Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como os serviços do Microsoft Defender XDR se integram ao Microsoft Sentinel, seja no portal do Microsoft Defender ou no portal do Azure.
Se você começou a utilizar o Microsoft Sentinel pela primeira vez após 1º de julho de 2025 como proprietário de assinatura ou administrador de acesso do usuário, seu espaço de trabalho é automaticamente integrado ao portal do Defender. Nesses casos, você usa o Microsoft Sentinel somente no portal do Defender, em que seus dados podem se integrar diretamente aos dados de serviço do Defender XDR para operações de segurança unificadas.
Se você estiver usando o portal do Azure além ou em vez do portal do Defender, integre o Microsoft Defender XDR ao Microsoft Sentinel. A integração dos serviços transmite todos os incidentes do Defender XDR e eventos avançados de busca no Microsoft Sentinel e mantém os incidentes e eventos sincronizados entre os portais do Azure e do Microsoft Defender.
Os incidentes do Defender XDR incluem entidades, informações relevantes e alertas associados, fornecendo a você contexto suficiente para executar uma triagem e uma investigação preliminar no Microsoft Sentinel. Uma vez no Microsoft Sentinel, os incidentes permanecem sincronizados com o Defender XDR bidirecionalmente, permitindo que você aproveite os benefícios de ambos os portais em sua investigação de incidentes.
Microsoft Sentinel e Defender XDR
Use um dos seguintes métodos para integrar o Microsoft Sentinel aos serviços do Microsoft Defender XDR:
Ingira dados do serviço do Microsoft Defender XDR no Microsoft Sentinel e exiba dados do Microsoft Sentinel no portal do Azure. Habilite o conector do Defender XDR no Microsoft Sentinel.
Integre o Microsoft Sentinel e o Defender XDR diretamente no portal do Microsoft Defender. Nesse caso, exiba os dados do Microsoft Sentinel diretamente com o restante dos seus incidentes, alertas, vulnerabilidades e outros dados de segurança do Defender. Para fazer isso, você deve integrar o Microsoft Sentinel ao portal do Defender.
Selecione a guia apropriada para ver a aparência da integração do Microsoft Sentinel ao Defender XDR, dependendo de qual método de integração é usado.
A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel no portal do Microsoft Defender.
Neste diagrama:
- Insights de sinais em toda a sua organização alimentam o Microsoft Defender XDR e o Microsoft Defender para Nuvem.
- O Microsoft Sentinel dá suporte a ambientes multinuvem e se integra a aplicativos e parceiros de terceiros.
- Os dados do Microsoft Sentinel são ingeridos juntamente com os dados da sua organização no portal do Microsoft Defender.
- As equipes de SecOps podem, então, analisar e responder às ameaças identificadas pelo Microsoft Sentinel e pelo Microsoft Defender XDR no portal do Microsoft Defender.
Correlação entre incidentes e alertas
Com a integração do Defender XDR ao Microsoft Sentinel, os incidentes do Defender XDR ficam visíveis e podem ser gerenciados no Microsoft Sentinel. Com isso, você pode ver uma fila dos principais incidentes em toda a organização. Veja e correlacione os incidentes do Defender XDR junto com os incidentes de todos os seus outros sistemas, locais e na nuvem. Ao mesmo tempo, essa integração permite que você aproveite as vantagens e os recursos exclusivos do Defender XDR para obter investigações detalhadas e uma experiência específica para o Defender em todo o ecossistema do Microsoft 365.
O Defender XDR enriquece e agrupa os alertas de vários produtos do Microsoft Defender, tanto ao reduzir o tamanho da fila de espera de incidentes do SOC quanto ao diminuir o tempo necessário para a resolução. Os alertas dos seguintes produtos e serviços do Microsoft Defender também estão incluídos na integração do Defender XDR ao Microsoft Sentinel:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Microsoft Defender para Aplicativos de Nuvem
Outros serviços cujos alertas são coletados pelo Defender XDR incluem:
- Prevenção Contra Perda de Dados do Microsoft Purview
- Proteção do Microsoft Entra ID
- Gerenciamento de Risco Interno do Microsoft Purview
O conector do Defender XDR também inclui incidentes do Microsoft Defender para Nuvem. Para sincronizar os alertas e as entidades desses incidentes, habilite o conector do Defender para Nuvem no Microsoft Sentinel. Caso contrário, os incidentes do Defender para Nuvem parecerão vazios. Para obter mais informações, veja Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR.
