Início Rápido: Integrar o Microsoft Sentinel

  • Artigo

Neste início rápido, você habilitará o Microsoft Sentinel e instalará uma solução do hub de conteúdo. Em seguida, você configurará um conector de dados para começar a ingerir dados no Microsoft Sentinel.

O Microsoft Sentinel vem com muitos conectores de dados para produtos Microsoft, como o conector de serviço a serviço Microsoft Defender XDR. Você também pode habilitar conectores internos para produtos que não sejam da Microsoft, como Syslog ou CEF (Common Event Format). Para este início rápido, você usará o conector de dados de Atividade do Azure disponível na solução de Atividade do Azure para Microsoft Sentinel.

Pré-requisitos

  • Subscrição Ativa do Azure. Se não tiver uma, crie uma conta gratuita antes de começar.

  • Espaço de trabalho do Log Analytics. Saiba como criar um espaço de trabalho do Log Analytics. Para obter mais informações sobre espaços de trabalho do Log Analytics, consulte Projetando sua implantação do Azure Monitor Logs.

    Você pode ter um padrão de retenção de 30 dias no espaço de trabalho do Log Analytics usado para o Microsoft Sentinel. Para se certificar de que pode utilizar todas as funcionalidades e funcionalidades do Microsoft Sentinel, aumente a retenção para 90 dias. Configure políticas de retenção e arquivamento de dados nos Logs do Azure Monitor.

  • Permissões:

    • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel reside.

    • Para usar o Microsoft Sentinel, você precisa de permissões do Microsoft Sentinel Contributor ou do Microsoft Sentinel Reader no grupo de recursos ao qual o espaço de trabalho pertence.

    • Para instalar ou gerenciar soluções no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no grupo de recursos ao qual o espaço de trabalho pertence.

  • O Microsoft Sentinel é um serviço pago. Analise as opções de preços e a página de preços do Microsoft Sentinel.

  • Antes de implantar o Microsoft Sentinel em um ambiente de produção, revise as atividades de pré-implantação e os pré-requisitos para implantar o Microsoft Sentinel.

Ativar o Microsoft Sentinel

Para começar, adicione o Microsoft Sentinel a um espaço de trabalho existente ou crie um novo.

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Microsoft Sentinel.

    Captura de ecrã a mostrar a procura de um serviço enquanto ativa o Microsoft Sentinel.

  3. Selecione Criar.

  4. Selecione o espaço de trabalho que deseja usar ou crie um novo. Você pode executar o Microsoft Sentinel em mais de um espaço de trabalho, mas os dados são isolados em um único espaço de trabalho.

    Captura de ecrã a mostrar a escolha de uma área de trabalho ao ativar o Microsoft Sentinel.

    • Os espaços de trabalho padrão criados pelo Microsoft Defender for Cloud não são mostrados na lista. Não é possível instalar o Microsoft Sentinel nesses espaços de trabalho.
    • Uma vez implantado em um espaço de trabalho, o Microsoft Sentinel não oferece suporte à movimentação desse espaço de trabalho para outro grupo de recursos ou assinatura.

  5. Selecione Adicionar.

Como alternativa ao uso do portal, você pode integrar ao Microsoft Sentinel usando uma solicitação de API, chamando a API ARM OnboardingStates.

Instalar uma solução a partir do hub de conteúdo

O hub de conteúdo no Microsoft Sentinel é o local centralizado para descobrir e gerenciar conteúdo pronto para uso, incluindo conectores de dados. Para este início rápido, instale a solução para a Atividade do Azure.

  1. No Microsoft Sentinel, selecione Hub de conteúdo.

  2. Localize e selecione a solução Azure Activity .

    Captura de ecrã do hub de conteúdo com a solução para a Atividade do Azure selecionada.

  3. Na barra de ferramentas na parte superior da página, selecione Instalar/Atualizar.

Configurar o conector de dados

O Microsoft Sentinel ingere dados de serviços e aplicativos conectando-se ao serviço e encaminhando os eventos e logs para o Microsoft Sentinel. Para este início rápido, instale o conector de dados para encaminhar dados da Atividade do Azure para o Microsoft Sentinel.

  1. No Microsoft Sentinel, selecione Conectores de dados.

  2. Procure e selecione o conector de dados da Atividade do Azure.

  3. No painel de detalhes do conector, selecione Abrir página do conector.

  4. Revise as instruções para configurar o conector.

  5. Selecione Iniciar o Assistente de Atribuição de Políticas do Azure.

  6. Na guia Noções básicas, defina o Escopo como o grupo de assinaturas e recursos que tem atividade para enviar ao Microsoft Sentinel. Por exemplo, selecione a assinatura que contém sua instância do Microsoft Sentinel.

  7. Selecione o separador Parâmetros.

  8. Defina o espaço de trabalho do Primary Log Analytics. Este deve ser o espaço de trabalho onde o Microsoft Sentinel está instalado.

  9. Selecione Rever + criar e Criar.

Gerar dados de atividade

Vamos gerar alguns dados de atividade habilitando uma regra que foi incluída na solução de Atividade do Azure para Microsoft Sentinel. Esta etapa também mostra como gerenciar conteúdo no hub de conteúdo.

  1. No Microsoft Sentinel, selecione Hub de conteúdo.

  2. Localize e selecione a solução Azure Activity .

  3. No painel do lado direito, selecione Gerenciar.

  4. Localize e selecione o modelo de regra Implantação de recursos suspeitos.

  5. Selecione Configuração.

  6. Selecione a regra e Criar regra.

  7. Na guia Geral, altere o Status para habilitado. Deixe o restante dos valores padrão.

  8. Aceite os padrões nas outras guias.

  9. Na guia Revisar e criar, selecione Criar.

Ver dados ingeridos no Microsoft Sentinel

Agora que você habilitou o conector de dados de atividade do Azure e gerou alguns dados de atividade, vamos exibir os dados de atividade adicionados ao espaço de trabalho.

  1. No Microsoft Sentinel, selecione Conectores de dados.

  2. Procure e selecione o conector de dados da Atividade do Azure.

  3. No painel de detalhes do conector, selecione Abrir página do conector.

  4. Revise o status do conector de dados. Deve estar ligado.

    Captura de ecrã do conector de dados para a Atividade do Azure com o estado apresentado como ligado.

  5. No painel do lado esquerdo acima do gráfico, selecione Ir para a análise de log.

  6. Na parte superior do painel, ao lado da guia Nova consulta 1 , selecione a + guia para adicionar uma nova consulta.

  7. No painel de consulta, execute a seguinte consulta para exibir a data da atividade ingerida no espaço de trabalho.

     AzureActivity

    Captura de ecrã da janela de consulta de registo com os resultados devolvidos para a consulta Atividade do Azure.

Próximos passos

Neste início rápido, você habilitou o Microsoft Sentinel e instalou uma solução do hub de conteúdo. Em seguida, você configura um conector de dados para começar a ingerir dados no Microsoft Sentinel. Você também verificou que os dados estão sendo ingeridos exibindo os dados no espaço de trabalho.