Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) nativa da nuvem com a capacidade de ingerir, selecionar e gerenciar informações sobre ameaças de várias fontes.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Introdução à inteligência de ameaças
Inteligência de ameaças cibernéticas (CTI) é uma informação que descreve ameaças existentes ou potenciais a sistemas e usuários. Essa inteligência assume muitas formas, como relatórios escritos que detalham as motivações, a infraestrutura e as técnicas de um determinado agente de ameaça. Também podem ser observações específicas de endereços IP, domínios, hashes de arquivos e outros artefatos associados a ameaças cibernéticas conhecidas.
As organizações usam a CTI para fornecer contexto essencial para atividades incomuns, para que o pessoal de segurança possa agir rapidamente para proteger suas pessoas, informações e ativos. Você pode obter CTI de vários lugares, como:
- Feeds de dados de código aberto
- Comunidades de compartilhamento de informações sobre ameaças
- Fontes de inteligência comercial
- Informações locais recolhidas no decurso de investigações de segurança dentro de uma organização
Para soluções SIEM como o Microsoft Sentinel, as formas mais comuns de CTI são indicadores de ameaça, que também são conhecidos como indicadores de comprometimento (IOCs) ou indicadores de ataque. Os indicadores de ameaça são dados que associam artefatos observados, como URLs, hashes de arquivos ou endereços IP, a atividades de ameaças conhecidas, como phishing, botnets ou malware. Esta forma de inteligência de ameaças é frequentemente chamada de inteligência tática de ameaças. É aplicado a produtos de segurança e automação em grande escala para detetar ameaças potenciais a uma organização e protegê-las contra elas.
Outra faceta da inteligência de ameaças representa os agentes de ameaça, suas técnicas, táticas e procedimentos (TTPs), sua infraestrutura e as identidades de suas vítimas. O Microsoft Sentinel suporta o gerenciamento dessas facetas junto com IOCs, expressas usando o padrão de código aberto para troca de CTI conhecido como STIX (structured threat information expression). A inteligência de ameaças expressa como objetos STIX melhora a interoperabilidade e capacita as organizações a caçar com mais eficiência. Use objetos STIX de inteligência de ameaças no Microsoft Sentinel para detetar atividades maliciosas observadas em seu ambiente e fornecer o contexto completo de um ataque para informar as decisões de resposta.
A tabela a seguir descreve as atividades necessárias para aproveitar ao máximo a integração de inteligência contra ameaças (TI) no Microsoft Sentinel:
| Ação | Descrição |
|---|---|
| Armazene informações sobre ameaças no espaço de trabalho do Microsoft Sentinel |
|
| Gerencie informações sobre ameaças |
|
| Use inteligência sobre ameaças |
|
A inteligência de ameaças também fornece contexto útil em outras funcionalidades do Microsoft Sentinel, como os notebooks. Para obter mais informações, consulte Introdução aos blocos de anotações e MSTICPy.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importe e conecte informações sobre ameaças
A maioria das informações sobre ameaças é importada usando conectores de dados ou uma API. Configure regras de ingestão para reduzir o ruído e garantir que seus feeds de inteligência sejam otimizados. Aqui estão as soluções disponíveis para o Microsoft Sentinel.
- Conector de dados do Microsoft Defender Threat Intelligence para integrar a inteligência de ameaças da Microsoft
- Threat Intelligence - TAXII conector de dados para feeds STIX/TAXII padrão do setor
- API de upload do Threat Intelligence para feeds TI integrados e selecionados usando uma API REST para se conectar (não requer um conector de dados)
- O conector de dados da Threat Intelligence Platform também conecta feeds de TI usando uma API REST herdada, mas está no caminho da descontinuação
Use essas soluções em qualquer combinação, dependendo de onde sua organização obtém informações sobre ameaças. Todos esses conectores de dados estão disponíveis no hub de conteúdo como parte da solução de inteligência de ameaças . Para obter mais informações sobre esta solução, consulte a entrada do Azure Marketplace Threat Intelligence.
Além disso, consulte este catálogo de integrações de inteligência de ameaças que estão disponíveis com o Microsoft Sentinel.
Adicione informações sobre ameaças ao Microsoft Sentinel com o conector de dados do Defender Threat Intelligence
Traga IOCs públicos, de código aberto e de alta fidelidade gerados pelo Defender Threat Intelligence para o seu espaço de trabalho do Microsoft Sentinel com os conectores de dados do Defender Threat Intelligence. Com uma configuração simples com um clique, use a inteligência de ameaças dos conectores de dados padrão e premium do Defender Threat Intelligence para monitorar, alertar e caçar.
