Ligar o Microsoft Sentinel ao portal do Microsoft Defender

2025-09-29
Aplica-se a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, com ou sem Microsoft Defender XDR ou uma licença E5. Ao utilizar o Microsoft Sentinel no portal do Defender, juntamente com os serviços Microsoft Defender XDR, pode unificar capacidades como a gestão de incidentes e a investigação avançada. Reduza a mudança de ferramentas e crie uma investigação mais focada no contexto que agilize a resposta a incidentes e pare as falhas mais rapidamente.

Este artigo é relevante para clientes cujas áreas de trabalho do Microsoft Sentinel ainda não estão ligadas ao portal do Defender. Em muitos casos, os clientes que integram o Microsoft Sentinel após 1 de julho de 2025 são automaticamente integrados no portal do Defender.

Para mais informações, consulte:

Pré-requisitos

Antes de começar, reveja a documentação da funcionalidade para compreender as alterações e limitações do produto.

O portal Microsoft Defender suporta um único inquilino Microsoft Entra e a ligação a uma área de trabalho primária e a várias áreas de trabalho secundárias. Se tiver apenas uma área de trabalho ao integrar o Microsoft Sentinel, essa área de trabalho é designada como a área de trabalho principal. Para obter mais informações, veja Várias áreas de trabalho do Microsoft Sentinel no portal do Defender. No contexto deste artigo, uma área de trabalho é uma área de trabalho do Log Analytics com o Microsoft Sentinel ativado.

Pré-requisitos do Microsoft Sentinel

Para integrar e utilizar o Microsoft Sentinel no portal do Defender, tem de ter os seguintes recursos e acesso:

Uma área de trabalho do Log Analytics com o Microsoft Sentinel ativado

Uma conta do Azure com as funções adequadas para integrar, utilizar e criar pedidos de suporte para o Microsoft Sentinel no portal do Defender. Não verá áreas de trabalho no portal do Defender para integrar, onde não tem as permissões necessárias. A tabela seguinte realça algumas das principais funções necessárias.

Tarefa	Microsoft Entra ou função incorporada do Azure necessária	Âmbito
Integrar o Microsoft Sentinel no portal do Defender	Administrador global ou administrador de segurança no ID do Microsoft Entra Proprietário ou Administrador de Acesso de Utilizador e Contribuidor do Microsoft Sentinel	Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para Contribuidor do Microsoft Sentinel
Ligar ou desligar uma área de trabalho secundária	Administrador global ou administrador de segurança no ID do Microsoft Entra Proprietário ou Administrador de Acesso de Utilizador e Contribuidor do Microsoft Sentinel	Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para Contribuidor do Microsoft Sentinel
Alterar a área de trabalho primária	Administrador global ou administrador de segurança no ID do Microsoft Entra Proprietário ou Administrador de Acesso de Utilizador e Contribuidor do Microsoft Sentinel	Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para Contribuidor do Microsoft Sentinel
Ver o Microsoft Sentinel no portal do Defender	Leitor do Microsoft Sentinel	Subscrição, grupo de recursos ou recurso de área de trabalho
Consultar tabelas de dados do Microsoft Sentinel ou ver incidentes	Leitor do Microsoft Sentinel ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	Subscrição, grupo de recursos ou recurso de área de trabalho
Tomar medidas de investigação sobre incidentes	Contribuidor do Microsoft Sentinel ou uma função com as seguintes ações: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	Subscrição, grupo de recursos ou recurso de área de trabalho
Criar um pedido de suporte	Contribuidor ou Contribuidor ou Contribuidor do pedido de suporte ou uma função personalizada com Microsoft.Support/*	Subscrição

Se estiver a trabalhar com vários inquilinos, tenha em atenção que os privilégios de administrador delegados granulares (GDAP) com o Azure Lighthouse não são suportados para dados do Microsoft Sentinel no portal do Defender. Em vez disso, utilize Microsoft Entra autenticação B2B. Para obter mais informações, veja Configurar Microsoft Defender gestão multi-inquilino.

Depois de ligar o Microsoft Sentinel ao portal do Defender, as permissões de controlo de acesso baseado em funções (RBAC) do Azure existentes permitem-lhe trabalhar com as funcionalidades do Microsoft Sentinel às quais tem acesso. Continue a gerir funções e permissões para os seus utilizadores do Microsoft Sentinel a partir do portal do Azure, uma vez que quaisquer alterações de RBAC do Azure são refletidas no portal do Defender.

Para obter mais informações, veja Funções e permissões no Microsoft Sentinel e Gerir o acesso aos dados do Microsoft Sentinel por recurso.

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

Pré-requisitos das operações de segurança unificadas

Para unificar Microsoft Defender XDR e as operações de segurança do Microsoft Sentinel no portal do Defender, tem de ter os seguintes recursos e acesso:

Licenciamento para Defender XDR, conforme descrito nos pré-requisitos do Microsoft Defender XDR
Account for Defender XDR is a member of the same Microsoft Entra tenant with which Microsoft Sentinel is associated
Acesso a Microsoft Defender XDR no portal do Defender, conforme descrito em Microsoft Defender XDR pré-requisitos

Se aplicável, preencha estes pré-requisitos:

Serviço	Pré-requisito
Gestão do Risco Interno do Microsoft Purview	Se a sua organização utilizar Gestão do risco interno do Microsoft Purview, integre esses dados ao ativar o conector de dados Microsoft 365 Insider Risk Management na sua área de trabalho principal para o Microsoft Sentinel. Desative esse conector em quaisquer áreas de trabalho secundárias do Microsoft Sentinel que planeie integrar no portal do Defender. - Instale a solução Gestão do risco interno do Microsoft Purview a partir do Hub de conteúdos na área de trabalho principal. - Configurar o conector de dados. Para obter mais informações, consulte Descobrir e gerir conteúdo inicial do Microsoft Sentinel.
Microsoft Defender para a Cloud	Para transmitir em fluxo incidentes do Defender para a Cloud que estão correlacionados em todas as subscrições do inquilino para a área de trabalho principal do Microsoft Sentinel: - Ligue o conector de dados Microsoft Defender baseado no inquilino para Cloud (Pré-visualização) na área de trabalho principal. - Desligue o conector de alertas do Microsoft Defender baseado na subscrição para a Cloud (Legado) de todas as áreas de trabalho no inquilino. Se não quiser transmitir dados de inquilino correlacionados do Defender para a Cloud para a área de trabalho principal, continue a utilizar o conector Microsoft Defender baseado na subscrição para a Cloud (Legado) nas áreas de trabalho. Para obter mais informações, veja Ingerir Microsoft Defender para incidentes na Cloud com Microsoft Defender XDR integração.

Serviço

Pré-requisito

Gestão do Risco Interno do Microsoft Purview

Se a sua organização utilizar Gestão do risco interno do Microsoft Purview, integre esses dados ao ativar o conector de dados Microsoft 365 Insider Risk Management na sua área de trabalho principal para o Microsoft Sentinel. Desative esse conector em quaisquer áreas de trabalho secundárias do Microsoft Sentinel que planeie integrar no portal do Defender.

- Instale a solução Gestão do risco interno do Microsoft Purview a partir do Hub de conteúdos na área de trabalho principal.
- Configurar o conector de dados.

Para obter mais informações, consulte Descobrir e gerir conteúdo inicial do Microsoft Sentinel.

Microsoft Defender para a Cloud

Para transmitir em fluxo incidentes do Defender para a Cloud que estão correlacionados em todas as subscrições do inquilino para a área de trabalho principal do Microsoft Sentinel:

- Ligue o conector de dados Microsoft Defender baseado no inquilino para Cloud (Pré-visualização) na área de trabalho principal.
- Desligue o conector de alertas do Microsoft Defender baseado na subscrição para a Cloud (Legado) de todas as áreas de trabalho no inquilino.

Se não quiser transmitir dados de inquilino correlacionados do Defender para a Cloud para a área de trabalho principal, continue a utilizar o conector Microsoft Defender baseado na subscrição para a Cloud (Legado) nas áreas de trabalho. Para obter mais informações, veja Ingerir Microsoft Defender para incidentes na Cloud com Microsoft Defender XDR integração.

Integrar o Microsoft Sentinel

Este procedimento descreve como integrar uma área de trabalho ativada pelo Microsoft Sentinel no portal do Defender.

Aceda ao portal Microsoft Defender e inicie sessão.
SelecioneDefinições> do Sistema>Microsoft Sentinel>Ligar uma área de trabalho.
Selecione as áreas de trabalho que pretende ligar e selecione Seguinte.
Selecione a área de trabalho Principal.
Leia e compreenda as alterações ao produto associadas à ligação da área de trabalho.
Selecione Ligar.

Depois de a área de trabalho estar ligada, a faixa na Home page mostra que o seu ambiente está pronto. A Home page é atualizada com novas secções que incluem métricas do Microsoft Sentinel, como o número de conectores de dados e regras de automatização.

Explorar as funcionalidades do Microsoft Sentinel no portal do Defender

Depois de ligar a área de trabalho ao portal do Defender, o Microsoft Sentinel encontra-se no painel de navegação do lado esquerdo. Se tiver Defender XDR ativado, páginas como Home Page, Incidents e Advanced Hunting têm dados unificados da área de trabalho principal do Microsoft Sentinel e Defender XDR. Se não tiver Defender XDR ativado, estas páginas incluem apenas dados do Microsoft Sentinel. Para obter mais informações sobre as capacidades unificadas e as diferenças entre portais, veja Microsoft Sentinel no portal do Microsoft Defender.

Muitas das funcionalidades existentes do Microsoft Sentinel estão integradas no portal do Defender. Para estas funcionalidades, tenha em atenção que a experiência entre o Microsoft Sentinel no portal do portal do Azure e do Defender é semelhante. Utilize os seguintes artigos para o ajudar a começar a trabalhar com o Microsoft Sentinel no portal do Defender. Ao utilizar estes artigos, tenha em atenção que o ponto de partida neste contexto é o portal do Defender em vez do portal do Azure.

Categoria de funcionalidades	Ligações
Procurar	- Procurar em intervalos de tempo longos em grandes conjuntos de dados - Restaurar registos arquivados a partir da pesquisa
Gestão de ameaças	- Visualizar e monitorizar os seus dados com livros - Conduzir investigação de ameaças ponto a ponto com Hunts - Utilizar marcadores de investigação para investigações de dados - Utilizar a caça ao Livestream no Microsoft Sentinel para detetar ameaças - Investigar ameaças de segurança com blocos de notas do Jupyter - Adicionar indicadores em massa às informações sobre ameaças do Microsoft Sentinel a partir de um ficheiro CSV ou JSON - Trabalhar com indicadores de ameaças no Microsoft Sentinel - Compreender a cobertura de segurança pela arquitetura MITRE ATT&CK
Gestão de conteúdos	- Detetar e gerir conteúdo inicial do Microsoft Sentinel - Catálogo do hub de conteúdos do Microsoft Sentinel - Implementar conteúdo personalizado a partir do seu repositório
Configuração	- Localizar o conector de dados do Microsoft Sentinel - Criar regras de análise personalizadas para detetar ameaças - Trabalhar com regras de análise de deteção quase em tempo real (NRT) no Microsoft Sentinel - Criar listas de observação - Gerir listas de observação no Microsoft Sentinel - Criar regras de automatização - Criar e personalizar manuais de procedimentos do Microsoft Sentinel a partir de modelos de conteúdo

Localize as definições do Microsoft Sentinel no portal do Defender emDefinições> do Sistema>do Microsoft Sentinel.

Alterar a área de trabalho primária

Só pode ter uma área de trabalho principal ligada ao portal do Defender de cada vez. No entanto, pode alterar a área de trabalho principal.

No portal do Defender, aceda a Definições do Sistema>Áreas> deTrabalho doMicrosoft Sentinel>.
Selecione o nome da área de trabalho que pretende tornar primária.
Selecione Definir como principal.
Leia e compreenda as alterações do produto associadas à alteração da área de trabalho primária.
Selecione Confirmar e continue.

Quando muda a área de trabalho primária para o Microsoft Sentinel, o conector Defender XDR é ligado ao novo principal e desligado automaticamente do antigo. Para obter mais informações, veja Várias áreas de trabalho do Microsoft Sentinel no portal do Defender.

Exclusão do Microsoft Sentinel

Se decidir remover uma área de trabalho do portal do Defender, desligue a área de trabalho das definições do Microsoft Sentinel.

Se a área de trabalho tiver o conector Microsoft Defender XDR configurado, a exclusão da área de trabalho do portal do Defender também desligará o conector Microsoft Defender XDR.

Aceda ao portal Microsoft Defender e inicie sessão.
No portal do Defender, em Sistema, selecione Definições>Microsoft Sentinel.
Na página Áreas de trabalho , selecione a área de trabalho ligada e Desligar área de trabalho.
Indique um motivo pelo qual está a desligar a área de trabalho.
Confirme a sua seleção.

Quando a área de trabalho está desligada, a secção Do Microsoft Sentinel é removida da navegação do lado esquerdo do portal do Defender. Os dados do Microsoft Sentinel já não estão incluídos na Home page.

Se quiser ligar a uma área de trabalho diferente, na página Áreas de trabalho , selecione a área de trabalho e Ligar uma área de trabalho.

Comentários

Esta página foi útil?