Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As orientações de práticas recomendadas são fornecidas em toda a documentação técnica do Microsoft Sentinel. Este artigo destaca algumas orientações importantes a serem usadas ao implantar, gerenciar e usar o Microsoft Sentinel.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Para começar a usar o Microsoft Sentinel, consulte o guia de implantação, que aborda as etapas de alto nível para planejar, implantar e ajustar sua implantação do Microsoft Sentinel. Nesse guia, selecione os links fornecidos para encontrar orientações detalhadas para cada estágio da implantação.
Adote uma arquitetura de plataforma única
O Microsoft Sentinel é integrado a um data lake moderno que oferece armazenamento acessível e de longo prazo, permitindo que as equipes simplifiquem o gerenciamento de dados, otimizem custos e acelerem a adoção da IA. O data lake do Microsoft Sentinel permite uma arquitetura de plataforma única para dados de segurança e capacita os analistas com uma experiência de consulta unificada enquanto aproveita o rico ecossistema de conectores do Microsoft Sentinel. Para obter mais informações, consulte Microsoft Sentinel data lake .
Integre o Microsoft Sentinel ao portal do Microsoft Defender e integre-o ao Microsoft Defender XDR
Considere integrar o Microsoft Sentinel ao portal do Microsoft Defender para unificar recursos com o Microsoft Defender XDR, como gerenciamento de incidentes e caça avançada.
Se você não integrar o Microsoft Sentinel ao portal do Microsoft Defender, observe que:
- Até julho de 2026, todos os clientes do Microsoft Sentinel que usam o portal do Azure serão redirecionados para o portal do Defender.
- Até lá, pode utilizar o conector de dados XDR do Defender para integrar os dados do serviço Microsoft Defender com o Microsoft Sentinel no portal do Azure.
A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.
Para obter mais informações, consulte os seguintes artigos:
- Integração do Microsoft Defender XDR com o Microsoft Sentinel
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
- Microsoft Sentinel no portal do Microsoft Defender
Integre os serviços de segurança da Microsoft
O Microsoft Sentinel é capacitado pelos componentes que enviam dados para o seu espaço de trabalho e é fortalecido por meio de integrações com outros serviços da Microsoft. Todos os logs ingeridos em produtos, como o Microsoft Defender for Cloud Apps, o Microsoft Defender for Endpoint e o Microsoft Defender for Identity, permitem que esses serviços criem deteções e, por sua vez, forneçam essas deteções ao Microsoft Sentinel. Os logs também podem ser ingeridos diretamente no Microsoft Sentinel para fornecer uma imagem mais completa de eventos e incidentes.
Mais do que ingerir alertas e logs de outras fontes, o Microsoft Sentinel também fornece:
| Capacidade | Description |
|---|---|
| Deteção de ameaças | Recursos de deteção de ameaças com inteligência artificial, permitindo que você crie e apresente visuais interativos por meio de pastas de trabalho, execute playbooks para agir automaticamente em alertas, integre modelos de aprendizado de máquina para aprimorar suas operações de segurança e ingira e busque feeds de enriquecimento de plataformas de inteligência de ameaças. |
| Investigação de ameaças | Recursos de investigação de ameaças que permitem visualizar e explorar alertas e entidades, detetar anomalias no comportamento de usuários e entidades e monitorar eventos em tempo real durante uma investigação. |
| Recolha de dados | Colete dados em todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em várias nuvens. |
| Resposta a ameaças | Recursos de resposta a ameaças, como playbooks que se integram aos serviços do Azure e às suas ferramentas existentes. |
| Integrações de parceiros | Integra-se com plataformas de parceiros usando conectores de dados Microsoft Sentinel, fornecendo serviços essenciais para equipes SOC. |
Criar soluções de integração personalizadas (parceiros)
Para parceiros que desejam criar soluções personalizadas que se integram ao Microsoft Sentinel, consulte Práticas recomendadas para parceiros que integram o Microsoft Sentinel.
Planejar o processo de gerenciamento e resposta a incidentes
A imagem a seguir mostra as etapas recomendadas em um processo de gerenciamento e resposta a incidentes.
A tabela a seguir fornece tarefas de alto nível de gerenciamento e resposta a incidentes e práticas recomendadas relacionadas. Para obter mais informações, consulte Investigação de incidentes do Microsoft Sentinel no portal do Azure ou Incidentes e alertas no portal do Microsoft Defender.
| Tarefa | Melhor prática |
|---|---|
| Página Rever Incidentes | Analise um incidente na página Incidentes , que lista o título, a gravidade e os alertas relacionados, logs e quaisquer entidades de interesse. Você também pode mover-se de incidentes para registos recolhidos e ferramentas que estejam relacionadas com o incidente. |
| Usar gráfico de incidentes | Revise o gráfico de incidente para ver o escopo completo de um ataque. Em seguida, você pode construir uma linha do tempo de eventos e descobrir a extensão de uma cadeia de ameaças. |
| Analisar incidentes para falsos positivos | Use dados sobre entidades-chave, como contas, URLs, endereços IP, nomes de host, atividades e linha do tempo, para compreender se se encontra perante um falso positivo, caso em que pode encerrar o incidente diretamente. Se você descobrir que o incidente é um verdadeiro positivo, tome medidas diretamente da página Incidentes para investigar logs, entidades e explorar a cadeia de ameaças. Depois de identificar a ameaça e criar um plano de ação, use outras ferramentas no Microsoft Sentinel e em outros serviços de segurança da Microsoft para continuar investigando. |
| Visualizar informações | Dê uma olhada no painel de visão geral do Microsoft Sentinel para ter uma ideia da postura de segurança da sua organização. Para obter mais informações, consulte Visualizar dados coletados. Além de informações e tendências na página de visão geral do Microsoft Sentinel, as pastas de trabalho são ferramentas de investigação valiosas. Por exemplo, use a pasta de trabalho do Investigation Insights para investigar incidentes específicos junto com quaisquer entidades e alertas associados. Esta pasta de trabalho permite que você se aprofunde nas entidades, mostrando logs, ações e alertas relacionados. |
| Caça às ameaças | Ao investigar e procurar as causas principais, execute consultas internas de caça a ameaças e verifique os resultados em busca de quaisquer indicadores de comprometimento. Para obter mais informações, consulte Caça a ameaças no Microsoft Sentinel. |
| Use a transmissão ao vivo | Durante uma investigação, ou depois de ter tomado medidas para remediar e erradicar a ameaça, use a transmissão ao vivo. O Livestream permite que você monitore, em tempo real, se há algum evento malicioso persistente ou se os eventos maliciosos ainda continuam. |
| Comportamento da entidade | O comportamento da entidade no Microsoft Sentinel permite que os usuários revisem e investiguem ações e alertas para entidades específicas, como investigar contas e nomes de host. Para obter mais informações, consulte: - Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel - Investigar incidentes com dados da UEBA - Referência de enriquecimento do Microsoft Sentinel UEBA |
| Watchlists | Use uma lista de observação que combine dados de dados ingeridos e fontes externas, como dados de enriquecimento. Por exemplo, crie listas de intervalos de endereços IP usados por sua organização ou por funcionários recentemente demitidos. Use listas de observação com playbooks para coletar dados de enriquecimento, como adicionar endereços IP mal-intencionados a listas de observação para usar durante a deteção, caça a ameaças e investigações. Durante um incidente, use listas de observação para conter dados de investigação e, em seguida, exclua-os quando a investigação for concluída para garantir que os dados confidenciais não permaneçam à vista. Para obter mais informações, consulte Listas de observação no Microsoft Sentinel. |
Otimizar a recolha e ingestão de dados
Analise as práticas recomendadas de coleta de dados do Microsoft Sentinel, que incluem priorizar conectores de dados, filtrar logs e otimizar a ingestão de dados.
Torne suas consultas Kusto Query Language mais rápidas
Analise as práticas recomendadas da Kusto Query Language para tornar as consultas mais rápidas.