Existem duas versões do conector de dados, standard e premium. Também está disponível, gratuitamente, uma regra de análise de ameaças do Defender Threat Intelligence, que oferece uma amostra das funcionalidades fornecidas pelo conector de dados premium do Defender Threat Intelligence. No entanto, com análises correspondentes, apenas os indicadores que correspondem à regra são inseridos no seu ambiente.
O conector de dados premium do Defender Threat Intelligence ingere inteligência de código aberto, enriquecida pela Microsoft, e IOCs com curadoria da Microsoft. Esses recursos premium permitem a análise de mais fontes de dados com maior flexibilidade e compreensão dessa inteligência de ameaças. Aqui está uma tabela que mostra o que esperar quando você licenciar e ativar a versão premium.
| Gratuito | Premium |
|---|---|
| IOCs Públicas | |
| Inteligência de código aberto (OSINT) | |
| Microsoft IOCs | |
| OSINT enriquecido pela Microsoft |
Para obter mais informações, consulte os seguintes artigos:
- Para saber como obter uma licença premium e explorar todas as diferenças entre as versões padrão e premium, consulte Explorar as licenças do Defender Threat Intelligence.
- Para saber mais sobre a experiência gratuita do Defender Threat Intelligence, consulte Apresentando a experiência gratuita do Defender Threat Intelligence para o Microsoft Defender XDR.
- Para saber como habilitar o Defender Threat Intelligence e os conectores de dados premium do Defender Threat Intelligence, consulte Habilitar o conector de dados do Defender Threat Intelligence.
- Para saber mais sobre análises de correspondência, consulte Usar análises de correspondência para detetar ameaças.
Adicione informações sobre ameaças ao Microsoft Sentinel com a API de carregamento
Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. A API de carregamento permite que você use essas soluções para importar objetos STIX de inteligência de ameaças para o Microsoft Sentinel.
A nova API de carregamento não requer um conector de dados e oferece as seguintes melhorias:
- Os campos do indicador de ameaça são baseados no formato padronizado STIX.
- O aplicativo Microsoft Entra requer a função de Colaborador do Microsoft Sentinel.
- O ponto final da solicitação de API está definido ao nível do espaço de trabalho. As permissões necessárias do aplicativo Microsoft Entra permitem a atribuição granular no nível do espaço de trabalho.
Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças usando a API de upload
Adicione informações sobre ameaças ao Microsoft Sentinel com o conector de dados da Threat Intelligence Platform
Nota
Este conector de dados agora está num caminho para a desativação.
Assim como a API de upload, o conector de dados da Threat Intelligence Platform usa uma API que permite que sua TIP ou solução personalizada envie informações sobre ameaças para o Microsoft Sentinel. No entanto, este conector de dados é limitado apenas a indicadores e agora está a caminho da descontinuação. Recomendamos que você aproveite as otimizações que a API de upload tem a oferecer.
O conector de dados TIP usa a API tiIndicators do Microsoft Graph Security que não suporta outros objetos STIX. Use-o com qualquer TIP personalizada que se comunique com a API tiIndicators para enviar indicadores para o Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como o Defender XDR).
Para obter mais informações sobre as soluções TIP integradas ao Microsoft Sentinel, consulte Produtos de plataforma integrada de inteligência contra ameaças. Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel.
Adicione informações sobre ameaças ao Microsoft Sentinel com o conector de dados Threat Intelligence - TAXII
O padrão da indústria mais amplamente adotado para a transmissão de informações sobre ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se a sua organização obtiver informações sobre ameaças de soluções que suportem a versão atual do STIX/TAXII (2.0 ou 2.1), use o conector de dados Threat Intelligence - TAXII para trazer sua inteligência de ameaças para o Microsoft Sentinel. O conector de dados Threat Intelligence - TAXII permite que um cliente TAXII integrado no Microsoft Sentinel importe informações sobre ameaças de servidores TAXII 2.x.
Para importar informações sobre ameaças formatadas em STIX para o Microsoft Sentinel a partir de um servidor TAXII:
- Obtenha a raiz da API do servidor TAXII e o ID da coleção.
- Ative o conector de dados Threat Intelligence - TAXII no Microsoft Sentinel.
Para obter mais informações, consulte Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII.
Crie e gerencie informações sobre ameaças
A inteligência de ameaças fornecida pelo Microsoft Sentinel é gerenciada ao lado do Microsoft Defender Threat Intelligence (MDTI) e do Threat Analytics no portal do Microsoft Defender.
