Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Neste início rápido, você habilitará o Microsoft Sentinel e instalará uma solução do hub de conteúdo. Em seguida, você configurará um conector de dados para começar a ingerir dados no Microsoft Sentinel.
O Microsoft Sentinel vem com muitos conectores de dados para produtos Microsoft, como o conector de serviço a serviço Microsoft Defender XDR. Você também pode habilitar conectores internos para produtos que não sejam da Microsoft, como Syslog ou CEF (Common Event Format). Para este início rápido, você usará o conector de dados de Atividade do Azure disponível na solução de Atividade do Azure para Microsoft Sentinel.
Para integrar ao Microsoft Sentinel usando a API, consulte a versão mais recente com suporte do Sentinel Onboarding States.
Pré-requisitos
Subscrição Ativa do Azure. Se não tiver uma, crie uma conta gratuita antes de começar.
Permissões:
Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel reside.
Para usar o Microsoft Sentinel, você precisa de permissões do Microsoft Sentinel Contributor ou do Microsoft Sentinel Reader no grupo de recursos ao qual o espaço de trabalho pertence.
Para instalar ou gerenciar soluções no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no grupo de recursos ao qual o espaço de trabalho pertence.
Se você for um novo cliente do Microsoft Sentinel e tiver permissões de um proprietário de assinatura ou de um administrador de acesso de usuário, seu espaço de trabalho será automaticamente integrado ao portal do Defender. Os usuários desses espaços de trabalho usam o Microsoft Sentinel somente no portal do Defender .
O Microsoft Sentinel é um serviço pago. Analise as opções de preços e a página de preços do Microsoft Sentinel.
Antes de implantar o Microsoft Sentinel em um ambiente de produção, revise as atividades de pré-implantação e os pré-requisitos para implantar o Microsoft Sentinel.
Criar uma área de trabalho do Log Analytics
O Microsoft Sentinel deve ser adicionado a um espaço de trabalho. Se você já tiver um espaço de trabalho do Log Analytics, pule para adicionar o Microsoft Sentinel ao seu espaço de trabalho do Log Analytics. Se você ainda não tiver um espaço de trabalho do Log Analytics, poderá criar um usando as instruções abaixo ou, para obter uma explicação mais detalhada, vá para Criar um espaço de trabalho do Log Analytics. Para obter mais informações sobre espaços de trabalho do Log Analytics, consulte Projetando sua implantação do Azure Monitor Logs.
Você pode ter uma definição padrão de retenção de 30 dias no espaço de trabalho do Log Analytics usado para o Microsoft Sentinel. Para se certificar de que pode utilizar todas as funcionalidades e funcionalidades do Microsoft Sentinel, aumente a retenção para 90 dias. Configure políticas de retenção e arquivamento de dados nos Logs do Azure Monitor.
Inicie sessão no portal do Azure.
Procure e selecione Microsoft Sentinel.
Selecione Criar.
Selecione Criar um novo espaço de trabalho.
EmSubscrição>Grupo de Recursos, selecione Criar novo. Insira um nome para seu grupo de recursos e selecione OK.
Dê um nome ao espaço de trabalho e selecione uma região, depois selecione Revisar + Criar. (Veja em quais regiões o Log Analytics está disponível.)
Após a validação ter passado, selecione Criar. Aguarde até que a implantação seja concluída.
Adicionar o Microsoft Sentinel ao seu espaço de trabalho do Log Analytics
No portal do Azure, procure e selecione Microsoft Sentinel.
Selecione Criar.
Selecione o espaço de trabalho que deseja usar e selecione Adicionar. Você pode executar o Microsoft Sentinel em mais de um espaço de trabalho, mas os dados são isolados em um único espaço de trabalho.
- Os espaços de trabalho padrão criados pelo Microsoft Defender for Cloud não são mostrados na lista. Não é possível instalar o Microsoft Sentinel nesses espaços de trabalho.
- Uma vez implantado em um espaço de trabalho, o Microsoft Sentinel não oferece suporte à movimentação desse espaço de trabalho para outro grupo de recursos ou assinatura.
Observação
Se o seu espaço de trabalho não for integrado automaticamente ao portal do Defender, recomendamos a integração para obter uma experiência unificada no gerenciamento de operações de segurança (SecOps) no Microsoft Sentinel e em outros serviços de segurança da Microsoft. Para obter mais informações, consulte Integrar o Microsoft Sentinel ao portal do Defender.
Se o seu espaço de trabalho for integrado automaticamente ou se decidir integrá-lo agora, pode continuar os procedimentos neste artigo a partir do portal do Defender. Se esta for a sua primeira vez usando o portal Defender, haverá um atraso de alguns minutos enquanto o processo é concluído.
Acesse o Microsoft Sentinel no portal do Defender
Para acessar o Microsoft Sentinel no portal do Defender:
Inicie sessão no portal do Defender.
Na primeira vez que você acessar o portal do Defender, levará algum tempo para provisionar seu locatário.
Após a provisão, o Microsoft Sentinel estará disponível no painel de navegação, com nodos do Microsoft Sentinel aninhados. Por exemplo:
Role para baixo no painel de navegação e selecione Configurações > Microsoft Sentinel > Workspaces para exibir os espaços de trabalho integrados ao portal do Defender e disponíveis para você.
O portal do Defender suporta vários espaços de trabalho, com um espaço de trabalho atuando como o espaço de trabalho principal por locatário. Para obter mais informações, consulte Vários espaços de trabalho do Microsoft Sentinel no portal do Defender e Gerenciamento multilocatário do Microsoft Defender.
Instalar uma solução a partir do hub de conteúdo
O hub de conteúdo no Microsoft Sentinel é o local centralizado para descobrir e gerenciar conteúdo pronto para uso, incluindo conectores de dados. Para este início rápido, instale a solução para Azure Activity.
No Microsoft Sentinel, navegue até a página Hub de conteúdo e localize e selecione a solução Atividade do Azure .
No painel de detalhes da solução ao lado, selecione Instalar.
Configurar o conector de dados
O Microsoft Sentinel ingere dados de serviços e aplicativos conectando-se ao serviço e encaminhando os eventos e logs para o Microsoft Sentinel. Para este início rápido, instale o conector de dados para encaminhar dados da Atividade do Azure para o Microsoft Sentinel.
No Microsoft Sentinel, selecione Configuração>Conectores de Dados e procure e selecione o conector de dados Azure Activity.
No painel de detalhes do conector, selecione Abrir página do conector. Use as instruções na página Conector de atividade do Azure para configurar o conector de dados.
Selecione Lançar Assistente de Atribuição de Políticas do Azure.
Na guia Noções básicas, defina o Escopo como o grupo de assinaturas e recursos que tem atividade para enviar ao Microsoft Sentinel. Por exemplo, selecione a assinatura que contém sua instância do Microsoft Sentinel.
Selecione a guia Parâmetros e defina o espaço de trabalho do Primary Log Analytics. Este deve ser o espaço de trabalho onde o Microsoft Sentinel está instalado.
Selecione Rever + criar e Criar.
Gerar dados de atividade
Vamos gerar alguns dados de atividade habilitando uma regra que foi incluída na solução de Atividade do Azure para Microsoft Sentinel. Esta etapa também mostra como gerenciar conteúdo no hub de conteúdo.
No Microsoft Sentinel, selecione Hub de conteúdo e procure e selecione Modelo de regra de implantação de Recursos Suspeitos na solução Atividade do Azure .
No painel de detalhes, selecione Criar regra para criar uma nova regra usando o assistente de regras do Google Analytics.
Na página Assistente de regras do Google Analytics - Criar uma nova regra agendada , altere o Status para Habilitado.
Nesta guia e em todas as outras guias do assistente, deixe os valores padrão como estão.
Na guia Revisar e criar, selecione Criar.
Ver dados ingeridos no Microsoft Sentinel
Agora que você habilitou o conector de dados de atividade do Azure e gerou alguns dados de atividade, vamos exibir os dados de atividade adicionados ao espaço de trabalho.
No Microsoft Sentinel, selecione Configuração>Conectores de Dados e procure e selecione o conector de dados Azure Activity.
No painel de detalhes do conector, selecione Abrir página do conector.
Revise o status do conector de dados. Deve estar ligado.
Selecione uma guia para continuar, dependendo do portal que você está usando:
Selecione Ir para análise de log para abrir a página Caça avançada .
Na parte superior do painel, ao lado da guia Nova consulta , selecione a + guia para adicionar uma nova consulta.
Execute a seguinte consulta para exibir a data da atividade ingerida no espaço de trabalho:
AzureActivity
Por exemplo:
Próximos passos
Neste início rápido, você habilitou o Microsoft Sentinel e instalou uma solução do hub de conteúdo. Em seguida, você configura um conector de dados para começar a ingerir dados no Microsoft Sentinel. Você também verificou que os dados estão a ser ingeridos ao visualizar os dados no espaço de trabalho.
Se você for um novo cliente que foi automaticamente integrado ao portal do Defender, seus usuários acessarão o Microsoft Sentinel somente no portal do Defender. Ao usar a documentação do Microsoft Sentinel, certifique-se de selecionar a versão da documentação do portal do Defender.
- Para visualizar os dados coletados usando os painéis e pastas de trabalho, consulte Visualizar dados coletados.
- Para detetar ameaças usando regras de análise, consulte Tutorial: Detetar ameaças usando regras de análise no Microsoft Sentinel.