Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Orientações sobre práticas recomendadas são fornecidas em toda a documentação técnica do Microsoft Sentinel. Esse artigo destaca algumas orientações importantes a serem usadas ao implantar, gerenciar e usar o Microsoft Sentinel.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior segurança.
Para começar a usar o Microsoft Sentinel, consulte o guia de implantação, que aborda as etapas de alto nível para planejar, implantar e ajustar sua implantação do Microsoft Sentinel. Nesse guia, selecione os links fornecidos para encontrar orientações detalhadas para cada estágio da sua implantação.
Adotar uma arquitetura de plataforma única
O Microsoft Sentinel é integrado a um data lake moderno que oferece armazenamento acessível e de longo prazo, permitindo que as equipes simplifiquem o gerenciamento de dados, otimizem os custos e acelerem a adoção da IA. O data lake do Microsoft Sentinel permite uma arquitetura de plataforma única para dados de segurança e capacita analistas com uma experiência de consulta unificada, aproveitando o rico ecossistema de conectores do Microsoft Sentinel. Para obter mais informações, consulte o data lake do Microsoft Sentinel .
Adicione o Microsoft Sentinel ao portal do Microsoft Defender e integre-se ao Microsoft Defender XDR
Considere integrar o Microsoft Sentinel ao portal do Microsoft Defender para unificar recursos com o Microsoft Defender XDR, como gerenciamento de incidentes e busca avançada.
Se você não integrar o Microsoft Sentinel ao portal do Microsoft Defender, observe que:
- Até julho de 2026, todos os clientes do Microsoft Sentinel que usam o portal do Azure serão redirecionados para o portal do Defender.
- Até lá, você pode usar o conector de dados do Defender XDR para integrar os dados de serviço do Microsoft Defender ao Microsoft Sentinel no portal do Azure.
A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.
Para obter mais informações, consulte os seguintes artigos:
- Integração do Microsoft Defender XDR com o Microsoft Sentinel
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
Integrar serviços de segurança da Microsoft
O Microsoft Azure Sentinel é capacitado pelos componentes que enviam dados para o espaço de trabalho e torna-se mais forte por meio de integrações com outros serviços da Microsoft. Quaisquer logs ingeridos em produtos, como Microsoft Defender para Nuvem Apps, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Identidade, permitem que esses serviços criem detecções e, por sua vez, forneçam essas detecções ao Microsoft Sentinel. Os logs também podem ser ingeridos diretamente no Microsoft Azure Sentinel para fornecer uma visão mais completa de eventos e incidentes.
Mais do que ingerir alertas e logs de outras fontes, o Microsoft Sentinel também fornece:
| Capability | Description |
|---|---|
| Detecção de ameaças | Funcionalidades de detecção de ameaças com inteligência artificial, permitindo que você crie e apresente visuais interativos por meio de cadernos de trabalho, execute playbooks para agir automaticamente sobre alertas, integre modelos de aprendizado de máquina para aprimorar suas operações de segurança, e ingira e obtenha feeds de enriquecimento de plataformas de inteligência contra ameaças. |
| Investigação de ameaças | Recursos de investigação de ameaças que permitem visualizar e explorar alertas e entidades, detectar anomalias no comportamento de usuário e entidade e monitorar eventos em tempo real durante uma investigação. |
| Recolha de dados | Colete dados em todos os usuários, dispositivos, aplicativos e infraestrutura, local e em várias nuvens. |
| Resposta a ameaças | Recursos de resposta a ameaças, como guias estratégicos que se integram aos serviços do Azure e suas ferramentas existentes. |
| Integrações de parceiros | Integra-se a plataformas de parceiros usando conectores de dados do Microsoft Sentinel, fornecendo serviços essenciais para as equipes do SOC. |
Criar soluções de integração personalizadas (parceiros)
Para parceiros que desejam criar soluções personalizadas que se integram ao Microsoft Sentinel, consulte as práticas recomendadas para parceiros que integram com o Microsoft Sentinel.