Além de coletar alertas desses componentes e de outros serviços, o Defender XDR gera seus próprios alertas. Ele cria incidentes de todos esses alertas e os envia ao Microsoft Sentinel.
Cenários e casos de uso comuns
Pense em integrar o Defender XDR ao Microsoft Sentinel para os seguintes cenários e casos de uso:
Integre o Microsoft Sentinel ao portal do Microsoft Defender.
Habilite a conexão dos incidentes do Defender XDR com um clique no Microsoft Sentinel, incluindo todos os alertas e entidades dos componentes do Defender XDR.
Permita a sincronização bidirecional entre os incidentes do Microsoft Sentinel e do Defender XDR com relação ao status, ao proprietário e ao motivo do fechamento.
Aplique os recursos de agrupamento e enriquecimento de alertas do Defender XDR ao Microsoft Sentinel, reduzindo, assim, o tempo necessário para a resolução.
Facilite as investigações em ambos os portais por meio de vinculações profundas, dentro do contexto, entre um incidente do Microsoft Sentinel e o respectivo incidente paralelo do Defender XDR.
Para obter mais informações, consulte o Microsoft Sentinel no portal do Microsoft Defender.
Conectando-se ao Microsoft Defender XDR
A forma como você integra o Defender XDR depende se você planeja integrar o Microsoft Sentinel ao portal do Defender ou continuar trabalhando no portal do Azure.
Integração do portal do Defender
Se você integrar o Microsoft Sentinel ao portal do Defender e for licenciado para o Defender XDR, o Microsoft Sentinel será conectado automaticamente ao Defender XDR. O conector de dados do Defender XDR é configurado automaticamente para você. Todos os conectores de dados para os provedores de alerta incluídos no conector do Defender XDR são desconectados. Isso inclui os seguintes conectores de dados:
- Microsoft Defender para Aplicativos de Nuvem (alertas)
- Microsoft Defender para Endpoint
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Microsoft Entra ID Protection
Integração ao portal do Azure
Se você quiser sincronizar dados do Defender XDR com o Microsoft Sentinel no portal do Azure, deverá habilitar o conector do Microsoft Defender XDR no Microsoft Sentinel. Quando você habilita o conector, ele envia todos os incidentes e alertas do Defender XDR para o Microsoft Sentinel e mantém os incidentes sincronizados.
Primeiro, instale a solução Microsoft Defender XDR para Microsoft Sentinel por meio do Hub de conteúdo. Em seguida, habilite o conector de dados do Microsoft Defender XDR para coletar incidentes e alertas. Para obter mais informações, confira Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.
Após você ter habilitado os alertas e a coleta de incidentes no conector de dados do Defender XDR, os incidentes do Defender XDR irão aparecer na fila de espera de incidentes do Microsoft Sentinel logo após serem gerados no Defender XDR. Pode levar até cinco minutos desde o momento em que um incidente é gerado no Defender XDR até o momento em que ele aparece no Microsoft Sentinel. Nesses incidentes, o campo Nome do produto do alerta contém Microsoft Defender XDR ou o nome do serviço de um dos componentes do Defender.
Custos de ingestão
Os alertas e os incidentes do Defender XDR, incluindo itens que preenchem as tabelas SecurityAlert e SecurityIncident, são ingeridos e sincronizados com o Microsoft Sentinel sem nenhum custo. Para todos os outros tipos de dados de componentes individuais do Defender (como as tabelas da Busca avançada de ameaçasDeviceInfo, DeviceFileEvents, EmailEvents etc.), a ingestão é cobrada.
Para obter mais informações, consulte Planejar os custos e entender os preços e a cobrança do Microsoft Sentinel.
Comportamento de ingestão de dados
Os alertas criados por produtos integrados ao Defender XDR são enviados ao Defender XDR e agrupados em incidentes. Tanto os alertas quanto os incidentes fluem para o Microsoft Sentinel por meio do conector do Defender XDR.
A exceção a este processo é o Defender para Nuvem. Você tem a opção de habilitar alertas do Defender para Nuvem baseados em locatário para receber todos os alertas e incidentes por meio do Defender XDR ou manter alertas baseados em assinatura e promovê-los a incidentes no Microsoft Sentinel por meio do portal do Azure.
Para obter as opções disponíveis e mais informações, confira:
- Microsoft Defender para Nuvem no portal do Microsoft Defender
- Ingerir incidentes do Microsoft Defender para Nuvem com a integração do Microsoft Defender XDR
Regras de criação dos incidentes da Microsoft
Para evitar a criação de incidentes duplicados para os mesmos alertas, a configuração de regras de criação de incidentes da Microsoft é desativada para os produtos integrados ao Defender XDR quando o Defender XDR é conectado. Os produtos integrados ao Defender XDR incluem o Microsoft Defender para Identidade, o Microsoft Defender para Office 365, entre outros. Além disso, as regras de criação de incidentes da Microsoft não têm suporte no portal do Defender porque o portal do Defender tem seu próprio mecanismo de criação de incidentes. Essa alteração tem os seguintes impactos potenciais:
Filtragem de alerta. As regras de criação de incidentes do Microsoft Sentinel permitiram filtrar os alertas que seriam usados para criar incidentes. Com essas regras desabilitadas, preserve a capacidade de filtragem de alertas configurando o ajuste de alertas no portal do Microsoft Defender ou usando regras de automação para suprimir ou fechar os incidentes que você não quer ver.
Títulos de incidente. Com o conector do Defender XDR ativado, você não pode mais definir previamente os títulos dos incidentes. O mecanismo de correlação do Defender XDR preside a criação de incidentes e nomeia automaticamente os incidentes que ele cria. Essa alteração corre o risco de afetar quaisquer regras de automação que você criou e que usem o nome do incidente como uma condição. Para evitar essa cilada, use critérios que não sejam o nome do incidente como condições para disparar regras de automação. Recomendamos o uso de tags.
Regras de análise agendadas. Caso você use as regras de criação de incidentes para outras soluções de segurança da Microsoft ou outros produtos não integrados ao Defender XDR, como o Gerenciamento de Risco Interno do Microsoft Purview, e pretende integrá-las ao portal do Defender, substitua as regras de criação de incidentes por regras de análise agendada.
Como trabalhar com incidentes do Microsoft Defender XDR no Microsoft Sentinel e na sincronização bidirecional
Os incidentes do Defender XDR aparecem na fila de espera de incidentes do Microsoft Sentinel com o nome do produto Microsoft Defender XDR, juntamente com detalhes e funcionalidades semelhantes aos de qualquer outro incidente do Microsoft Sentinel. Cada incidente contém um link para outro incidente paralelo no portal do Microsoft Defender XDR.
À medida que o incidente evolui no Defender XDR e mais alertas ou entidades são adicionados a ele, o incidente do Microsoft Sentinel é atualizado de acordo.
As alterações feitas em determinados campos ou atributos de um incidente do Defender XDR, Defender XDR ou Microsoft Sentinel, também são atualizadas de acordo com a fila de incidentes do outro. A sincronização ocorrerá em ambos os portais imediatamente após a aplicação da alteração no incidente, sem nenhum atraso. Talvez seja necessário executar uma atualização para conferir as alterações mais recentes.
Os seguintes campos são sincronizados tal como estão entre incidentes no portal do Defender e no Microsoft Sentinel no portal do Azure:
- Título
- Descrição
- ProductName
- Severidade
- Tags personalizadas
- DadosAdicionais
- Comentários (somente novos)
- LastModifiedBy
Os campos a seguir são transformados durante a sincronização para que seus valores estejam em conformidade com o esquema de cada plataforma:
| Campo | Valor no portal do Defender | Valor no Microsoft Sentinel |
|---|---|---|
| Estado | ||
| Ativo | Novo | |
|
Classificação/ Motivo da classificação |
||
| Verdadeiro Positivo/ qualquer |
Verdadeiro Positivo/ Atividade suspeita |
|
| Falso Positivo/ qualquer |
Falso Positivo/ Dados imprecisos |
|
| Não aplicável | Falso Positivo/ Lógica de alerta imprecisa |
|
| Positivo benigno/ Atividade esperada informativa |
Positivo benigno/ Suspeito, mas esperado |
|
| Não definido | Indeterminado |
No Defender XDR, todos os alertas de um incidente podem ser transferidos para outro, resultando na mesclagem de incidentes. Quando essa mesclagem ocorrer, os incidentes do Microsoft Sentinel irão refletir as alterações. Um incidente conterá todos os alertas dos dois incidentes originais, e o outro incidente será fechado automaticamente com a tag "redirecionado" adicionada.
Observação
Os incidentes do Microsoft Sentinel podem conter no máximo 150 alertas. Os incidentes do Defender XDR podem ter mais do que isso. Se um incidente do Defender XDR com mais de 150 alertas for sincronizado com o Microsoft Sentinel, o incidente do Microsoft Sentinel mostrará "+150" alertas e fornecerá um link para o incidente paralelo no Defender XDR, onde você verá o conjunto completo de alertas.
Coleção avançada de eventos de busca
O conector do Defender XDR também permite que você transmita eventos de busca focada avançada — um tipo de dados brutos de eventos — do Defender XDR e os serviços que o compõem para o Microsoft Sentinel. Colete eventos de busca focada avançada de todos os componentes do Defender XDR e os transmita diretamente para tabelas desenvolvidas para essa finalidade no seu workspace do Microsoft Sentinel. Essas tabelas são criadas no mesmo esquema usado no portal do Defender, fornecendo a você acesso completo ao conjunto integral de eventos de busca avançada e permitindo as seguintes tarefas:
Copie facilmente para o Microsoft Sentinel as suas consultas de busca avançada existentes do Microsoft Defender para Ponto de Extremidade/Office 365/Identidade/Aplicativos de nuvem.
Usar logs de eventos brutos para fornecer mais insights sobre alertas, buscas e investigações, bem como correlacionar esses eventos com eventos de outras fontes de dados no Microsoft Sentinel.
Armazene os logs com maior retenção, além da retenção padrão do Defender XDR de 30 dias. Você pode fazer isso configurando a retenção do seu espaço de trabalho ou configurando a retenção por tabela no Log Analytics.
Criação de regras de detecção personalizadas
As detecções personalizadas no Microsoft Defender agora são a melhor maneira de criar novas regras no SIEM (Gerenciamento de Eventos e Informações de Segurança) do Microsoft Sentinel e no Microsoft Defender XDR. Ele dá suporte a uma experiência do SOC (Unified Security Operations Center) no portal do Defender e oferece maior oportunidade para aprimoramentos.
Com detecções personalizadas, você pode reduzir os custos de ingestão, obter detecções ilimitadas em tempo real e se beneficiar da integração perfeita com os dados, funções e ações de correção do Defender XDR com o mapeamento automático de entidades. Os usuários do Microsoft Sentinel ainda podem usar regras de análise, mas incentivamos que eles usem detecções personalizadas para aproveitar as inovações mais recentes.
Conteúdo relacionado
Neste documento, você aprendeu os benefícios de habilitar o conector do Defender XDR no Microsoft Sentinel.
- Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel
- Para usar o Microsoft Sentinel no portal do Defender, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender.
- Verifique a disponibilidade de diferentes tipos de dados do Microsoft Defender XDR nas diferentes nuvens do Microsoft 365 e do Azure.