Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Depois de conectar suas fontes de dados ao Microsoft Sentinel, visualize e monitore dados usando pastas de trabalho no Microsoft Sentinel. As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor e adicionam tabelas e gráficos com análise para seus logs e consultas às ferramentas já disponíveis no Azure.
O Microsoft Sentinel permite que você crie pastas de trabalho personalizadas em todos os seus dados ou use modelos de pastas de trabalho existentes disponíveis com soluções em pacote ou como conteúdo autônomo do hub de conteúdo. Cada pasta de trabalho é um recurso do Azure como qualquer outra e você pode atribuí-la com controle de acesso baseado em função (RBAC) do Azure para definir e limitar quem pode acessar.
Este artigo descreve como visualizar seus dados no Microsoft Sentinel usando pastas de trabalho. A edição de pastas de trabalho diretamente no portal do Defender é como Versão Prévia.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Pré-requisitos
Você deve ter pelo menos as permissões de leitor de Pasta de Trabalho ou de colaborador de Pasta de Trabalho no grupo de recursos do workspace do Microsoft Azure Sentinel.
As pastas de trabalho que você vê no Microsoft Sentinel são salvas no grupo de recursos do espaço de trabalho do Microsoft Sentinel e são marcadas pelo espaço de trabalho em que foram criadas.
Para usar um modelo de pasta de trabalho, instale a solução que contém a pasta de trabalho ou instale a pasta de trabalho como um item autônomo do Hub de Conteúdo. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Se você estiver trabalhando no portal do Defender com uma fonte de dados do Azure Data Explorer, configure e autentique-se no Azure Data Explorer no portal do Defender.
Criar uma pasta de trabalho a partir de um modelo
Use um modelo instalado no hub de conteúdo para criar uma pasta de trabalho.
No Microsoft Sentinel, selecione Pastas de Trabalho de Gerenciamento > de Ameaças.
Na página Pastas de Trabalho , selecione a guia Modelos para ver a lista de modelos de pasta de trabalho instalados. Selecione um modelo para exibir seus detalhes.
Algumas pastas de trabalho exigem conexões de dados específicas para funcionar. Antes de salvar uma pasta de trabalho, verifique se um campo de tipos de dados necessários garante que você tenha esse tipo de dados ingeridos.
Por exemplo:
No painel de detalhes, selecione Salvar e selecione o local onde deseja salvar a pasta de trabalho. Essa ação cria um recurso do Azure no local selecionado com base no modelo relevante. Somente o arquivo JSON da pasta de trabalho é salvo nesse local e nenhum dado.
No painel de detalhes, selecione Exibir pasta de trabalho salva para abri-la para edição.
Com a pasta de trabalho aberta, selecione Editar para personalizar a pasta de trabalho de acordo com suas necessidades.
Ao trabalhar no portal do Defender, algumas visualizações só podem ser exibidas no portal do Azure. Nesses casos, selecione Abrir no Azure para abrir a pasta de trabalho no portal do Azure.
Por exemplo, selecione o filtro TimeRange para exibir dados para um intervalo de tempo diferente da seleção atual. Para editar uma área de pasta de trabalho específica, selecione Editar ou selecione as reticências (...) para adicionar elementos ou mover, clonar ou remover a área.
Para clonar sua pasta de trabalho, selecione Salvar como. Salve o clone com outro nome, na mesma assinatura e grupo de recursos. As pastas de trabalho clonadas também são exibidas na guia Minhas pastas de trabalho na página Pastas de Trabalho de Gerenciamento > de Ameaças do Microsoft Sentinel>.
Quando terminar, selecione Edição Concluída para salvar suas alterações.
Para obter mais informações, consulte:
- Criar relatórios interativos com as pastas de trabalho do Azure Monitor
- Tutorial: Dados visuais no Log Analytics
Criação de uma nova pasta de trabalho
Crie uma pasta de trabalho do zero no Microsoft Sentinel.