Planejar o processo de gerenciamento de incidentes e resposta
A imagem a seguir mostra as etapas recomendadas em um processo de gerenciamento e resposta de incidentes.
A tabela a seguir fornece tarefas de gerenciamento e resposta de incidentes de alto nível e práticas recomendadas relacionadas. Para obter mais informações, consulte a investigação de incidentes do Microsoft Sentinel no portal do Azure ou incidentes e alertas no portal do Microsoft Defender.
| Tarefa | Melhor prática |
|---|---|
| Página de Revisão de Incidentes | Examine um incidente na página Incidentes , que lista o título, a gravidade e os alertas relacionados, os logs e quaisquer entidades de interesse. Você também pode saltar de incidentes para logs coletados e quaisquer ferramentas relacionadas ao incidente. |
| Usar grafo de incidente | Examine o gráfico de incidentes para ver o escopo completo de um ataque. Em seguida, você pode construir uma linha do tempo de eventos e descobrir a extensão de uma cadeia de ameaças. |
| Revisar incidentes para identificar falsos positivos | Use dados sobre entidades-chave, como contas, URLs, endereço IP, nomes de host, atividades, linha do tempo para entender se você tem um falso positivo em mãos, nesse caso, você pode fechar o incidente diretamente. Se você descobrir que o incidente é um verdadeiro positivo, execute a ação diretamente da página Incidentes para investigar logs, entidades e explorar a cadeia de ameaças. Depois de identificar a ameaça e criar um plano de ação, use outras ferramentas do Microsoft Sentinel e outros serviços de segurança da Microsoft para continuar investigando. |
| Visualizar informações | Dê uma olhada no painel de visão geral do Microsoft Sentinel para ter uma ideia da postura de segurança da sua organização. Para obter mais informações, veja Visualizar dados coletados. Além das informações e tendências na página de visão geral do Microsoft Sentinel, as pastas de trabalho são ferramentas investigativas valiosas. Por exemplo, use a pasta de trabalho Insights de Investigação para investigar incidentes específicos junto com quaisquer entidades e alertas associados. Essa pasta de trabalho permite que você se aprofunde mais em entidades mostrando registros, ações e alertas relacionados. |
| Procurar ameaças | Ao investigar e pesquisar as causas raiz, execute consultas de busca de ameaças internas e verifique os resultados de qualquer indicador de comprometimento. Para obter mais informações, veja Caça a ameaças no Microsoft Sentinel. |
| Usar transmissão ao vivo | Durante uma investigação ou após tomar medidas para remediar e erradicar a ameaça, use transmissão ao vivo. O Livestream permite monitorar, em tempo real, se há algum evento malicioso persistente ou se os eventos maliciosos ainda continuam. |
| Comportamento da entidade | O comportamento da entidade no Microsoft Sentinel permite que os usuários revisem e investiguem ações e alertas para entidades específicas, como investigar contas e nomes de host. Para obter mais informações, consulte: - Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel - Investigar incidentes com dados da UEBA - Referência dos enriquecimentos UEBA do Microsoft Sentinel |
| Watchlists | Use uma inspeção que combina dados ingeridos e fontes externas, como dados de enriquecimento. Por exemplo, crie listas de intervalos de endereços IP usados por sua organização ou por funcionários demitidos recentemente. Use watchlists com guias estratégicos para reunir dados de enriquecimento, como adicionar endereços IP mal-intencionados a watchlists para uso durante a detecção, busca de ameaças e investigações. Durante um incidente, use listas de observação para conter dados de investigação e, em seguida, exclua-as quando a investigação for concluída para garantir que os dados confidenciais não permaneçam à vista. Para obter mais informações, confira Criar watchlists no Microsoft Sentinel. |
Otimizar a coleta e a ingestão de dados
Examine as práticas recomendadas de coleta de dados do Microsoft Sentinel, que incluem priorizar conectores de dados, filtrar logs e otimizar a ingestão de dados.
Tornar suas consultas da Linguagem de Consulta Kusto mais rápidas
Revise as práticas recomendadas da Kusto Query Language para tornar as consultas mais rápidas.