Ingerir alertas do Microsoft Defender for Cloud para o Microsoft Sentinel
As proteções integradas de carga de trabalho na nuvem do Microsoft Defender for Cloud permitem detetar e responder rapidamente a ameaças em cargas de trabalho híbridas e multicloud. O conector do Microsoft Defender for Cloud permite que você ingira alertas de segurança do Defender for Cloud para o Microsoft Sentinel, para que você possa visualizar, analisar e responder aos alertas do Defender e aos incidentes que eles geram, em um contexto de ameaça organizacional mais amplo.
Os planos do Microsoft Defender for Cloud Defender são habilitados por assinatura. Embora o conector herdado do Microsoft Sentinel para Defender for Cloud Apps também esteja configurado por assinatura, o conector Microsoft Defender for Cloud baseado em locatário, em visualização, permite que você colete alertas do Defender for Cloud em todo o locatário sem precisar habilitar cada assinatura separadamente. O conector baseado em locatário também funciona com a integração do Defender for Cloud com o Microsoft Defender XDR para garantir que todos os seus alertas do Defender for Cloud sejam totalmente incluídos em quaisquer incidentes recebidos por meio da integração de incidentes do Microsoft Defender XDR.
Sincronização de alertas:
Quando você conecta o Microsoft Defender for Cloud ao Microsoft Sentinel, o status dos alertas de segurança que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Defender for Cloud, esse alerta também é exibido como fechado no Microsoft Sentinel.
Alterar o status de um alerta no Defender for Cloud não afetará o status de nenhum incidente do Microsoft Sentinel que contenha o alerta do Microsoft Sentinel, apenas o do alerta em si.
Sincronização de alertas bidirecional: a ativação da sincronização bidirecional sincroniza automaticamente o status dos alertas de segurança originais com o dos incidentes do Microsoft Sentinel que contêm esses alertas. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo alertas de segurança é fechado, o alerta original correspondente é fechado automaticamente no Microsoft Defender for Cloud.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Nota
O conector não suporta alertas de sincronização de assinaturas de propriedade de outros locatários, mesmo quando o Lighthouse está habilitado para esses locatários.
Pré-requisitos
Você deve estar usando o Microsoft Sentinel no portal do Azure. Se você estiver integrado à plataforma de operações de segurança unificadas (SecOps) da Microsoft, os alertas do Defender for Cloud já foram ingeridos no Microsoft Defender XDR e o conector de dados do Microsoft Defender for Cloud (Visualização) baseado em locatário não está listado na página Conectores de dados no portal do Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Se você estiver integrado à plataforma unificada SecOps da Microsoft, ainda desejará instalar a solução Microsoft Defender for Cloud para usar conteúdo de segurança interno com o Microsoft Sentinel.
Se você estiver usando o Microsoft Sentinel no portal do Defender sem o Microsoft Defender XDR, este procedimento ainda será relevante para você.
Você deve ter as seguintes funções e permissões:
Você deve ter permissões de leitura e gravação em seu espaço de trabalho do Microsoft Sentinel.
Você deve ter a função de Colaborador ou Proprietário na assinatura que deseja conectar ao Microsoft Sentinel.
Para habilitar a sincronização bidirecional, você deve ter a função de Colaborador ou Administrador de Segurança na assinatura relevante.
Você precisará habilitar pelo menos um plano no Microsoft Defender for Cloud para cada assinatura em que deseja habilitar o conector. Para habilitar os planos do Microsoft Defender em uma assinatura, você deve ter a função de administrador de segurança para essa assinatura.
Você precisará que o
SecurityInsightsprovedor de recursos esteja registrado para cada assinatura em que deseja habilitar o conector. Analise as orientações sobre o status de registro do provedor de recursos e as maneiras de registrá-lo.
Conectar-se ao Microsoft Defender for Cloud
No Microsoft Sentinel, instale a solução para o Microsoft Defender for Cloud a partir do Content Hub. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Selecione Conectores de dados de configuração>.
Na página Conectores de dados, selecione o conector Microsoft Defender for Cloud (Legado) baseado em assinatura ou o conector Microsoft Defender for Cloud (Visualização) baseado em locatário e selecione Página Abrir conector.
Em Configuração, você verá uma lista das assinaturas em seu locatário e o status de sua conexão com o Microsoft Defender for Cloud. Selecione a alternância Status ao lado de cada assinatura cujos alertas você deseja transmitir para o Microsoft Sentinel. Se pretender ligar várias subscrições de uma só vez, pode fazê-lo marcando as caixas de verificação junto às subscrições relevantes e, em seguida, selecionando o botão Ligar na barra acima da lista.
- As caixas de seleção e as alternâncias Conectar ficam ativas somente nas assinaturas para as quais você tem as permissões necessárias.
- O botão Conectar só estará ativo se pelo menos uma caixa de seleção de assinatura tiver sido marcada.
Para habilitar a sincronização bidirecional em uma assinatura, localize a assinatura na lista e escolha Habilitado na lista suspensa na coluna Sincronização bidirecional. Para habilitar a sincronização bidirecional em várias assinaturas ao mesmo tempo, marque suas caixas de seleção e marque o botão Ativar sincronização bidirecional na barra acima da lista.
- As caixas de seleção e as listas suspensas ficam ativas somente nas assinaturas para as quais você tem as permissões necessárias.
- O botão Ativar sincronização bidirecional só estará ativo se pelo menos uma caixa de seleção de assinatura tiver sido marcada.
Na coluna Planos do Microsoft Defender da lista, você pode ver se os planos do Microsoft Defender estão habilitados na sua assinatura, que é um pré-requisito para habilitar o conector.
O valor de cada assinatura nesta coluna está em branco, o que significa que nenhum plano do Defender está habilitado, Todos habilitados ou Alguns habilitados. Aqueles que dizem Alguns ativados também têm um link Ativar tudo que você pode selecionar, que leva você ao painel de configuração do Microsoft Defender for Cloud para essa assinatura, onde você pode escolher os planos do Defender para habilitar.
O botão de link Habilitar o Microsoft Defender para todas as assinaturas na barra acima da lista leva você à página de Introdução ao Microsoft Defender for Cloud, onde você pode escolher em quais assinaturas habilitar o Microsoft Defender for Cloud completamente. Por exemplo:
Você pode selecionar se deseja que os alertas do Microsoft Defender for Cloud gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Ativado para ativar a regra de análise padrão que cria automaticamente incidentes a partir de alertas. Em seguida, você pode editar essa regra em Análise, na guia Regras ativas.
Gorjeta
Ao configurar regras de análise personalizadas para alertas do Microsoft Defender for Cloud, considere a gravidade do alerta para evitar a abertura de incidentes para alertas informativos.
Os alertas informativos no Microsoft Defender for Cloud não representam um risco de segurança por si só e são relevantes apenas no contexto de um incidente aberto existente. Para obter mais informações, consulte Alertas e incidentes de segurança no Microsoft Defender for Cloud.
Encontre e analise os seus dados
Os alertas de segurança são armazenados na tabela SecurityAlert na área de trabalho do Log Analytics. Para consultar alertas de segurança no Log Analytics, copie o seguinte na janela de consulta como ponto de partida:
SecurityAlert
| where ProductName == "Azure Security Center"
A sincronização de alertas em ambas as direções pode levar alguns minutos. As alterações no status dos alertas podem não ser exibidas imediatamente.
Consulte a guia Próximas etapas na página do conector para obter exemplos de consultas mais úteis, modelos de regras de análise e pastas de trabalho recomendadas.
Conteúdos relacionados
Neste documento, você aprendeu como conectar o Microsoft Defender for Cloud ao Microsoft Sentinel e sincronizar alertas entre eles. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e potenciais ameaças.
- Comece a detetar ameaças com o Microsoft Sentinel.
- Escreva suas próprias regras para detetar ameaças.