Nota
A inteligência de ameaças no portal do Azure ainda é acessada a partir do Microsoft Sentinel>Gestão de ameaças>Inteligência de ameaças.
Duas das tarefas mais comuns de inteligência de ameaças são a criação de novas informações sobre ameaças relacionadas a investigações de segurança e a adição de tags. A interface de gerenciamento simplifica o processo manual de curadoria de informações sobre ameaças individuais com alguns recursos importantes.
- Configure regras de ingestão para otimizar informações sobre ameaças de fontes de entrada.
- Defina relações à medida que cria novos objetos STIX.
- Organize a TI existente com a ferramenta de criação de relações.
- Copie metadados comuns de um objeto TI novo ou existente com a função de duplicação.
- Adicione tags de forma livre a objetos com seleção múltipla.
Os seguintes objetos STIX estão disponíveis no Microsoft Sentinel: 
| Objeto STIX | Descrição |
|---|---|
| Agente de ameaça | Desde script kiddies a estados-nação, os objetos dos atores de ameaça descrevem motivações, sofisticação e níveis de recursos. |
| Padrão de ataque | Também conhecidos como técnicas, táticas e procedimentos, os padrões de ataque descrevem um componente específico de um ataque e o estágio MITRE ATT&CK em que ele é usado. |
| Indicador |
Domain name, URL, IPv4 address, IPv6 address, e File hashesX509 certificates são utilizados para autenticar a identidade de dispositivos e servidores para uma comunicação segura através da Internet.
JA3 as impressões digitais são identificadores exclusivos gerados a partir do processo de handshake TLS/SSL. Eles ajudam na identificação de aplicativos e ferramentas específicas usadas no tráfego de rede, facilitando a deteção de atividadesJA3S maliciosas As impressões digitais ampliam os recursos do JA3, incluindo também características específicas do servidor no processo de impressão digital. Esta extensão fornece uma visão mais abrangente do tráfego de rede e ajuda na identificação de ameaças do lado do cliente e do servidor.
User agents Forneça informações sobre o software cliente que faz solicitações a um servidor, como o navegador ou o sistema operacional. Eles são úteis para identificar e criar perfis de dispositivos e aplicativos que acessam uma rede. |
| Identidade | Descreva vítimas, organizações e outros grupos ou indivíduos, juntamente com os setores de negócios mais estreitamente associados a eles. |
| Relacionamento | Os fios que conectam a inteligência de ameaças, ajudando a estabelecer conexões entre sinais e pontos de dados díspares, são descritos através de relações. |
Configurar regras de ingestão
Otimize os feeds de inteligência de ameaças filtrando e aprimorando objetos antes que eles sejam entregues ao seu espaço de trabalho. As regras de ingestão atualizam atributos ou excluem objetos completamente. A tabela a seguir lista alguns casos de uso:
| Regra de ingestão caso de uso | Descrição |
|---|---|
| Reduzir o ruído | Filtre informações de ameaças antigas não atualizadas por 6 meses que também tenham baixa confiança. |
| Prolongar a data de validade | Promova IOCs de alta fidelidade de fontes confiáveis, estendendo seu Valid until por 30 dias. |
| Lembre-se dos velhos tempos | A nova taxonomia de atores de ameaças é ótima, mas alguns dos analistas querem ter certeza de marcar os nomes antigos. |
Tenha em mente as seguintes dicas para usar as regras de ingestão:
- Todas as regras se aplicam em ordem. Os objetos de inteligência de ameaças que estão sendo ingeridos serão processados por cada regra até que uma
Deleteação seja tomada. Se nenhuma ação for tomada em um objeto, ele será ingerido da fonte como está. - A ação
Deletesignifica que o objeto de inteligência sobre ameaças é ignorado no processo de ingestão, o que significa que é removido do fluxo de processamento. Quaisquer versões anteriores do objeto já ingerido não são afetadas. - Regras novas e editadas levam até 15 minutos para entrar em vigor.
Para obter mais informações, consulte Trabalhar com regras de ingestão de informações sobre ameaças.
