Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O conector do Defender XDR permite transmitir todos os incidentes, alertas e eventos de busca avançados do Microsoft Defender XDR para o Microsoft Sentinel e mantém incidentes sincronizados entre ambos os portais. Este artigo explica como configurar o conector do Microsoft Defender XDR para o Microsoft Sentinel no portal do Azure.
Observação
O conector do Defender XDR é habilitado automaticamente quando você integra o Microsoft Sentinel ao portal do Defender. As etapas de configuração manuais descritas neste artigo não serão necessárias se você já tiver integrado o Microsoft Sentinel ao portal do Defender. Para obter mais informações, consulte o Microsoft Sentinel no portal do Microsoft Defender.
Os incidentes do Microsoft Defender XDR incluem alertas, entidades e outras informações relevantes de todos os produtos e serviços do Microsoft Defender. Para obter mais informações, consulte a integração do Microsoft Defender XDR ao Microsoft Sentinel.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Pré-requisitos
Antes de começar, você deve ter o licenciamento, o acesso e os recursos configurados adequados descritos nesta seção.
- Você deve ter uma licença válida para o Microsoft Defender XDR, conforme descrito nos pré-requisitos do Microsoft Defender XDR.
- Seu usuário deve ter a função administrador de segurança no locatário do qual você deseja transmitir os logs ou as permissões equivalentes.
- Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
- Para fazer qualquer alteração nas configurações do conector, sua conta deve ser membro do mesmo locatário do Microsoft Entra ao qual está associado o espaço de trabalho do Microsoft Sentinel.
- Instale a solução do Microsoft Defender XDR no Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel. Se você estiver trabalhando no portal do Defender, essa solução será instalada automaticamente.
- Conceda acesso ao Microsoft Sentinel conforme apropriado para sua organização. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Para sincronização do Active Directory local via Microsoft Defender para Identidade:
- Seu locatário deve ser integrado ao Microsoft Defender para Identidade.
- Você deve ter o sensor do Microsoft Defender para Identidade instalado.
Para obter mais informações, consulte Implantar o Microsoft Defender para Identidade.
Conectar-se ao Microsoft Defender XDR
No Microsoft Sentinel, selecione Conectores de dados. Selecione Microsoft Defender XDR na galeria e abra a página do conector.
A seção Configuração tem três partes:
Conectar incidentes e alertas permite a integração básica entre o Microsoft Defender XDR e o Microsoft Sentinel, sincronizando incidentes e seus alertas entre as duas plataformas.
A conexão de entidades permite a integração de identidades de usuário do Active Directory local ao Microsoft Sentinel por meio do Microsoft Defender para Identidade.
Os Eventos de conexão permitem a coleção de eventos de busca avançados brutos de componentes do Defender.
Para obter mais informações, consulte a integração do Microsoft Defender XDR ao Microsoft Sentinel.
Conectar incidentes e alertas
Para ingerir e sincronizar incidentes do Microsoft Defender XDR com todos os seus alertas na fila de incidentes do Microsoft Sentinel, conclua as etapas a seguir.
Marque a caixa de seleção rotulada Desativar todas as regras de criação de incidentes da Microsoft para esses produtos. Recomendado, para evitar a duplicação de incidentes. Essa caixa de seleção não aparecerá quando o conector do Microsoft Defender XDR estiver conectado.
Selecione o botão Conectar incidentes e alertas .
Verifique se o Microsoft Sentinel está coletando dados de incidentes do Microsoft Defender XDR. Nos Logs do Microsoft Sentinel no portal do Azure, execute a seguinte instrução na janela de consulta:
SecurityIncident | where ProviderName == "Microsoft XDR"
Quando você habilita o conector XDR do Microsoft Defender, todos os conectores dos componentes do Microsoft Defender que estavam conectados anteriormente são automaticamente desconectados em segundo plano. Embora eles continuem a aparecer conectados, nenhum dado flui através deles.
Conectar entidades
Use o Microsoft Defender para Identidade para sincronizar entidades de usuário do seu Active Directory local com o Microsoft Sentinel.
Selecione o link para ir à página de configuração do UEBA.
Na página de configuração de comportamento de entidade , se você não habilitou o UEBA, na parte superior da página, mova a alternância para Ativar.
Marque a caixa de seleção Active Directory (Versão Prévia) e selecione Aplicar.
Eventos de conexão
Se você quiser coletar eventos de busca avançada do Microsoft Defender para Ponto de Extremidade ou Microsoft Defender para Office 365, os tipos de eventos a seguir poderão ser coletados de suas tabelas de busca avançada correspondentes.
Marque as caixas de seleção das tabelas com os tipos de evento que você deseja coletar:
- Defender para Ponto de Extremidade
- Defender para Office 365
- Defender para Identidade
- Defender para Aplicativos de Nuvem
- Alertas do Defender
Nome da tabela Tipo de eventos DeviceInfo Informações do computador, incluindo informações do SO DeviceNetworkInfo Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e Mac, bem como redes e domínios conectados DeviceProcessEvents Criação de processos e eventos relacionados DeviceNetworkEvents Conexão de rede e eventos relacionados DeviceFileEvents Criação de arquivo, modificação e outros eventos do sistema de arquivos DeviceRegistryEvents Criação e modificação de entradas do Registro DeviceLogonEvents Entradas e outros eventos de autenticação em dispositivos EventosDeCarregamentoDeImagemDoDispositivo Eventos de carregamento de DLL DeviceEvents Vários tipos de evento, incluindo aqueles disparados por controles de segurança, como o Windows Defender Antivírus e o Exploit Protection DeviceFileCertificateInfo Informações de certificado de arquivos assinados obtidas de eventos de verificação de certificado em pontos de extremidade Selecione Aplicar Alterações.
Para executar uma consulta nas tabelas de busca avançada do Log Analytics, insira o nome da tabela na janela de consulta.
Verificar ingestão de dados
O gráfico de dados na página do conector indica que você está ingerindo dados. Observe que ele mostra uma linha para cada incidente, alerta e evento, e a linha de eventos é uma agregação do volume de eventos em todas as tabelas habilitadas. Depois de habilitar o conector, use as seguintes consultas KQL para gerar gráficos mais específicos.
Use a seguinte consulta KQL para obter um gráfico dos incidentes de entrada do Microsoft Defender XDR:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft XDR"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Use a consulta KQL a seguir para gerar um grafo de volume de eventos para uma única tabela ( altere a tabela DeviceEvents para a tabela necessária de sua escolha):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Consulte mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:
- deixar instrução
- em que operador
- estender operador
- projeto operador
- união operador
- classificar operador
- resumir operador
- operador de renderização
- função ago()
- Função iff()
- função de agregação max()
- Função de agregação count()
Para obter mais informações sobre o KQL, consulte Visão geral da Linguagem de Consulta Kusto (KQL).
Outros recursos:
Próxima etapa
Neste documento, você aprendeu como integrar incidentes, alertas e dados de eventos de busca avançada do Microsoft Defender XDR dos serviços do Microsoft Defender ao Microsoft Sentinel, usando o conector do Microsoft Defender XDR.
Para usar o Microsoft Sentinel junto com o Defender XDR no portal do Defender, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender