Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O portal do Defender permite-lhe ligar a uma área de trabalho primária e a várias áreas de trabalho secundárias para Microsoft Sentinel. No contexto deste artigo, um workspace é um workspace do Log Analytics com o Microsoft Sentinel habilitado.
Este artigo se aplica principalmente ao cenário em que você integra o Microsoft Sentinel ao portal do Defender junto com o Microsoft Defender XDR para operações de segurança unificadas. Se você planeja usar o Microsoft Sentinel no portal do Defender sem o Microsoft Defender XDR, ainda poderá gerenciar vários workspaces. No entanto, como você não tem o Defender XDR, seu workspace primário não terá dados do Defender XDR e você não terá acesso aos recursos do Defender XDR.
Espaços de trabalho primários e secundários
Selecione seu workspace principal ao integrar o Microsoft Sentinel ao portal do Defender. Todos os outros workspaces integrados ao portal do Defender são considerados como workspaces secundários. O portal do Defender dá suporte a um workspace primário e até 99 workspaces secundários por locatário para o Microsoft Sentinel.
Quando você também possui o Microsoft Defender XDR, os alertas do seu workspace primário são correlacionados com os dados do Defender XDR, e os incidentes incluem alertas tanto do seu workspace primário quanto do Defender XDR, em uma fila unificada. Quando você seleciona um workspace primário, o conector de dados do Defender XDR para incidentes e alertas é conectado apenas ao workspace primário.
Nesses casos:
| Área | Descrição |
|---|---|
| Outros workspaces conectados anteriormente ao Defender XDR | Todos os outros espaços de trabalho que foram conectados anteriormente ao conector do Defender XDR são desconectados e passam a funcionar como espaços de trabalho secundários. Os dados do Defender XDR não estão disponíveis em um workspace secundário e as regras de análise e automação configuradas anteriormente com base nos dados do Defender XDR não funcionam mais. |
| Alertas baseados em locatário e conectores de dados autônomos | Os alertas de outros serviços da Microsoft, incluindo outros serviços do Defender, são alertas baseados em inquilino e estão relacionados a todo o inquilino em vez de um espaço de trabalho específico. Para evitar a duplicação entre workspaces, todos os conectores de dados diretos e autônomos para esses serviços devem ser desconectados do Microsoft Sentinel em workspaces secundários. Isso resulta em alertas baseados em locatário surgindo apenas no workspace primário. Após a integração, os conectores de dados autônomos do Microsoft Defender para Office 365, do Microsoft Entra ID Protection, do Microsoft Defender para Aplicativos de Nuvem, do Microsoft Defender para Ponto de Extremidade e do Microsoft Defender para Identidade são desconectados automaticamente. Se você tiver outros conectores de dados autônomos da Microsoft com alertas em seus workspaces, certifique-se de desconectá-los antes de se integrar ao portal do Defender. |
| Alertas e incidentes do Defender XDR | Todos os alertas e incidentes do Defender XDR são sincronizados apenas com seu workspace primário. |
| Criação de incidentes e correlação de alerta | O portal do Defender mantém a criação de incidentes e a correlação de alertas separadas entre os workspaces do Microsoft Sentinel. Incidentes em espaços de trabalho secundários não incluem dados de nenhum outro espaço de trabalho ou do Defender XDR. |
| É necessário um workspace principal | Um workspace primário deve estar sempre conectado ao portal do Defender. |
Por exemplo, você pode estar trabalhando em uma equipe global de SOC em uma empresa que tem vários espaços de trabalho autônomos. Nesses casos, você pode não querer ver incidentes e alertas de cada um desses workspaces na sua fila global do SOC no portal do Defender. Como esses workspaces são integrados ao portal do Defender como workspaces secundários, eles são mostrados no portal do Defender apenas como Microsoft Sentinel, sem dados do Defender, e continuam funcionando de forma autônoma. Ao examinar seu espaço de trabalho global do SOC, você não verá dados desses espaços de trabalho secundários.
Se você tiver vários workspaces do Microsoft Sentinel em um locatário do Microsoft Entra ID, considere usar o workspace primário para o seu centro de operações de segurança global.
Permissões para gerenciar áreas de trabalho e exibir dados das áreas de trabalho
Use uma das seguintes funções ou combinações de função para gerenciar workspaces primários e secundários:
| Tarefa | Microsoft Entra ou função incorporada do Azure necessária | Scope |
|---|---|---|
| Integrar o Microsoft Sentinel no portal do Defender |
Administrador global ou administrador de segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso do Usuário e Colaborador do Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de espaço de trabalho para contribuidor de Microsoft Sentinel |
| Ligar ou desligar uma área de trabalho secundária |
Administrador global ou administrador de segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso do Usuário e Colaborador do Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de espaço de trabalho para contribuidor de Microsoft Sentinel |
| Alterar o workspace primário |
Administrador global ou administrador de segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso do Usuário e Colaborador do Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de espaço de trabalho para contribuidor de Microsoft Sentinel |
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Depois de conectar o Microsoft Sentinel ao portal do Defender, as permissões existentes do RBAC (controle de acesso baseado em função) do Azure permitem que você exiba e trabalhe com os recursos e workspaces do Microsoft Sentinel aos quais você tem acesso.
| Espaço de trabalho | Acesso |
|---|---|
| Primário | Se você tiver acesso ao workspace primário, poderá ler e gerenciar dados do workspace e do Defender XDR. |
| Secundário | Se você tiver acesso a uma área de trabalho secundária, poderá ler e gerenciar dados somente da área de trabalho. Os workspaces secundários não incluem dados do Defender XDR. |
Exceção: Se você já integrou um workspace ao portal do Defender, todos os alertas criados usando detecções personalizadas nas tabelas AlertInfo e AlertEvidence antes de meados de janeiro de 2025 ficarão visíveis para todos os usuários.
Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Alterações da área de trabalho primária
Depois de integrar o Microsoft Sentinel ao portal do Defender, você pode alterar o espaço de trabalho primário. Ao alterna o workspace primário para o Microsoft Sentinel, o conector do Defender XDR é conectado ao novo primário e desconectado do primeiro automaticamente.
Altere o workspace principal no portal do Defender indo para Sistema>Configurações>Microsoft Sentinel>Workspaces.
Escopo dos dados do ambiente de trabalho em diferentes visões
Se você tiver as permissões apropriadas para exibir dados dos workspaces primário e secundário do Microsoft Sentinel, o escopo do workspace na tabela a seguir se aplicará a cada capacidade.
| Capacidade | Escopo da área de trabalho |
|---|---|
| Pesquisar | Os resultados da pesquisa global na parte superior da página do navegador no portal do Defender fornecem uma exibição agregada de todos os dados relevantes do workspace que você tem permissões para exibir. |
| Investigação e resposta > Incidentes & alertas >Incidentes | Exiba incidentes de diferentes workspaces em uma fila unificada ou filtre a exibição por workspace. |
| Investigação & resposta |
Exiba alertas de diferentes workspaces em uma fila unificada ou filtre a exibição por workspace. O portal do Defender segmenta a correlação de alertas por área de trabalho. |
| Entidades: em um incidente ou alerta >, selecione um dispositivo, um usuário ou outro ativo de entidade | Exiba todos os dados de entidade relevantes de vários workspaces em uma única página de entidade. As páginas de entidade agregam alertas, incidentes e eventos de linha do tempo de todos os workspaces para fornecer informações mais profundas sobre o comportamento da entidade. Filtre por espaço de trabalho nas guias Incidentes e alertas, Linha do tempo e Insights. A guia Visão geral exibe metadados de entidade agregados de todos os workspaces. |
| Investigação e resposta > Caça >Caça avançada | Selecione uma área de trabalho no canto superior direito do navegador. Ou, realize consultas em vários espaços de trabalho usando o operador de workspace na consulta. Consulte Consultar vários workspaces. Os resultados da consulta não mostram um nome ou uma ID do workspace. Acessar todos os dados de log do workspace, incluindo consultas e funções, como somente leitura. Para obter mais informações, consulte Busca avançada de ameaças com dados do Microsoft Sentinel no portal do Microsoft Defender. Alguns recursos são limitados ao workspace primário: - Criando detecções personalizadas - Consultas por meio da API Consultas entre espaços de trabalho para dados do Log Analytics permanecem sujeitas a limitações do Log Analytics. |
| Experiências do Microsoft Sentinel | Exibir dados de um workspace para cada página na seção Microsoft Sentinel do portal do Defender. Alterne entre espaços de trabalho selecionando Selecione um espaço de trabalho no canto superior direito do navegador para a maioria das páginas. - A página Pastas de Trabalho mostra apenas os dados associados ao espaço de trabalho primário. As regras de análise entre workspaces permanecem sujeitas a limitações e recomendações de regras de análise entre workspaces. |
| Otimização do SOC | Dados e recomendações são agregados de vários espaços de trabalho. |
Sincronização bidirecional para espaços de trabalho
Como o incidente altera a sincronização entre o portal do Azure e o portal do Defender depende se ele é um workspace primário ou secundário.
| Espaço de trabalho | Comportamento de sincronização |
|---|---|
| Primária | Para o Microsoft Sentinel no portal do Azure, os incidentes do Defender XDR aparecem emIncidentes de > de Ameaças com o nome do provedor de incidentes Microsoft XDR. Quaisquer alterações feitas no status, no motivo de fechamento ou na atribuição de um incidente do Defender XDR no portal do Azure ou do Defender são atualizadas na fila de incidentes do outro. Para obter mais informações, consulte Como trabalhar com incidentes do Microsoft Defender XDR no Microsoft Sentinel e sincronização bidirecional. |
| Secundário | Todos os alertas e incidentes criados para um workspace secundário são sincronizados entre esse workspace nos portais do Azure e do Defender. Os dados em um espaço de trabalho são sincronizados apenas com o espaço de trabalho no outro portal. |
Suporte ao IRM (gerenciamento de risco interno)
Os alertas do IRM (Gerenciamento de Risco Interno) do Microsoft Purview são correlacionados apenas ao workspace primário. Se você tiver alertas IRM com o Microsoft Defender XDR, deverá conectar o IRM ao conector do Microsoft Defender XDR no seu workspace primário antes de integrar o workspace ao portal do Defender. Isso é necessário para garantir que os alertas e incidentes do IRM estejam disponíveis no espaço de trabalho principal. Se você não quiser ver alertas do IRM no workspace primário, poderá recusar a integração com o Microsoft Defender XDR.
Além disso, se o conector de dados Conector de Gerenciamento de Riscos do Microsoft 365 Insider para Microsoft Sentinel estiver conectado a qualquer um dos workspaces secundários, você deverá desconectá-lo antes de integrar o workspace ao portal do Defender.