Criar relações
Melhore a deteção e a resposta a ameaças estabelecendo conexões entre objetos com o construtor de relacionamentos. A tabela a seguir lista alguns de seus casos de uso:
| Caso de uso de relacionamento | Descrição |
|---|---|
| Conectar um agente de ameaça a um padrão de ataque | O agente APT29 de ameaça Usa o padrão Phishing via Email de ataque para obter acesso inicial. |
| Vincular um indicador a um agente de ameaça | Um indicador allyourbase.contoso.com de domínio é atribuído ao agente APT29de ameaça. |
| Associar uma identidade (vítima) a um padrão de ataque | O padrão Phishing via Email de ataque tem como alvo a FourthCoffee organização. |
A imagem a seguir mostra como o construtor de relacionamentos conecta todos esses casos de uso.
Organizar informações sobre ameaças
Configure quais objetos de TI podem ser compartilhados com públicos apropriados designando um nível de sensibilidade chamado TLP (Traffic Light Protocol).
| Cor TLP | Sensibilidade |
|---|---|
| Branco | As informações podem ser partilhadas livre e publicamente sem quaisquer restrições. |
| Verde | As informações podem ser compartilhadas com colegas e organizações parceiras dentro da comunidade, mas não publicamente. Destina-se a um público mais amplo dentro da comunidade. |
| Âmbar | As informações podem ser compartilhadas com os membros da organização, mas não publicamente. Destina-se a ser usado dentro da organização para proteger informações confidenciais. |
| Vermelho | As informações são altamente confidenciais e não devem ser compartilhadas fora do grupo ou reunião específica onde foram originalmente divulgadas. |
Defina valores TLP para objetos TI na interface do usuário ao criá-los ou editá-los. A definição de TLP através da API é menos intuitiva e exige a seleção de um dos quatro GUIDs de objetos marking-definition. Para obter mais informações sobre como configurar o TLP por meio da API, consulte object_marking_refs nas propriedades comuns da API de carregamento
Outra forma de fazer a curadoria de TI é com etiquetas. Marcar informações sobre ameaças é uma maneira rápida de agrupar objetos para torná-los mais fáceis de encontrar. Normalmente, você pode aplicar tags relacionadas a um incidente específico. Mas, se um objeto representar ameaças de um determinado ator conhecido ou campanha de ataque conhecida, considere criar um relacionamento em vez de uma tag. Depois de pesquisar e filtrar as informações sobre ameaças com as quais deseja trabalhar, marque-as individualmente ou faça uma seleção múltipla e marque-as todas de uma vez. Como a marcação é de forma livre, recomendamos que você crie convenções de nomenclatura padrão para tags de inteligência de ameaças.
Para obter mais informações, consulte Trabalhar com informações sobre ameaças no Microsoft Sentinel.
Veja a sua inteligência de ameaças
Visualize suas informações sobre ameaças na interface de gerenciamento ou usando consultas:
Na interface de gerenciamento, use a pesquisa avançada para classificar e filtrar seus objetos de inteligência de ameaças sem sequer escrever uma consulta do Log Analytics.
Use consultas para exibir informações sobre ameaças de Logs no portal do Azure ou Caça avançada no portal do Defender.
De qualquer forma, a
ThreatIntelligenceIndicatortabela sob o esquema do Microsoft Sentinel é onde todos os seus indicadores de ameaça do Microsoft Sentinel são armazenados. Esta tabela serve de base para consultas de inteligência de ameaças realizadas por outras funcionalidades do Microsoft Sentinel, como análises, consultas de pesquisa ativa e cadernos de anotações.
Importante
Em 3 de abril de 2025, visualizamos publicamente duas novas tabelas para suportar indicadores STIX e esquemas de objetos: ThreatIntelIndicators e ThreatIntelObjects. O Microsoft Sentinel ingerirá todas as informações sobre ameaças nessas novas tabelas, enquanto continuará a ingerir os mesmos dados na tabela herdada ThreatIntelligenceIndicator até 31 de julho de 2025.
Certifique-se de atualizar suas consultas personalizadas, regras de análise e deteção, pastas de trabalho e automação para usar as novas tabelas até 31 de julho de 2025. Após essa data, o Microsoft Sentinel deixará de ingerir dados na tabela herdada ThreatIntelligenceIndicator . Estamos a atualizar todas as soluções de inteligência de ameaças prontas para uso no Content Hub para tirar partido das novas tabelas. Para obter mais informações sobre os novos esquemas de tabela, consulte ThreatIntelIndicators e ThreatIntelObjects.
Para obter informações sobre como usar e migrar para as novas tabelas, consulte Trabalhar com objetos STIX para aprimorar a inteligência de ameaças e a caça a ameaças no Microsoft Sentinel (Visualização).
Ciclo de vida da inteligência de ameaças
O Microsoft Sentinel armazena dados de inteligência de ameaças em suas tabelas de inteligência de ameaças e reintroduz automaticamente todos os dados a cada sete dias para otimizar a eficiência da consulta.
Quando um indicador é criado, atualizado ou excluído, o Microsoft Sentinel cria uma nova entrada nas tabelas. Apenas o indicador mais atual aparece na interface de gerenciamento. Microsoft Sentinel desduplica indicadores com base na propriedade Id (a propriedade IndicatorId no legado ThreatIntelligenceIndicator) e escolhe o indicador com a TimeGenerated[UTC] mais recente.
A propriedade Id é uma concatenação do valor SourceSystem codificado em base64, --- (três traços), e do stixId (que é o valor Data.Id).
Veja o enriquecimento dos dados de localização geográfica e WhoIs (pré-visualização pública)
A Microsoft enriquece indicadores de IP e domínio com dados extras GeoLocation e WhoIs para fornecer mais contexto para investigações onde o IOC selecionado é encontrado.
Exiba os dados de GeoLocation e WhoIs no painel Threat Intelligence para esses tipos de indicadores de ameaça importados para o Microsoft Sentinel.
Por exemplo, use GeoLocation dados para localizar informações como a organização ou o país ou região de um indicador IP. Use WhoIs para encontrar dados, como informações de registadores e data de criação de registos de um indicador de domínio.
Detete ameaças com análise de indicadores de ameaças
O caso de uso mais importante para inteligência de ameaças em soluções SIEM como o Microsoft Sentinel é potencializar as regras de análise para deteção de ameaças. Essas regras baseadas em indicadores comparam eventos brutos de suas fontes de dados com seus indicadores de ameaças para detetar ameaças à segurança em sua organização. No Microsoft Sentinel Analytics, você cria regras de análise alimentadas por consultas que são executadas de acordo com uma programação e geram alertas de segurança. Juntamente com as configurações, eles determinam com que frequência a regra deve ser executada, que tipo de resultados de consulta devem gerar alertas e incidentes de segurança e, opcionalmente, quando acionar uma resposta automatizada.
Embora você sempre possa criar novas regras de análise do zero, o Microsoft Sentinel fornece um conjunto de modelos de regras internos, criados por engenheiros de segurança da Microsoft, para aproveitar seus indicadores de ameaça. Esses modelos são baseados no tipo de indicadores de ameaça (domínio, e-mail, hash de arquivo, endereço IP ou URL) e eventos de fonte de dados que você deseja corresponder. Cada modelo lista as fontes necessárias para que a regra funcione. Essas informações facilitam a determinação se os eventos necessários já foram importados no Microsoft Sentinel.
Por padrão, quando essas regras internas são acionadas, um alerta é criado. No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança. No menu Microsoft Sentinel, em Gerenciamento de ameaças, selecione Incidentes. As suas equipas de operações de segurança triagem e investigam incidentes para determinar as ações de resposta adequadas. Para obter mais informações, consulte Tutorial: Investigar incidentes com o Microsoft Sentinel.
Para obter mais informações sobre como usar indicadores de ameaças em suas regras de análise, consulte Usar inteligência de ameaças para detetar ameaças.
A Microsoft fornece acesso à sua inteligência de ameaças por meio da regra de análise do Defender Threat Intelligence. Para obter mais informações sobre como aproveitar esta regra, que gera alertas e incidentes de alta fidelidade, consulte Utilizar análises correspondentes para detetar ameaças.
Os cadernos fornecem informações sobre a sua inteligência de ameaças
As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel, e a inteligência contra ameaças não é exceção. Use a pasta de trabalho integrada de Threat Intelligence para visualizar informações-chave sobre a sua inteligência de ameaças. Personalize a pasta de trabalho de acordo com as necessidades da sua empresa. Crie novos painéis combinando muitas fontes de dados para ajudá-lo a visualizar seus dados de maneiras exclusivas.
Como as pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, documentação extensa e muitos outros modelos já estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.
Há também um recurso avançado para pastas de trabalho do Azure Monitor no GitHub, onde você pode baixar mais modelos e contribuir com seus próprios modelos.
Para obter mais informações sobre como usar e personalizar a pasta de trabalho do Threat Intelligence , consulte Visualizar informações sobre ameaças com pastas de trabalho.
Conteúdos relacionados
Neste artigo, você aprendeu sobre os recursos de inteligência de ameaças fornecidos pelo Microsoft Sentinel. Para obter mais informações, consulte os seguintes artigos: