Conectar-se ao Microsoft Sentinel

2025-09-18

Neste início rápido, você habilitará o Microsoft Sentinel e instalará uma solução a partir do hub de conteúdo. Em seguida, você configurará um conector de dados para começar a ingerir dados no Microsoft Sentinel.

O Microsoft Sentinel oferece muitos conectores de dados para produtos Microsoft, como o conector de serviço a serviço do Microsoft Defender XDR. Você também pode habilitar conectores internos para produtos que não sejam da Microsoft, como Syslog ou CEF (Formato Comum de Evento). Para este início rápido, você usará o conector de dados do Atividade do Azure disponível na solução Atividade do Azure para o Microsoft Sentinel.

Para integrar ao Microsoft Sentinel usando a API, consulte a versão mais recente com suporte do Sentinel Onboarding States.

Pré-requisitos

Assinatura ativa do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
Permissões:
- Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador na assinatura em que o workspace do Microsoft Sentinel está.
- Para usar o Microsoft Sentinel, são necessárias permissões do Colaborador do Microsoft Sentinel ou do Leitor do Microsoft Sentinel no grupo de recursos ao qual o workspace pertence.
- Para instalar ou gerenciar soluções no hub de conteúdo, é necessária a função Colaborador do Microsoft Sentinel no grupo de recursos ao qual o workspace pertence.
- Se você for um novo cliente do Microsoft Sentinel e tiver permissões de um proprietário de assinatura ou de um administrador de acesso de usuário, seu workspace será integrado automaticamente ao portal do Defender. Os usuários desses workspaces usam o Microsoft Sentinel somente no portal do Defender .
O Microsoft Sentinel é um serviço pago. Examine as opções de preço e a página de preços do Microsoft Sentinel.
Antes de implantar o Microsoft Sentinel em um ambiente de produção, revise as atividades de pré-implantação e os pré-requisitos para a implantação do Microsoft Sentinel.

Criar um espaço de trabalho do Log Analytics

O Microsoft Sentinel deve ser adicionado a um workspace. Se você já tiver um workspace do Log Analytics, pule para adicionar o Microsoft Sentinel ao seu workspace do Log Analytics. Se você ainda não tiver um workspace do Log Analytics, poderá criar um usando as instruções abaixo ou, para obter uma explicação mais detalhada, vá para Criar um workspace do Log Analytics. Para saber mais sobre workspaces do Log Analytics, confira Criar sua implantação de logs do Azure Monitor.

Você pode ter um padrão de retenção de 30 dias no workspace do Log Analytics usado no Microsoft Azure Sentinel. Para garantir que você possa usar todas as funcionalidades e recursos do Microsoft Sentinel, aumente a retenção para 90 dias. Configurar políticas de arquivamento e retenção de dados em logs do Azure Monitor.

Entre no portal do Azure.
Pesquise pelo Microsoft Sentinel e selecione-o.
Selecione Criar.
Selecione Criar um novo workspace.
Em Assinatura>Grupo de recursos, selecione Criar novo. Insira um nome para o grupo de recursos e selecione OK.
Dê um nome ao workspace e selecione uma região e selecione Examinar + Criar. (Veja em quais regiões o Log Analytics está disponível.)
Depois que a validação for aprovada, selecione Criar. Aguarde até que sua implantação seja concluída.

Adicionar o Microsoft Sentinel ao workspace do Log Analytics

No portal do Azure, pesquise e selecione o Microsoft Sentinel.
Selecione Criar.
Selecione o workspace que você deseja usar e selecione Adicionar. Você pode executar o Microsoft Sentinel em mais de um workspace, mas os dados são isolados em um único workspace.
- Os workspaces padrão criados pelo Microsoft Defender para Nuvem não são mostrados na lista. Não é possível instalar o Microsoft Sentinel nesses workspaces.
- Depois de implantado em um espaço de trabalho, o Microsoft Sentinel não oferece suporte à movimentação desse espaço de trabalho para outro grupo de recursos ou assinatura.

Observação

Se o workspace não estiver integrado automaticamente ao portal do Defender, recomendamos a integração para uma experiência unificada no gerenciamento de operações de segurança (SecOps) no Microsoft Sentinel e em outros serviços de segurança da Microsoft. Para obter mais informações, consulte Integrar o Microsoft Sentinel ao portal do Defender.

Se a área de trabalho for integrada automaticamente ou se você decidir integrar sua área de trabalho agora, é possível continuar com os procedimentos deste artigo no portal do Microsoft Defender. Se essa for a primeira vez que você usa o portal do Defender, haverá um atraso de alguns minutos enquanto o processo é concluído.

Acessar o Microsoft Sentinel no portal do Defender

Para acessar o Microsoft Sentinel no portal do Defender:

Entre no portal do Defender.

Na primeira vez que você acessa o portal do Defender, precisa passar pelo provisionamento do locatário, que pode levar algum tempo.
Depois do provisionamento, o Microsoft Sentinel fica disponível no painel de navegação, e os nós dele aparecem aninhados. Por exemplo:
Role para baixo no painel de navegação e selecione Configurações > do Microsoft Sentinel > Workspaces para exibir os workspaces integrados ao portal do Defender e disponíveis para você.

O portal do Defender aceita diversos workspaces, e um deles atua como primário por locatário. Para saber mais, confira Diversos workspaces do Microsoft Sentinel no portal do Defender e Gerenciamento de diversos locatários do Microsoft Defender.

Instalar uma solução a partir do hub de conteúdo

O hub de conteúdo no Microsoft Sentinel é o local centralizado para descobrir e gerenciar conteúdo pronto para uso, incluindo conectores de dados. Para este início rápido, instale a solução para a Atividade do Azure.

No Microsoft Sentinel, navegue até a página hub de conteúdo e localize e selecione a solução de Atividade do Azure .
- Portal do Defender
- Portal do Azure
No painel de detalhes da solução ao lado, selecione Instalar.

Configurar o conector de dados

O Microsoft Sentinel ingere dados de serviços e aplicativos conectando-se ao serviço e encaminhando os eventos e logs ao Microsoft Sentinel. Para este início rápido, instale o conector de dados para encaminhar dados da Atividade do Azure para o Microsoft Sentinel.

No Microsoft Sentinel, selecione Configuração>conectores de Dados e pesquise e selecione o conector de dados Azure Activity.
No painel de detalhes do conector, selecione Abrir página do conector. Use as instruções na página do conector de Atividades do Azure para configurar o conector de dados.
1. Selecione Iniciar assistente de atribuição do Azure Policy.
2. Na guia Básico, defina o Escopo para a assinatura e o grupo de recursos que tem atividade a ser enviada ao Microsoft Sentinel. Por exemplo, selecione a assinatura que contém a instância do Microsoft Sentinel.
3. Selecione a guia Parâmetros e defina o workspace primário do Log Analytics. Ele deve ser o workspace em que o Microsoft Sentinel está instalado.
4. Selecione Analisar + criar e Criar.

Gerar dados de atividade

Vamos gerar alguns dados de atividade habilitando uma regra que foi incluída na solução Atividade do Azure para o Microsoft Sentinel. Essa etapa também mostra como gerenciar o conteúdo no hub de conteúdo.

No Microsoft Sentinel, selecione o Hub de Conteúdo e pesquise e selecione o modelo de regra de Implantação de Recursos Suspeitos na solução Atividade do Azure.
No painel de detalhes, selecione Criar regra para criar uma nova regra usando o assistente de regra de Análise.
Na página Assistente de regras do Analytics - Criar uma nova regra agendada, altere o Status para Habilitado.

Nessa guia e em todas as outras guias do assistente, deixe os valores padrão como estão.
Na guia Revisar e criar, selecione Criar.

Exibir dados ingeridos no Microsoft Sentinel

Agora que você habilitou o conector de dados da Atividade do Azure e gerou alguns dados de atividade, exibiremos os dados de atividade adicionados ao workspace.

No Microsoft Sentinel, selecione Configuração>conectores de Dados e pesquise e selecione o conector de dados Azure Activity.
No painel de detalhes do conector, selecione Abrir página do conector.
Revise o Status do conector de dados. Ele deve estar Conectado.
Selecione uma guia para continuar, dependendo de qual portal você está usando:
- Portal do Defender
- Portal do Azure
1. Selecione Ir para análise de log para abrir a página Busca avançada.
2. Na parte superior do painel, ao lado da guia Nova consulta, selecione o + para adicionar uma nova guia de consulta.
3. Execute a seguinte consulta para exibir a data da atividade ingerida no espaço de trabalho:
```
AzureActivity
```
Por exemplo:
1. Selecione Ir para consulta para abrir a página Logs no portal do Azure.
2. Na parte superior do painel, ao lado da guia Nova consulta 1, selecione + para adicionar uma nova guia de consulta.
3. Na lateral, alterne do modo simples para o modo KQL e execute a seguinte consulta para visualizar a data da atividade ingerida no espaço de trabalho:
```
AzureActivity
```
Por exemplo:

Próximas etapas

Neste início rápido, você habilitou o Microsoft Sentinel e instalou uma solução do hub de conteúdo. Em seguida, configurou um conector de dados para começar a ingerir dados no Microsoft Sentinel. Você também verificou que os dados estão sendo ingeridos exibindo os dados no workspace.

Se você for um novo cliente que foi integrado automaticamente ao portal do Defender, os usuários acessarão o Microsoft Sentinel somente no portal do Defender. Ao usar a documentação do Microsoft Sentinel, certifique-se de selecionar a documentação referente à versão do portal Defender.

Para exibir os dados que você coletou usando os painéis e as pastas de trabalho, confira Exibir dados coletados.
Para detectar ameaças usando regras de análise, confira Tutorial: Detectar ameaças usando regras de análise no Microsoft Sentinel.

Comentários

Esta página foi útil?