompanham o conector de dados. Pode utilizá-las tal como estão ou modificá-las. De qualquer forma, pode obter imediatamente informações interessantes sobre os seus dados.

Depois de configurar os conectores de dados, os seus dados começam a ser transmitidos para o Microsoft Sentinel e estão prontos para começar a trabalhar. Pode ver os registos nos livros incorporados e começar a criar consultas no Log Analytics para investigar os dados.

Reveja as melhores práticas de recolha de dados.

Passos seguintes

Para obter mais informações, consulte: