Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Microsoft Sentinel está disponível no portal do Microsoft Defender com o Microsoft Defender XDR ou por conta própria. Ele oferece uma experiência unificada em SIEM e XDR para deteção e resposta a ameaças mais rápidas e precisas, fluxos de trabalho mais simples e melhor eficiência operacional.
Este artigo explica como fazer a transição da sua experiência do Microsoft Sentinel do portal do Azure para o portal do Defender. Se você usa o Microsoft Sentinel no portal do Azure, faça a transição para o Microsoft Defender para operações de segurança unificadas e os recursos mais recentes. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender ou assista à nossa lista de reprodução do YouTube.
Observação
A transição para o portal Defender, mesmo para clientes que não são da E5, não tem custos adicionais para o cliente. O cliente continua a ser faturado normalmente apenas pelo seu consumo no Sentinel.
Pré-requisitos
Antes de começar, observe:
Este artigo é para clientes com um espaço de trabalho existente habilitado para o Microsoft Sentinel que desejam fazer a transição de sua experiência do Microsoft Sentinel para o portal do Defender. Se for um novo cliente que se integrou com permissões de dono de uma assinatura ou de um administrador de acesso de utilizador, os seus workspaces serão automaticamente integrados ao portal do Defender.
Alguns recursos do Microsoft Sentinel têm novos locais no portal do Defender. Para obter mais informações, consulte Referência rápida.
Quando relevante, pré-requisitos detalhados estão nos artigos vinculados para cada etapa.
Planeje e configure seu ambiente de transição
Público-alvo: Arquitetos de segurança
Vídeos:
- Integração de um espaço de trabalho do Microsoft Sentinel no Microsoft Defender
- Gerenciando RBAC unificado no Microsoft Defender
Revise as diretrizes de planeamento, complete os pré-requisitos e embarque
Revise todas as orientações de planejamento e conclua todos os pré-requisitos antes de integrar seu espaço de trabalho ao portal do Defender. Para obter mais informações, consulte os seguintes artigos:
Planeje operações de segurança unificadas no portal do Defender. Após a integração no portal do Defender, a função de Colaborador do Microsoft Sentinel é atribuída aos aplicativos Proteção contra Ameaças da Microsoft e WindowsDefenderATP em sua assinatura.
Implemente para operações de segurança unificadas no portal do Microsoft Defender. Embora este artigo seja para novos clientes que ainda não têm um espaço de trabalho para o Microsoft Sentinel ou outros serviços integrados ao portal do Defender, use-o como referência se estiver migrando para o portal do Defender.
Conecte o Microsoft Sentinel ao portal do Defender. Este artigo lista os pré-requisitos para integrar seu espaço de trabalho ao portal do Defender. Se você planeja usar o Microsoft Sentinel sem o Defender XDR, precisará dar uma etapa extra para acionar a conexão entre o Microsoft Sentinel e o portal do Defender.
Analisar as diferenças para armazenamento de dados e privacidade
Quando você usa o portal do Azure, as políticas do Microsoft Sentinel para armazenamento, processo, retenção e compartilhamento de dados se aplicam. Quando você usa o portal do Defender, as políticas do Microsoft Defender XDR se aplicam em vez disso, mesmo quando você trabalha com dados do Microsoft Sentinel.
A tabela a seguir fornece detalhes e links adicionais para que você possa comparar experiências nos portais do Azure e do Defender.
| Área de apoio | portal do Azure | Portal do Defender |
|---|---|---|
| BCDR | Os clientes são responsáveis pela replicação dos seus dados | O Microsoft Defender usa automação para BCDR em painéis de controle. |
| Armazenamento e processamento de dados |
-
Local de armazenamento de dados - Regiões suportadas |
Local de armazenamento de dados |
| Retenção de dados | Retenção de dados | Retenção de dados |
| Partilha de dados | Partilha de dados | Partilha de dados |
Para obter mais informações, consulte:
- Disponibilidade geográfica e residência de dados no Microsoft Sentinel
- Segurança e retenção de dados no Microsoft Defender XDR
Integração ao portal do Defender com chaves gerenciadas pelo cliente (CMK)
Se você habilitou a CMK antes da integração, ao integrar seu espaço de trabalho habilitado para Microsoft Sentinel ao portal do Defender, todos os dados de log em seu espaço de trabalho continuarão a ser criptografados com CMK - incluindo dados ingeridos anteriormente e recentemente.
As regras analíticas e outros conteúdos do Sentinel, como regras de automação, também continuam a ser encriptados por CMK. No entanto, alertas e incidentes não serão mais criptografados por CMK após a integração.
Para obter mais informações sobre CMK, consulte Configurar a chave gerenciada pelo cliente do Microsoft Sentinel.
Importante
A criptografia CMK não é totalmente suportada para dados armazenados no data lake do Microsoft Sentinel. Todos os dados ingeridos no data lake - como tabelas personalizadas ou dados transformados - são criptografados usando chaves gerenciadas pela Microsoft.
Configurar a gestão de múltiplos espaços de trabalho e multilocatários
O Defender oferece suporte a um ou mais espaços de trabalho em vários locatários por meio do portal multilocatário, que serve como um local central para gerenciar incidentes e alertas, procurar ameaças entre locatários e permitir que os MSSPs (Managed Security Service Partners) vejam todos os clientes.
Em cenários de vários espaços de trabalho, o portal multilocatário permite conectar um espaço de trabalho primário e vários espaços de trabalho secundários por locatário. Adicione cada espaço de trabalho ao portal do Defender separadamente para cada locatário, tal como se faz ao integrar um único locatário.
Para obter mais informações, consulte:
Configurar o gerenciamento multilocatário do Microsoft Defender
Documentação do Azure Lighthouse. O Azure Lighthouse permite que você use dados do Microsoft Sentinel de outros locatários em espaços de trabalho integrados. Por exemplo, você pode executar consultas entre espaços de trabalho com o
workspace()operador em Regras avançadas de caça e análise.Microsoft Entra B2B. O Microsoft Entra B2B permite-lhe aceder a dados entre inquilinos. GDAP não é suportado para dados do Microsoft Sentinel.
Configurar e rever as suas definições e conteúdo
Público-alvo: Engenheiros de segurança
Vídeo: Gerenciando conectores no Microsoft Defender
Confirmar e configurar a coleta de dados
Quando o Microsoft Sentinel é integrado ao Microsoft Defender, a arquitetura fundamental de coleta de dados e fluxo de telemetria permanece intacta. Os conectores existentes que foram configurados no Microsoft Sentinel, seja para produtos Microsoft Defender ou outras fontes de dados, continuam operando sem interrupção.
Do ponto de vista do Log Analytics, a integração do Microsoft Sentinel ao Microsoft Defender não introduz nenhuma alteração no pipeline de ingestão subjacente ou no esquema de dados. Apesar da unificação do front-end, o back-end do Microsoft Sentinel permanece totalmente integrado ao Log Analytics para armazenamento, pesquisa e correlação de dados.
Os alertas relacionados aos produtos Defender são transmitidos diretamente do conector XDR do Microsoft Defender para garantir a consistência. Certifique-se de que os alertas e incidentes deste conector estão ativados no seu espaço de trabalho. Depois de configurar esse conector de dados em seu espaço de trabalho, desanexar o espaço de trabalho do Microsoft Defender também desconecta o conector XDR do Microsoft Defender.
Para obter mais informações, consulte Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.
Integração com o Microsoft Defender for Cloud
- Se estiver a utilizar o conector de dados baseado em inquilino para o Defender for Cloud, certifique-se de que toma medidas para evitar eventos e alertas duplicados.
- Se, em vez disso, estiver a utilizar o conector legado baseado em subscrição, certifique-se de que não sincroniza incidentes e alertas para o Microsoft Defender.
Para obter mais informações, consulte Alertas e incidentes no Microsoft Defender.
Visibilidade do conector de dados no portal do Defender
Depois de integrar seu espaço de trabalho ao Defender, os seguintes conectores de dados são usados para operações de segurança unificadas e não são mostrados na página Conectores de dados no portal do Defender:
- Microsoft Defender para Aplicações de Nuvem
- Microsoft Defender para Endpoint
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365 (Pré-visualização)
- Microsoft Defender XDR
- Defender para Nuvem da Microsoft por Subscrição (Legado)
- Microsoft Defender para Nuvem baseado em Inquilino (visualização)
Esses conectores de dados continuam a ser listados no Microsoft Sentinel no portal do Azure.
Configure o seu ecossistema
Embora o Gerenciador de espaços de trabalho do Microsoft Sentinel não esteja disponível no portal do Defender, use um dos seguintes recursos alternativos para distribuir conteúdo como código entre espaços de trabalho:
Implante o conteúdo como código do seu repositório (visualização pública). Use arquivos YAML ou JSON no GitHub ou no Azure DevOps para gerenciar e implantar configurações no Microsoft Sentinel e no Defender usando fluxos de trabalho unificados de CI/CD.
Portal multicliente. O portal multilocatário do Microsoft Defender oferece suporte ao gerenciamento e distribuição de conteúdo entre vários locatários.
Caso contrário, continue a implantar pacotes de solução que incluam vários tipos de conteúdo de segurança do hub de conteúdo no portal do Defender. Para obter mais informações, consulte Descobrir e gerir conteúdo do Microsoft Sentinel pronto para uso.
Configurar regras de análise
As regras de análise do Microsoft Sentinel estão disponíveis no portal do Defender para deteção, configuração e gerenciamento. As funcionalidades das regras de análise permanecem as mesmas, incluindo criação, atualização e gerenciamento por meio do assistente, dos repositórios e da API do Microsoft Sentinel. A correlação de incidentes e a deteção de ataques em vários estágios também continuam funcionando no portal do Defender. A funcionalidade de correlação de alerta gerenciada pela regra de análise do Fusion no portal do Azure é manipulada pelo mecanismo XDR do Defender no portal do Defender, que consolida todos os sinais em um só lugar.
Ao mudar para o portal do Defender, é importante observar as seguintes alterações:
| Característica | Descrição |
|---|---|
| Regras de deteção personalizadas | Se você tiver casos de uso de deteção que envolvam dados do Defender XDR e do Microsoft Sentinel, nos quais não seja necessário reter os dados do Defender XDR por mais de 30 dias, recomendamos a criação de regras de deteção personalizadas que consultem dados das tabelas Microsoft Sentinel e Defender XDR. Isso é suportado sem a necessidade de ingerir dados do Defender XDR no Microsoft Sentinel. Para obter mais informações, consulte Usar funções personalizadas do Microsoft Sentinel na caça avançada no Microsoft Defender. |
| Correlação de alerta | No portal do Defender, as correlações são aplicadas automaticamente a alertas contra dados do Microsoft Defender e dados de terceiros ingeridos do Microsoft Sentinel, independentemente dos cenários de alerta. Os critérios usados para correlacionar alertas em um único incidente fazem parte da lógica de correlação interna proprietária do portal Defender. Para obter mais informações, consulte Correlação de alertas e mesclagem de incidentes no portal do Defender. |
| Agrupamento de alertas e fusão de incidentes | Embora você ainda veja a configuração do agrupamento de alertas nas regras do Google Analytics, o mecanismo de correlação do Defender XDR controla totalmente o agrupamento de alertas e a mesclagem de incidentes, quando necessário, no portal do Defender. Isso garante uma visão abrangente de toda a história de ataque, unindo alertas relevantes para ataques em vários estágios. Por exemplo, várias regras de análise individuais configuradas para gerar um incidente para cada alerta podem resultar em incidentes mesclados se corresponderem à lógica de correlação do Defender XDR. |
| Visibilidade do alerta | Se você tiver as regras de análise do Microsoft Sentinel configuradas para disparar apenas alertas, com a criação de incidentes desativada, esses alertas não estarão visíveis no portal do Defender. No entanto, embora o editor de consultas de caça avançada não reconheça o esquema de SecurityAlerts tabela, você ainda pode usá-la em consultas e regras de análise. |
| Otimização de alertas | Assim que o espaço de trabalho do Microsoft Sentinel for integrado ao Defender, todos os incidentes, incluindo os das regras de análise do Microsoft Sentinel, serão gerados pelo mecanismo XDR do Defender. Como resultado, os recursos de ajuste de alerta no portal do Defender, anteriormente disponíveis apenas para alertas XDR do Defender, agora podem ser aplicados a alertas do Microsoft Sentinel. Esse recurso permite agilizar a resposta a incidentes, automatizando a resolução de alertas comuns, reduzindo falsos positivos e minimizando o ruído, para que os analistas possam priorizar incidentes de segurança significativos. |
| Fusion: Deteção avançada de ataques de múltiplos estados | A regra de análise do Fusion, que no portal do Azure cria incidentes com base em correlações de alerta feitas pelo mecanismo de correlação do Fusion, é desabilitada quando você integra o Microsoft Sentinel ao portal do Defender. Você não perde a funcionalidade de correlação de alerta porque o portal do Defender usa as funcionalidades de criação de incidentes e correlação do Microsoft Defender XDR para substituir as do mecanismo Fusion. Para obter mais informações, consulte Deteção avançada de ataques em vários estágios no Microsoft Sentinel |
Configurar regras de automação e guias de ação
No Microsoft Sentinel, os playbooks são baseados em fluxos de trabalho criados nos Aplicativos Lógicos do Azure, um serviço de nuvem que ajuda você a agendar, automatizar e orquestrar tarefas e fluxos de trabalho entre sistemas em toda a empresa.
As seguintes limitações aplicam-se às regras de automação e playbooks do Microsoft Sentinel ao usar o portal Defender. Talvez seja necessário fazer algumas alterações em seu ambiente ao fazer a transição.
| Funcionalidade | Descrição |
|---|---|
| Regras de automação com gatilhos de alerta | No portal do Defender, as regras de automação com gatilhos de alerta atuam apenas nos alertas do Microsoft Sentinel. Para obter mais informações, consulte Alerta criar gatilho. |
| Regras de automação com gatilhos para incidentes | No portal do Azure e no portal do Defender, a propriedade de condição do provedor de incidentes é removida, pois todos os incidentes têm o Microsoft XDR como o provedor de incidentes (o valor no campo ProviderName ). Nesse ponto, todas as regras de automação existentes são executadas em incidentes do Microsoft Sentinel e do Microsoft Defender XDR, incluindo aqueles em que a condição do provedor de incidentes está definida apenas como Microsoft Sentinel ou Microsoft 365 Defender. No entanto, as regras de automação que especificam um nome de regra de análise específico são executadas somente em incidentes que contêm alertas criados pela regra de análise especificada. Isso significa que você pode definir a propriedade de condição do nome da regra analítica para uma regra de análise que existe apenas no Microsoft Sentinel para limitar sua regra a ser executada em incidentes somente no Microsoft Sentinel. Além disso, após a integração no portal do Defender, a tabela SecurityIncident não inclui mais um campo Descrição . Por conseguinte: - Se você estiver usando este campo Descrição como condição para uma regra de automação com um gatilho de criação de incidente, essa regra de automação não funcionará após a integração ao portal do Defender. Nesses casos, certifique-se de atualizar a configuração adequadamente. Para obter mais informações, consulte Condições que desencadeiam incidentes. - Se tiver uma integração configurada com um sistema de bilhética externo como o ServiceNow, a descrição do incidente estará ausente. |
| Latência nos gatilhos do manual | Pode levar até 5 minutos para que os incidentes do Microsoft Defender apareçam no Microsoft Sentinel. Se esse atraso estiver presente, o acionamento do playbook também será atrasado. |
| Alterações aos nomes de incidentes existentes | O portal Defender usa um mecanismo exclusivo para correlacionar incidentes e alertas. Ao integrar seu espaço de trabalho ao portal do Defender, os nomes de incidentes existentes podem ser alterados se a correlação for aplicada. Para garantir que suas regras de automação sempre sejam executadas corretamente, recomendamos que você evite usar títulos de incidentes como critérios de condição em suas regras de automação e sugerimos, em vez disso, usar o nome de qualquer regra de análise que tenha criado alertas incluídos no incidente e tags se for necessária mais especificidade. |
| Atualizado por campo | Para obter mais informações, consulte Gatilho de atualização de incidente. |
| Criação de regras de automação diretamente de um incidente | A criação de regras de automação diretamente a partir de um incidente é suportada apenas no portal do Azure. Se você estiver trabalhando no portal do Defender, crie suas regras de automação do zero na página Automação . |
| Regras de criação de incidentes da Microsoft | As regras de criação de incidentes da Microsoft não são suportadas no portal do Defender. Para obter mais informações, consulte Incidentes do Microsoft Defender XDR e Regras de criação de incidentes da Microsoft. |
| Executando regras de automação a partir do portal do Defender | Pode levar até 10 minutos desde o momento em que um alerta é acionado e um incidente é criado ou atualizado no portal do Defender até quando uma regra de automação é executada. Esse intervalo de tempo ocorre porque o incidente é criado no portal do Defender e, em seguida, encaminhado para o Microsoft Sentinel para a regra de automação. |
| Guia de Playbooks ativos | Após a integração no portal do Defender, por padrão, a guia Playbooks ativos mostra um filtro predefinido com a assinatura do espaço de trabalho integrado. No portal do Azure, adicione dados para outras assinaturas usando o filtro de assinatura. Para obter mais informações, consulte Criar e personalizar playbooks do Microsoft Sentinel a partir de modelos. |
| Executando playbooks manualmente conforme necessário | Atualmente, os seguintes procedimentos não são suportados no portal do Defender: |
| A execução de playbooks em incidentes requer sincronização com o Microsoft Sentinel | Se você tentar executar um manual sobre um incidente no portal do Defender e vir a mensagem "Não é possível acessar os dados relacionados a esta ação. Atualize a tela em alguns minutos.", isso significa que o incidente ainda não está sincronizado com o Microsoft Sentinel. Atualize a página do incidente depois que o incidente for sincronizado para executar o playbook com êxito. |
|
Incidentes: Adicionar alertas a incidentes / Remoção de alertas de incidentes |
Como não há suporte para adicionar alertas ou remover alertas de incidentes após a integração do seu espaço de trabalho no portal do Defender, essas ações também não são suportadas nos playbooks. Para obter mais informações, consulte Entender como os alertas são correlacionados e os incidentes são mesclados no portal do Defender. |
| Integração do Microsoft Defender XDR em vários espaços de trabalho | Se tiver integrado dados XDR com mais de um espaço de trabalho num único tenant, agora os dados serão ingeridos apenas no espaço de trabalho principal no portal Defender. Transfira regras de automação para o espaço de trabalho relevante para mantê-las em execução. |
| Automação e o mecanismo de correlação | O mecanismo de correlação pode combinar alertas de vários sinais em um único incidente, o que pode resultar na automação do recebimento de dados que você não previu. Recomendamos rever suas regras de automação para garantir que você esteja vendo os resultados esperados. |
Configurar APIs
A experiência unificada no portal do Defender introduz alterações notáveis em incidentes e alertas de APIs. Ele suporta chamadas de API baseadas na API REST do Microsoft Graph v1.0, que pode ser usada para automação relacionada a alertas, incidentes, caça avançada e muito mais.
A API do Microsoft Sentinel continua a oferecer suporte a ações contra recursos do Microsoft Sentinel, como regras de análise, regras de automação e muito mais. Para interagir com incidentes e alertas unificados, recomendamos que você use a API REST do Microsoft Graph.
Se você estiver usando a API do Microsoft Sentinel SecurityInsights para interagir com incidentes do Microsoft Sentinel, talvez seja necessário atualizar suas condições de automação e critérios de acionamento devido a alterações no corpo da resposta.
A tabela a seguir lista campos que são importantes nos trechos de resposta e os compara entre os portais do Azure e do Defender:
| Funcionalidade | portal do Azure | Portal do Defender |
|---|---|---|
| Ligação para o incidente |
incidentUrl: A URL direta para o incidente no portal do Microsoft Sentinel |
providerIncidentUrl : Este campo adicional fornece um link direto para o incidente, que pode ser usado para sincronizar essas informações com um sistema de tíquetes de terceiros como o ServiceNow. incidentUrl ainda está disponível, mas aponta para o portal Microsoft Sentinel. |
| As fontes que acionaram a deteção e publicaram o alerta | alertProductNames |
alertProductNames: Requer adição ?$expand=alerts ao GET. Por exemplo, https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| O nome do provedor de alertas |
providerName = "Sentinela Azul" |
providerName = "Microsoft XDR" |
| O serviço ou produto que criou o alerta | Não existe no portal do Azure | serviceSource Por exemplo, "microsoftDefenderForCloudApps" |
| A tecnologia de deteção ou sensor que identificou o componente ou atividade notável | Não existe no portal do Azure |
detectionSource Por exemplo, "cloudAppSecurity" |
| O nome do produto que publicou este alerta | Não existe no portal do Azure |
productName Por exemplo, "Microsoft Defender for Cloud Apps" |
Executar operações no portal do Defender
Público-alvo: Analistas de segurança
Vídeos:
- Descubra e gerencie conteúdo do Microsoft Sentinel e informações sobre ameaças no Microsoft Defender
- Criar automação e pastas de trabalho no Microsoft Defender
- Correlação de alerta no Microsoft Defender
- Investigação de incidentes no Microsoft Defender
- Gerenciamento de casos no Microsoft Defender
- Caça avançada no Microsoft Defender
- Otimizações SOC no Microsoft Defender
Atualizar processos de triagem de incidentes para o portal do Defender
Se você usou o Microsoft Sentinel no portal do Azure, notará aprimoramentos significativos na experiência do usuário no portal do Defender. Embora seja necessário atualizar os processos SOC e treinar novamente seus analistas, o projeto consolida todas as informações relevantes em um único local para fornecer fluxos de trabalho mais simplificados e eficientes.
A fila de incidentes unificada no portal do Defender consolida todos os incidentes de produtos numa única visualização, impactando a forma como os analistas realizam a triagem de incidentes que agora contêm vários alertas de domínios de segurança cruzados. Por exemplo:
- Tradicionalmente, os analistas fazem a triagem de incidentes com base em domínios de segurança específicos ou áreas de especialização, muitas vezes lidando com tíquetes por entidade, como um utilizador ou anfitrião. Esta abordagem pode criar pontos cegos, que a experiência unificada visa abordar.
- Quando um invasor se move lateralmente, os alertas relacionados podem acabar em incidentes separados devido a domínios de segurança diferentes. A experiência unificada elimina esse problema, fornecendo uma visão abrangente, garantindo que todos os alertas relacionados sejam correlacionados e gerenciados de forma coesa.
Os analistas também podem visualizar fontes de deteção e nomes de produtos no portal do Defender e aplicar e compartilhar filtros para uma triagem mais eficiente de incidentes e alertas.
O processo de triagem unificado pode ajudar a reduzir as cargas de trabalho dos analistas e até mesmo potencialmente combinar as funções dos analistas de nível 1 e nível 2. No entanto, o processo de triagem unificado também pode exigir conhecimentos mais amplos e profundos dos analistas. Recomendamos treinamento na nova interface do portal para garantir uma transição suave.
Para obter mais informações, veja Incidentes e alertas no portal do Microsoft Defender.
Entenda como os alertas são correlacionados e os incidentes são mesclados no portal do Defender
O mecanismo de correlação do Defender mescla incidentes quando reconhece elementos comuns entre alertas em incidentes separados. Quando um novo alerta atende aos critérios de correlação, o Microsoft Defender o agrega e correlaciona com outros alertas relacionados de todas as fontes de deteção em um novo incidente. Após a integração do Microsoft Sentinel ao portal do Defender, a fila de incidentes unificada revela um ataque mais abrangente, tornando os analistas mais eficientes e fornecendo uma história de ataque completa.
Em cenários de vários espaços de trabalho, apenas os alertas de um espaço de trabalho primário são correlacionados com os dados XDR do Microsoft Defender. Há também cenários específicos em que os incidentes não são mesclados.
Após a integração do Microsoft Sentinel no portal do Defender, as seguintes alterações se aplicam a incidentes e alertas:
| Característica | Descrição |
|---|---|
| Atraso logo após a introdução do seu espaço de trabalho | Pode levar até 5 minutos para que os incidentes do Microsoft Defender se integrem totalmente ao Microsoft Sentinel. Isso não afeta os recursos fornecidos diretamente pelo Microsoft Defender, como a interrupção automática de ataques. |
| Regras de criação de incidentes de segurança | Todas as regras ativas de criação de incidentes de segurança da Microsoft são desativadas para evitar a criação de incidentes duplicados. As configurações de criação de incidentes em outros tipos de regras de análise permanecem como estão e podem ser configuradas no portal do Defender. |
| Nome do provedor de incidentes | No portal do Defender, o nome do provedor de incidentes é sempre Microsoft XDR. |
| Adicionar/remover alertas de incidentes | A adição ou remoção de alertas do Microsoft Sentinel de ou para incidentes é suportada apenas no portal do Defender. Para remover um alerta de um incidente no portal do Defender, você deve adicioná-lo a outro incidente. |
| Edição de comentários | Adicione comentários a incidentes no portal do Defender ou do Azure, mas a edição de comentários existentes não é suportada no portal do Defender. As edições feitas em comentários no portal do Azure não são sincronizadas com o portal do Defender. |
| Criação programática e manual de incidentes | Os incidentes criados no Microsoft Sentinel por meio da API, por um playbook do Logic App ou manualmente do portal do Azure, não são sincronizados com o portal do Defender. Esses incidentes ainda têm suporte no portal do Azure e na API. Consulte Crie os seus próprios incidentes manualmente no Microsoft Sentinel. |
| Reabertura de incidentes encerrados | No portal do Defender, não é possível definir o agrupamento de alertas nas regras de análise do Microsoft Sentinel para reabrir incidentes fechados se novos alertas forem adicionados. Neste caso, os incidentes encerrados não são reabertos e novos alertas desencadeiam novos incidentes. |
| Tarefas | As tarefas de incidentes não estão disponíveis no portal do Defender. Para obter mais informações, consulte Usar tarefas para gerenciar incidentes no Microsoft Sentinel. |
Para obter mais informações, consulte Incidentes e alertas no portal do Microsoft Defender e Correlação de alertas e mesclagem de incidentes no portal do Microsoft Defender.
Tome nota das alterações para investigações com caça avançada
Depois de integrar o Microsoft Sentinel ao portal do Defender, aceda e use todas as suas tabelas de log existentes, consultas KQL (Kusto Query Language) e funções na página Investigação avançada. Todos os alertas do Microsoft Sentinel que estão ligados a incidentes são inseridos na tabela AlertInfo, acessível a partir da página Investigação Avançada.
Existem algumas diferenças, tais como:
- Os marcadores não são suportados na caça avançada. Em vez disso, os bookmarks são suportados no portal do Defender em Microsoft Sentinel > Gestão de ameaças > Prospecção.
- Embora a tabela SecurityAlert não apareça na lista de tabelas do Advanced Hunting>Schema, ela ainda é suportada nas suas consultas.
Para obter mais informações, consulte Caça avançada com dados do Microsoft Sentinel no Microsoft Defender, especialmente a lista de problemas conhecidos, e Manter o controle de dados durante a caça com o Microsoft Sentinel.
Investigue com entidades no portal Defender
No portal do Microsoft Defender, as entidades geralmente são ativos, como contas, hosts ou caixas de correio, ou evidências, como endereços IP, arquivos ou URLs.
Após a integração do Microsoft Sentinel ao portal do Defender, as páginas de entidade para usuários, dispositivos e endereços IP são consolidadas em uma única exibição com uma visão abrangente da atividade e do contexto da entidade e dos dados do Microsoft Sentinel e do Microsoft Defender XDR.
O portal Defender também fornece uma barra de pesquisa global que centraliza os resultados de todas as entidades para que você possa pesquisar em SIEM e XDR.
Para obter mais informações, consulte Páginas de entidade no Microsoft Sentinel.
Investigue com a UEBA no portal Defender
A maioria das funcionalidades do User and Entity Behavior Analytics (UEBA) permanece a mesma no portal do Defender como no portal do Azure, com as seguintes exceções:
Apenas a adição de entidades à inteligência sobre ameaças a partir de incidentes é suportada no portal do Azure. Para obter mais informações, consulte Adicionar entidade a indicadores de ameaça.
Após a integração do Microsoft Sentinel ao portal do Defender, a
IdentityInfotabela usada no portal do Defender inclui campos unificados do Defender XDR e do Microsoft Sentinel. Alguns campos que existiam quando usados no portal do Azure são renomeados no portal do Defender ou não são suportados. Recomendamos que você verifique suas consultas para quaisquer referências a esses campos e atualize-os conforme necessário. Para obter mais informações, consulte a tabela IdentityInfo.
Importante
Quando faz a transição para o portal Defender, a IdentityInfo tabela torna-se uma tabela nativa do Defender que não suporta controlo de acesso baseado em função (RBAC) ao nível da tabela. Se a sua organização usar RBAC ao nível da tabela para restringir o acesso à IdentityInfo tabela no portal Azure, este controlo de acesso deixará de estar disponível após a transição para o portal Defender.
Atualizar processos de investigação para usar informações sobre ameaças do Microsoft Defender
Para clientes do Microsoft Sentinel que mudam do portal do Azure para o portal do Defender, os recursos familiares de inteligência contra ameaças são mantidos no portal do Defender sob gerenciamento da Intel e aprimorados com outros recursos de inteligência de ameaças disponíveis no portal do Defender. As funcionalidades suportadas dependem das licenças que possui, tais como:
| Característica | Descrição |
|---|---|
| Análise de ameaças | Suporte para clientes Microsoft Defender XDR . Uma solução integrada no produto fornecida por pesquisadores de segurança da Microsoft, projetada para ajudar as equipes de segurança, oferecendo informações sobre ameaças emergentes, ameaças ativas e seus impactos. Os dados são apresentados em um painel intuitivo com cartões, linhas de dados, filtros e muito mais. |
| Perfis Intel | Suporte para clientes do Microsoft Defender Threat Intelligence . Categorize ameaças e comportamentos por um Perfil de Agente de Ameaças, facilitando o rastreamento e a correlação. Esses perfis incluem quaisquer Indicadores de Compromisso (IoC) relacionados a táticas, técnicas e ferramentas usadas em ataques. |
| Explorador Intel | Suporte para clientes do Microsoft Defender Threat Intelligence . Consolida os IoCs disponíveis e fornece artigos relacionados a ameaças à medida que são publicados, permitindo que as equipes de segurança se mantenham atualizadas sobre ameaças emergentes. |
| Projetos Intel | Suporte para clientes do Microsoft Defender Threat Intelligence . Permite que as equipes consolidem a inteligência de ameaças em um "projeto" para revisar todos os artefatos relacionados a um cenário específico de interesse. |
No portal Defender, use o ThreatIntelOjbects e ThreatIntelIndicators junto com Indicadores de Compromisso para caça a ameaças, resposta a incidentes, Copiloto, relatórios e para criar gráficos relacionais mostrando conexões entre indicadores e entidades.
Para clientes que usam o feed do Microsoft Defender Threat Intelligence (MDTI), uma versão gratuita está disponível por meio do conector de dados do Microsoft Sentinel para MDTI. Os usuários com licenças MDTI também podem ingerir dados MDTI e usar o Security Copilot para análise de ameaças, revisão ativa de ameaças e pesquisa de agentes de ameaças.
Para obter mais informações, consulte:
- Gestão de ameaças
- Análise de ameaças no Microsoft Defender XDR
- Utilizar projetos
- Informações sobre ameaças no Microsoft Sentinel
Usar pastas de trabalho para visualizar e gerar relatórios sobre dados do Microsoft Defender
As pastas de trabalho do Azure continuam a ser a principal ferramenta para visualização e interação de dados no portal do Defender, funcionando como no portal do Azure.
Para utilizar livros de trabalho com dados de investigações avançadas, certifique-se de importar registos para o Microsoft Sentinel.
Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Incidentes semelhantes (Pré-visualização) não são suportados no portal do Defender
O recurso de incidentes semelhantes do Microsoft Sentinel está na visualização e não é suportado no portal do Defender. Isso significa que, ao visualizar uma página de detalhes de incidentes no portal do Defender, a guia Incidentes semelhantes não estará disponível.
Conteúdo relacionado
- O melhor do Microsoft Sentinel - agora no Microsoft Defender (blog)
- Assista ao webinar: Transição para a plataforma SOC unificada: aprofundamento e perguntas e respostas interativas para profissionais de SOC.
- Consulte as perguntas frequentes no blog da TechCommunity ou no Microsoft Community Hub.