Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O portal do Defender permite-lhe ligar a uma área de trabalho primária e a várias áreas de trabalho secundárias para Microsoft Sentinel. No contexto deste artigo, uma área de trabalho é uma área de trabalho do Log Analytics com Microsoft Sentinel ativada.
Este artigo aplica-se principalmente ao cenário em que você integra o Microsoft Sentinel ao portal do Defender junto com o Microsoft Defender XDR para operações de segurança unificadas. Se você planeja usar o Microsoft Sentinel no portal do Defender sem o Microsoft Defender XDR, ainda poderá gerenciar vários espaços de trabalho. No entanto, como você não tem o Defender XDR, seu espaço de trabalho principal não terá dados do Defender XDR e você não terá acesso aos recursos do Defender XDR.
Espaços de trabalho primários e secundários
Selecione seu espaço de trabalho principal ao integrar o Microsoft Sentinel ao portal do Defender. Quaisquer outros espaços de trabalho integrados ao portal do Defender são considerados espaços de trabalho secundários. O portal do Defender oferece suporte a um espaço de trabalho primário e a um número ilimitado de espaços de trabalho secundários por locatário para o Microsoft Sentinel.
Quando você também tem o Microsoft Defender XDR, os alertas do espaço de trabalho principal são correlacionados com os dados do Defender XDR e os incidentes incluem alertas do espaço de trabalho principal e do Defender XDR em uma fila unificada. Quando você seleciona um espaço de trabalho principal, o conector de dados XDR do Defender para incidentes e alertas é conectado somente ao espaço de trabalho principal.
Nesses casos:
| Área | Descrição |
|---|---|
| Outros espaços de trabalho anteriormente conectados ao Defender XDR | Todos os outros espaços de trabalho que foram conectados anteriormente ao conector XDR do Defender são desconectados e funcionam como espaços de trabalho secundários. Os dados do Defender XDR não estão disponíveis em um espaço de trabalho secundário e todas as regras de análise e automação que você configurou anteriormente com base nos dados do Defender XDR não funcionam mais. |
| Alertas baseados em locatários e conectores de dados autônomos | Os alertas de outros serviços da Microsoft, incluindo outros serviços do Defender, são alertas baseados em locatários e estão relacionados a todo o locatário em vez de a um espaço de trabalho específico. Para evitar a duplicação entre espaços de trabalho, todos os conectores de dados diretos e autônomos para esses serviços devem ser desconectados do Microsoft Sentinel em espaços de trabalho secundários. Isso resulta em alertas baseados em locatários surgindo apenas no espaço de trabalho principal. Após a integração, os conectores de dados autónomos do Microsoft Defender para Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint e Microsoft Defender for Identity são automaticamente desconectados. Se você tiver outros conectores de dados autônomos da Microsoft com alertas em seus espaços de trabalho, certifique-se de desconectá-los antes de integrar ao portal do Defender. |
| Alertas e incidentes do Defender XDR | Todos os alertas e incidentes do Defender XDR são sincronizados apenas com o seu espaço de trabalho principal. |
| Criação de incidentes e correlação de alertas | O portal do Defender mantém a criação de incidentes e a correlação de alertas separada entre as áreas de trabalho Microsoft Sentinel. Os incidentes em espaços de trabalho secundários não incluem dados de nenhum outro espaço de trabalho ou do Defender XDR. |
| Um espaço de trabalho principal necessário | Um espaço de trabalho principal deve estar sempre conectado ao portal do Defender. |
Por exemplo, você pode estar trabalhando em uma equipe SOC global em uma empresa que tem vários espaços de trabalho autônomos. Nesses casos, talvez você não queira ver incidentes e alertas de cada um desses espaços de trabalho em sua fila global de SOC no portal do Defender. Como esses espaços de trabalho são integrados ao portal do Defender como espaços de trabalho secundários, eles são exibidos no portal do Defender apenas como Microsoft Sentinel, sem dados do Defender, e continuam a funcionar de forma autônoma. Ao examinar seu espaço de trabalho SOC global, você não verá dados desses espaços de trabalho secundários.
Onde você tiver vários espaços de trabalho do Microsoft Sentinel em um locatário do Microsoft Entra ID, considere usar o espaço de trabalho principal para seu centro de operações de segurança global.
Permissões para gerenciar espaços de trabalho e exibir dados do espaço de trabalho
Use uma das seguintes funções ou combinações de funções para gerenciar espaços de trabalho primários e secundários:
| Tarefa | Microsoft Entra ou função incorporada do Azure necessária | Scope |
|---|---|---|
| Integrar Microsoft Sentinel no portal do Defender |
Administrador global ou administrador de segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Usuário E Colaborador do Microsoft Sentinel |
Tenant - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
| Ligar ou desligar uma área de trabalho secundária |
Administrador global ou administrador de segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Usuário E Colaborador do Microsoft Sentinel |
Tenant - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
| Alterar o espaço de trabalho principal |
Administrador global ou administrador de segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Usuário E Colaborador do Microsoft Sentinel |
Tenant - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não pode usar uma função existente.
Depois de conectar o Microsoft Sentinel ao portal do Defender, suas permissões existentes de controle de acesso baseado em função (RBAC) do Azure permitem que você exiba e trabalhe com os recursos e espaços de trabalho do Microsoft Sentinel aos quais você tem acesso.
| Espaço de trabalho | Acesso |
|---|---|
| Primário | Se você tiver acesso ao espaço de trabalho principal, poderá ler e gerenciar dados do espaço de trabalho e do Defender XDR. |
| Secundário | Se você tiver acesso a um espaço de trabalho secundário, poderá ler e gerenciar dados somente do espaço de trabalho. Os espaços de trabalho secundários não incluem dados XDR do Defender. |
Exceção: Se você já tiver integrado um espaço de trabalho ao portal do Defender, todos os alertas criados usando deteções personalizadas em AlertInfo tabelas e AlertEvidence tabelas antes de meados de janeiro de 2025 ficarão visíveis para todos os usuários.
Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Alterações no espaço de trabalho principal
Depois de integrar o Microsoft Sentinel ao portal do Defender, você pode alterar o espaço de trabalho principal. Quando muda a área de trabalho primária para Microsoft Sentinel, o conector Defender XDR é ligado ao novo principal e desligado automaticamente do antigo.
Altere o espaço de trabalho principal no portal do Defender indo paraConfigurações> do Sistema>Microsoft Sentinel>Workspaces.
Escopo dos dados do espaço de trabalho em diferentes modos de exibição
Se você tiver as permissões apropriadas para exibir dados de espaços de trabalho primários e secundários para o Microsoft Sentinel, o escopo do espaço de trabalho na tabela a seguir se aplicará a cada recurso.
| Capacidade | Escopo do espaço de trabalho |
|---|---|
| Pesquisar | Os resultados da pesquisa global na parte superior da página do navegador no portal do Defender fornecem uma exibição agregada de todos os dados relevantes do espaço de trabalho que você tem permissões para exibir. |
| Investigação e resposta > Incidentes & alertas >Incidentes | Visualize incidentes de diferentes espaços de trabalho em uma fila unificada ou filtre a exibição por espaço de trabalho. |
| Investigação e resposta > Incidentes & alertas >Alertas | Exiba alertas de diferentes espaços de trabalho em uma fila unificada ou filtre a exibição por espaço de trabalho. O portal do Defender segmenta a correlação de alertas por espaço de trabalho. |
| Entidades: a partir de um incidente ou alerta > , selecione um dispositivo, usuário ou outro ativo de entidade | Exiba todos os dados de entidade relevantes de vários espaços de trabalho em uma única página de entidade. As páginas de entidade agregam alertas, incidentes e eventos de linha do tempo de todos os espaços de trabalho para fornecer informações mais detalhadas sobre o comportamento da entidade. Filtre por espaço de trabalho nas guias Incidentes e alertas, Linha do tempo e Insights . A guia Visão geral exibe metadados de entidade agregados de todos os espaços de trabalho. |
| Investigação e resposta > Caça >avançada | Selecione um espaço de trabalho no canto superior direito do navegador. Ou consulte vários espaços de trabalho usando o operador de espaço de trabalho na consulta. Consulte Consultar vários espaços de trabalho. Os resultados da consulta não mostram um nome ou ID do espaço de trabalho. Aceda a todos os dados de log do espaço de trabalho, incluindo consultas e funções, apenas para leitura. Para obter mais informações, consulte Caça avançada com dados do Microsoft Sentinel no portal do Microsoft Defender. Alguns recursos são limitados ao espaço de trabalho principal: - Criação de deteções personalizadas - Consultas via API As consultas entre espaços de trabalho para dados do Log Analytics permanecem sujeitas às limitações do Log Analytics. |
| Experiências do Microsoft Sentinel | Exiba dados de um espaço de trabalho para cada página na seção Microsoft Sentinel do portal do Defender. Alterne entre espaços de trabalho selecionando Selecionar um espaço de trabalho no canto superior direito do navegador para a maioria das páginas. - A página Pastas de trabalho mostra apenas os dados associados ao espaço de trabalho principal. As regras de análise entre espaços de trabalho permanecem sujeitas a limitações e recomendações de regras de análise entre espaços de trabalho. |
| Otimização SOC | Os dados e as recomendações são agregados a partir de vários espaços de trabalho. |
Sincronização bidirecional para espaços de trabalho
A forma como as alterações nos incidentes são sincronizadas entre o portal do Azure e o portal do Defender depende de ser ou não um espaço de trabalho primário ou secundário.
| Espaço de trabalho | Comportamento de sincronização |
|---|---|
| Primário | Para o Microsoft Sentinel no portal do Azure, os incidentes do Defender XDR aparecem em Gerenciamento de ameaças>Incidentes com o nome do fornecedor de incidentes Microsoft XDR. Quaisquer alterações que faça no status, no motivo de fecho ou na atribuição de um incidente do Defender XDR, quer no portal Azure quer no Defender, atualizam-se na fila de incidentes do outro. Para obter mais informações, consulte Trabalhando com incidentes do Microsoft Defender XDR no Microsoft Sentinel e sincronização bidirecional. |
| Secundário | Todos os alertas e incidentes criados para um espaço de trabalho secundário são sincronizados entre esse espaço de trabalho nos portais do Azure e do Defender. Os dados em um espaço de trabalho só são sincronizados com o espaço de trabalho no outro portal. |
Suporte à gestão de risco interno (IRM)
Os alertas do Microsoft Purview Insider Risk Management (IRM) estão correlacionados apenas com o espaço de trabalho principal. Se tiveres alertas de IRM com o Microsoft Defender XDR, deverás conectar o IRM ao conector XDR do Microsoft Defender no teu espaço de trabalho principal antes de configurar o espaço de trabalho no portal do Defender. Isso é necessário para garantir que os alertas e incidentes do IRM estejam disponíveis no espaço de trabalho principal. Se não quiser ver alertas de IRM no espaço de trabalho principal, você pode desativar a integração com o Microsoft Defender XDR.
Além disso, se o conector de dados direto do Microsoft 365 Insider Risk Management para o Microsoft Sentinel estiver ligado a algum dos espaços de trabalho secundários, deverá desligá-lo antes de registar o espaço de trabalho no portal do Defender.