No Microsoft Sentinel, selecione Pastas de Trabalho de Gerenciamento > de Ameaças e, em seguida, selecione Adicionar pasta de trabalho.
Para editar a pasta de trabalho, selecione Editare, em seguida, adicione texto, consultas e parâmetros conforme necessário.
Para obter mais informações sobre como personalizar a pasta de trabalho, veja como Criar relatórios interativos com as pastas de trabalho do Azure Monitor.
Ao criar uma consulta, defina a Fonte de dados como Logs e Tipo de recurso como Log Analytics e escolha um ou mais workspaces.
Recomendamos que sua consulta use um analisador ASIM (Modelo de Informações de Segurança Avançado) e não uma tabela criada. Em seguida, a consulta dará suporte a qualquer fonte de dados relevante atual ou futura, em vez de uma única fonte de dados.
Quando terminar de editar, selecione Editar Concluído e, em seguida, Salvar. No painel lateral, insira um nome significativo para sua pasta de trabalho e selecione a assinatura e o grupo de recursos para seu workspace.
Ao trabalhar no portal do Azure, alterne entre pastas de trabalho em seu workspace selecionando Abrir
Na barra de ferramentas de qualquer pasta de trabalho. A tela mostra uma lista de outras pastas de trabalho para as quais você pode trocar.Escolha a pasta de trabalho que quer abrir:
Criar novos blocos para suas pastas de trabalho
Para adicionar um bloco personalizado a uma pasta de trabalho do Microsoft Sentinel, primeiro crie o bloco no Log Analytics. Para obter mais informações, consulte Dados visuais no Log Analytics.
Depois de criar um bloco, selecione Fixar e, em seguida, selecione a pasta de trabalho na qual deseja que o bloco apareça.
Atualizar os dados da pasta de trabalho
Atualize a pasta de trabalho para exibir dados atualizados. Na barra de ferramentas, escolha uma das seguintes opções:
Atualizar, para atualizar manualmente os dados da pasta de trabalho.
Atualização automática, para configurar a pasta de trabalho para ser atualizada automaticamente em um intervalo configurado.Os intervalos de atualização automática disponíveis variam entre 5 minutos e 1 dia.
A atualização automática fica em pausa enquanto você edita uma pasta de trabalho. Os intervalos são reiniciados toda vez que você sai do modo de edição e volta para o modo de exibição.
Os intervalos de atualização automática também são reiniciados se você atualizar os dados manualmente.
A atualização automática fica desabilitada por padrão. Se você tiver ativado a atualização automática, ela será desativada novamente sempre que você fechar o notebook para otimizar a perforamnce e impedir que ela seja executada em segundo plano. Quando precisar, basta habilitar o recurso novamente na próxima vez que abrir a pasta de trabalho.
Imprimir uma pasta de trabalho ou salvar como PDF (somente no portal do Azure)
Para imprimir uma pasta de trabalho ou salvá-la como PDF, use o menu de opções à direita do título da pasta de trabalho. Essas opções estão disponíveis apenas no portal do Azure. Se você estiver trabalhando no portal do Defender, selecione Abrir no Azure para abrir a pasta de trabalho no portal do Azure.
Selecionar opções >
Imprimir conteúdo.Na tela de impressão, ajuste as configurações de impressão conforme necessário ou selecione Salvar como PDF para salvar localmente.
Por exemplo:
Excluir uma ou mais pastas de trabalho
Você pode excluir modelos salvos e pastas de trabalho personalizadas da guia Minhas pastas de trabalho . Os próprios modelos não podem ser excluídos.
Para excluir uma pasta de trabalho, selecione a pasta de trabalho na guia Minhas pastas de trabalho e selecione Excluir. Essa ação remove o recurso da pasta de trabalho e todas as alterações feitas no modelo. O modelo original permanece disponível.
Recomendações de pasta de trabalho
Esta seção analisa as recomendações básicas que temos para usar pastas de trabalho com o Microsoft Sentinel.
Adicionar pastas de trabalho do Microsoft Entra ID
Se você usar o Microsoft Entra ID com o Microsoft Sentinel, recomendamos que você instale a solução do Microsoft Entra para Microsoft Sentinel e use as seguintes pastas de trabalho:
- As entradas do Microsoft Entra analisam as entradas ao longo do tempo para ver se há anomalias. Esta pasta de trabalho fornece entradas com falha por aplicativos, dispositivos e locais para que você possa perceber rapidamente se acontecer algo incomum. Preste atenção a várias entradas com falha.
- Os logs de auditoria do Microsoft Entra analisam as atividades administrativas, como alterações em usuários (adicionar, remover etc.), criação de grupo e modificações.
Adicionar pastas de trabalho de firewall
Recomendamos que você instale a solução apropriada do Hub de Conteúdo para adicionar uma pasta de trabalho ao firewall.
Por exemplo, instale a solução de firewall Palo Alto para o Microsoft Sentinel para adicionar as pastas de trabalho Palo Alto. As pastas de trabalho analisam o tráfego do firewall, fornecendo correlações entre eventos de ameaças e dados do firewall, além de destacar os eventos suspeitos em entidades.
Criar pastas de trabalho diferentes para diferentes usos
É recomendável criar visualizações diferentes para cada tipo de persona que usa pastas de trabalho, com base na função da persona e no que ela está procurando. Por exemplo, crie uma pasta de trabalho para o administrador de rede que inclua os dados de firewall.
Como alternativa, crie pastas de trabalho com base na frequência com que você deseja examiná-las, se há coisas que você deseja examinar diariamente e em outros itens que você deseja verificar uma vez por hora. Por exemplo, talvez você queira examinar suas entradas do Microsoft Entra a cada hora para procurar anomalias.
Consulta de exemplo para comparar tendências de tráfego ao longo de semanas
Use a consulta a seguir para criar uma visualização que compare as tendências de tráfego ao longo das semanas. Alterne o fornecedor do dispositivo e a fonte de dados na qual você executa a consulta, dependendo do seu ambiente.
A consulta de exemplo a seguir usa a tabela SecurityEvent do Windows. Talvez você queira alterná-lo para ser executado na tabela AzureActivity ou CommonSecurityLog, em qualquer outro firewall.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
Consulta de exemplo com dados de várias fontes
Talvez você queira criar uma consulta que incorpore dados de várias fontes. Por exemplo, crie uma consulta que analise os logs de auditoria do Microsoft Entra para novos usuários que foram criados e, em seguida, verifique os logs do Azure para ver se o usuário começou a fazer alterações de atribuição de função dentro de 24 horas após a criação. Essa atividade suspeita seria exibida em uma visualização com a seguinte consulta:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
Consulte mais informações sobre os seguintes itens usados nos exemplos anteriores, na documentação do Kusto:
- operador where
- operador extend
- operador project
- operador project-away
- operador join
- operador summarize
- função ago()
- função bin()
- função iff()
- função tostring()
- função de agregação count()
Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).
Outros recursos:
Problemas conhecidos para edição de pastas de trabalho no portal do Defender (versão prévia)
A edição de pastas de trabalho diretamente no portal do Defender está atualmente em versão prévia e atualmente inclui os seguintes problemas conhecidos:
- O editor avançado pode aparecer no modo claro, mesmo se o portal estiver definido como modo escuro.
- Não há suporte para dados de ponto de extremidade personalizados para edição de pastas de trabalho no portal do Defender.
- Não há suporte para pastas de trabalho em pastas de trabalho para edição no portal do Defender.
- Não há suporte para compartilhamento somente leitura para pastas de trabalho no portal do Defender.
- Não há suporte para diagramas de sereia para edição de pastas de trabalho no portal do Defender.
Artigos relacionados
Para obter mais informações, consulte: