Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Sentinel é uma solução SIEM nativa de nuvem que oferece segurança escalonável e econômica em ambientes multinuvem e multiplataforma. Ele combina IA, automação e inteligência contra ameaças para dar suporte à detecção de ameaças, investigação, resposta e busca proativa.
O SIEM do Microsoft Sentinel capacita os analistas a prever e parar ataques entre nuvens e plataformas, mais rápido e com maior precisão.
Este artigo destaca os principais recursos no Microsoft Sentinel.
O Microsoft Sentinel herda as práticas de prova de adulteração e imutabilidade do Azure Monitor. Embora o Azure Monitor seja uma plataforma de dados somente acréscimo, ele inclui provisionamentos para excluir dados para fins de conformidade.
Esse serviço dá suporte ao Azure Lighthouse, que permite que os provedores de serviços entrem no próprio locatário para gerenciar assinaturas e grupos de recursos delegados pelos clientes.
Habilitar conteúdo de segurança pronto para uso
O Microsoft Sentinel fornece conteúdo de segurança empacotado em soluções SIEM que permitem ingerir dados, monitorar, alertar, caçar, investigar, responder e conectar-se a diferentes produtos, plataformas e serviços.
Para saber mais, confira Sobre o conteúdo e soluções do Microsoft Azure Sentinel.
Colete dados em escala
Colete dados de todos os usuários, dispositivos, aplicativos e infraestrutura, tanto no local quanto em diversas nuvens.
Esta tabela realça os principais recursos no Microsoft Sentinel para coleta de dados.
| Recurso | Descrição | Introdução |
|---|---|---|
| Conectores de dados prontos para uso | Muitos conectores são fornecidos com soluções SIEM para Microsoft Sentinel e fornecem integração em tempo real. Esses conectores incluem fontes da Microsoft e do Azure, como Microsoft Entra ID, Azure Activity, Azure Storage e muito mais. Conectores prontos para uso também estão disponíveis para ecossistemas mais amplos de segurança e aplicativos para soluções que não são da Microsoft. Também é possível usar o formato de evento comum, o Syslog ou a API REST para conectar suas fontes de dados ao Microsoft Sentinel. |
Conectores de dados do Microsoft Azure Sentinel |
| Conectores personalizados | O Microsoft Sentinel dá suporte à ingestão de dados de algumas fontes sem um conector dedicado. Se você não conseguir conectar sua fonte de dados ao Microsoft Sentinel usando uma solução existente, crie seu próprio conector de fonte de dados. | Recursos para criar conectores personalizados do Microsoft Sentinel. |
| Normalização de dados | O Microsoft Sentinel usa o tempo de consulta e a normalização do tempo de ingestão para traduzir várias fontes em uma exibição uniforme e normalizada. | Normalização e o ASIM (Modelo de Informação de Segurança Avançado) |
Detectar ameaças
Detecte ameaças anteriormente não detectadas e minimize falsos positivos usando a análise da Microsoft e a inteligência contra ameaças incomparável.
Esta tabela destaca os principais recursos no Microsoft Sentinel para detecção de ameaças.
| Capacity | Descrição | Introdução |
|---|---|---|
| Análise | Ajuda a reduzir o ruído e a minimizar o número de alertas que você precisa analisar e investigar. O Microsoft Sentinel usa análises para agrupar alertas em incidentes. Use as regras analíticas prontas para uso como estão ou como ponto de partida para criar suas próprias regras. O Microsoft Sentinel também fornece regras para mapear o comportamento da sua rede e, em seguida, procurar anomalias nos seus recursos. Essas análises ligam os pontos, pois combinam alertas de baixa fidelidade sobre diferentes entidades em possíveis incidentes de segurança de alta fidelidade. | Detectar ameaças rapidamente |
| Cobertura do MITRE ATT&CK | O Microsoft Sentinel analisa os dados ingeridos, não apenas para detectar ameaças e ajudá-lo a investigar, mas também para visualizar a natureza e a cobertura do status de segurança da sua organização com base nas táticas e técnicas da estrutura MITRE ATT&CK®. | Entenda a cobertura de segurança da estrutura MITRE ATT&CK |
| Inteligência contra ameaças | Integre diversas fontes de inteligência sobre ameaças ao Microsoft Sentinel para detectar atividades maliciosas em seu ambiente e fornecer contexto aos investigadores de segurança para decisões de resposta informadas. | Inteligência contra ameaças cibernéticas no Microsoft Sentinel |
| Listas de Observação | Correlacione dados de uma fonte de dados fornecida por você, uma lista de observação, com os eventos em seu ambiente Microsoft Sentinel. Por exemplo, você pode criar uma watchlist com uma lista de ativos de alto valor, funcionários demitidos ou contas de serviço em seu ambiente. Use watchlists em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta. | Watchlists no Microsoft Sentinel |
| Pastas de Trabalho | Crie relatórios visuais interativos usando pastas de trabalho. O Microsoft Sentinel vem com modelos de pasta de trabalho integrados que permitem obter rapidamente insights sobre seus dados assim que você conecta uma fonte de dados. Ou crie suas próprias pastas de trabalho personalizadas. | Visualize os dados coletados. |
Investigar ameaças
Investigue ameaças com inteligência artificial e busque atividades suspeitas em escala, aproveitando anos de trabalho em segurança cibernética na Microsoft.
Esta tabela destaca os principais recursos no Microsoft Sentinel para investigação de ameaças.
| Recurso | Descrição | Introdução |
|---|---|---|
| Incidentes | As ferramentas de investigação detalhada do Microsoft Sentinel ajudam você a entender o escopo e encontrar a causa raiz de uma possível ameaça à segurança. Você pode escolher uma entidade no gráfico interativo para fazer perguntas interessantes para uma entidade específica, além de fazer uma busca detalhada nessa entidade e em suas conexões para chegar à causa raiz da ameaça. | Navegar e investigar incidentes no Microsoft Sentinel |
| Busca | As poderosas ferramentas de pesquisa e consulta do Microsoft Sentinel, baseadas na estrutura MITRE, permitem que você procure proativamente ameaças à segurança nas fontes de dados da sua organização, antes que um alerta seja acionado. Crie regras de detecção personalizadas com base na consulta de busca. Em seguida, exponha esses insights como alertas para os respondentes de incidentes de segurança. | Busca por ameaças no Microsoft Sentinel |
| Notebooks | O Microsoft Sentinel dá suporte a notebooks Jupyter em workspaces do Azure Machine Learning, incluindo bibliotecas completas para machine learning, visualização e análise de dados. Use notebooks no Microsoft Sentinel para ampliar o escopo do que você pode fazer com os dados do Microsoft Sentinel. Por exemplo: Execute análises que não são internas ao Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python. Crie visualizações de dados que não são internas ao Microsoft Sentinel, como linhas do tempo personalizadas e árvores de processos. - Integre de fontes de dados de fora do Microsoft Sentinel, como um conjunto de dados local. |
Jupyter notebooks com recursos de busca do Microsoft Sentinel |
Responder rapidamente a incidentes
Automatize suas tarefas comuns e simplifique a orquestração de segurança com guias estratégicos que se integram aos serviços do Azure e suas ferramentas existentes. A solução de automação e orquestração do Microsoft Sentinel oferece uma arquitetura altamente extensível que possibilita a automação escalonável à medida que surgem novas tecnologias e ameaças.
Os guias estratégicos no Microsoft Sentinel são baseados em fluxos de trabalho internos nos Aplicativos Lógicos do Azure. Por exemplo, se você usar o sistema de emissão de tíquetes do ServiceNow, use os Aplicativos Lógicos do Azure a fim de automatizar os fluxos de trabalho e abra um tíquete no ServiceNow cada vez que um alerta ou incidente específico for gerado.
Esta tabela destaca os principais recursos no Microsoft Sentinel para resposta a ameaças.
| Recurso | Descrição | Introdução |
|---|---|---|
| Regras de automação | Gerencie centralmente a automação do tratamento de incidentes no Microsoft Sentinel, definindo e coordenando um pequeno conjunto de regras que abrangem diferentes cenários. | Automatizar a resposta a ameaças no Microsoft Sentinel com regras de automação |
| Guias estratégicos | Automatize e orquestre sua resposta a ameaças usando manuais, que são um conjunto de ações de correção. Execute um guia estratégico sob demanda ou automaticamente em resposta a alertas ou incidentes específicos, quando acionado por uma regra de automação. Para criar manuais com os Aplicativos Lógicos do Azure, escolha entre uma galeria de conectores em constante expansão para vários serviços e sistemas, como ServiceNow, Jira e muito mais. Esses conectores permitem que você aplique qualquer lógica personalizada ao fluxo de trabalho. |
Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel Lista de todos os conectores dos Aplicativos Lógicos |
Cronograma de desativação do Microsoft Sentinel no portal do Azure
O Microsoft Sentinel está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou a licença E5. Isso significa que você pode usar o Microsoft Sentinel no portal do Defender mesmo que não esteja usando outros serviços do Microsoft Defender.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usam o portal do Azure serão redirecionados automaticamente.
Se você estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender agora para garantir uma transição tranquila e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender.
Para obter mais informações, consulte:
- Microsoft Sentinel no portal do Microsoft Defender
- Fazer a transição do ambiente do Microsoft Sentinel para o portal do Defender
- Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel (blog)
Alterações para novos clientes a partir de julho de 2025
Para as alterações descritas nesta seção, novos clientes do Microsoft Sentinel são aqueles que estão integrando o primeiro espaço de trabalho em seu locatário ao Microsoft Sentinel.
A partir de julho de 2025, esses novos clientes que também têm as permissões de um proprietário de assinatura ou de um administrador de acesso de usuário, e não são usuários delegados do Azure Lighthouse, têm seus workspaces automaticamente integrados ao portal do Defender, juntamente com a integração ao Microsoft Sentinel.
Usuários de tais espaços de trabalho, que também não são usuários delegados do Azure Lighthouse, veem links no Microsoft Sentinel no portal do Azure que os redirecionam para o portal do Defender.
Por exemplo:
Esses usuários usam o Microsoft Sentinel somente no portal do Defender.
Novos clientes que não têm as permissões relevantes não são integrados automaticamente ao portal do Defender, mas ainda veem links de redirecionamento no portal do Azure, juntamente com prompts para que um usuário com as permissões relevantes integre manualmente o espaço de trabalho ao portal do Defender.
Esta tabela resume estas experiências:
| Tipo de cliente | Experiência |
|---|---|
| Clientes existentes criando novos workspaces em um locatário onde já há um workspace habilitado para o Microsoft Sentinel | Os workspaces não são integrados automaticamente e os usuários não veem links de redirecionamento |
| Usuários delegados do Azure Lighthouse criando novos workspaces em qualquer locatário | Os workspaces não são integrados automaticamente e os usuários não veem links de redirecionamento |
| Novos clientes que estão integrando o primeiro espaço de trabalho em seu locatário ao Microsoft Sentinel |
-
Os usuários que têm as permissões necessárias têm seu workspace integrado automaticamente. Outros usuários desses workspaces veem links de redirecionamento no portal do Azure. - Os usuários que não têm as permissões necessárias não têm seu workspace integrado automaticamente. Todos os usuários desses workspaces veem links de redirecionamento no portal do Azure e um usuário com as permissões necessárias deve integrar o workspace ao portal do Defender. |