Monitorar a segurança híbrida usando o Microsoft Defender para Nuvem e o Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender para Nuvem
Microsoft Sentinel
Azure Stack Hub

Essa arquitetura de referência ilustra como usar o Microsoft Defender para Nuvem e o Microsoft Sentinel para monitorar a configuração de segurança e a telemetria de cargas de trabalho locais, do Azure e do Azure Stack.

Arquitetura

Diagrama que mostra o agente de monitoramento no local, bem como no Azure, que transferem dados para o Microsoft Defender para Nuvem e o Microsoft Sentinel.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

  • Microsoft Defender para Nuvem. Esta é uma plataforma de gerenciamento de segurança avançada e unificada que a Microsoft oferece a todos os assinantes do Azure. O Defender para Nuvem é segmentado como um GPSN (gerenciamento de postura de segurança na nuvem) e um CWPP (plataforma de proteção de cargas de trabalho de nuvem). O CWPP é definido por soluções de proteção de segurança centradas na carga de trabalho, que são geralmente baseadas em agentes. O Microsoft Defender para Nuvem fornece proteção contra ameaças para cargas de trabalho do Azure, tanto no local quanto em outras nuvens, incluindo VMs (máquinas virtuais) no Windows e Linux, contêineres, bancos de dados e IoT (Internet das Coisas). Quando ativado, o agente do Log Analytics é implantado automaticamente nas Máquinas Virtuais do Azure. Para VMs e servidores Windows e Linux locais, você pode implantar manualmente o agente, usar a ferramenta de implantação da sua organização, como o Microsoft Endpoint Protection Manager, ou utilizar métodos de implantação com script. O Defender para Nuvem começa avaliando o estado de segurança de todas as VMs, redes, aplicativos e dados.
  • Microsoft Sentinel. É uma solução nativa da nuvem de gerenciamento SIEM (eventos e informações de segurança) e SOAR (resposta automatizada de orquestração de segurança) que usa IA avançada e análise de segurança para detectar, caçar, prevenir e responder a ameaças em toda a sua empresa.
  • Azure Stack. É um portfólio de produtos que estendem os serviços e as funcionalidades do Azure para o ambiente de sua escolha, incluindo datacenter, locais de borda e escritórios remotos. As implementações do Azure Stack normalmente utilizam racks de quatro a dezesseis servidores, criados por parceiros de hardware confiáveis e entregues diretamente ao datacenter.
  • Azure Monitor. Coleta a telemetria de monitoramento de diversas fontes locais e do Azure. As ferramentas de gerenciamento, como aquelas do Microsoft Defender para Nuvem e da Automação do Azure, também enviam por push os dados de log ao Azure Monitor.
  • Espaço de Trabalho do Log Analytics. O Azure Monitor armazena dados de log em um workspace do Log Analytics, que é um contêiner que inclui informações de configuração e dados.
  • Agente do Log Analytics. O agente do Log Analytics coleta dados de monitoramento do sistema operacional convidado e das cargas de trabalho da VM no Azure, em outros provedores de nuvem e computadores locais. O Agente do Log Analytics dá suporte à configuração de Proxy e, normalmente, neste cenário, um Gateway do Microsoft OMS (Operations Management Suite) atua como proxy.
  • Rede local. Este é o firewall configurado para dar suporte à saída HTTPS de sistemas definidos.
  • Sistemas Windows e Linux locais. Sistemas com o Agente do Log Analytics instalado.
  • VMs Windows e Linux do Azure. Sistemas nos quais o agente de monitoramento do Microsoft Defender para Nuvem está instalado.

Componentes

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

  • Práticas recomendadas para integrar o monitoramento de segurança e telemetria local com cargas de trabalho baseadas no Azure
  • Integrando o Microsoft Defender para Nuvem ao Azure Stack
  • Integrar o Microsoft Defender para Nuvem ao Microsoft Sentinel

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Atualização do Microsoft Defender para Nuvem

Esta arquitetura de referência usa o Microsoft Defender para Nuvem para monitorar sistemas locais, VMs do Azure, recursos do Azure Monitor e até mesmo VMs hospedadas por outros provedores de serviços de nuvem. Detalhes sobre os preços do Microsoft Defender para Nuvem podem ser encontrados aqui.

Espaço de trabalho personalizado das análises de logs

O Microsoft Sentinel precisa ter acesso a um workspace do Log Analytics. Neste cenário, você não pode usar o workspace padrão do Log Analytics do Defender para Nuvem com o Microsoft Sentinel. Em vez disso, você cria um espaço de trabalho personalizado. A retenção de dados para um workspace personalizado é baseada no tipo de preço do workspace e você pode encontrar modelos de preços para Monitorar logs aqui.

Observação

O Microsoft Sentinel pode ser executado em workspaces em todas as regiões GA (de disponibilidade geral) do Log Analytics, exceto nas regiões da China e da Alemanha (soberana). Os dados gerados pelo Microsoft Sentinel, como incidentes, indicadores e regras de alerta, que podem conter alguns dados do cliente provenientes desses workspaces, são salvos na Europa (para workspaces localizados na Europa), na Austrália (para workspaces localizados na Austrália) ou no Leste dos EUA (para os workspaces localizados em qualquer outra região).

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Uma política de segurança define o conjunto de controles recomendados para os recursos na assinatura ou grupo de recursos especificado. No Microsoft Defender para Nuvem, você define as políticas para as assinaturas do Azure de acordo com as necessidades de segurança de sua empresa e os tipos de aplicativos ou a confidencialidade dos dados em cada assinatura.

As políticas de segurança que você habilita no Microsoft Defender para Nuvem orientam recomendações de segurança e monitoramento. Para saber mais sobre políticas de segurança, consulte Fortalecer sua política de segurança com Microsoft Defender para Nuvem. Você pode atribuir políticas de segurança no Microsoft Defender para Nuvem somente nos níveis de grupo de gerenciamento ou assinatura.

Observação

A primeira parte da arquitetura de referência detalha como habilitar o Microsoft Defender para Nuvem para monitorar recursos do Azure, sistemas locais e sistemas do Azure Stack.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Conforme descrito anteriormente, os custos além da sua assinatura do Azure podem incluir:

  1. Custos do Microsoft Defender para Nuvem. Para mais informações, consulte preços do Microsoft Defender para Nuvem.
  2. O workspace do Azure Monitor oferece granularidade de cobrança. Para mais informações, consulte Gerenciar o uso e os custos com Logs do Azure Monitor.
  3. O Microsoft Sentinel é um serviço pago. Para mais informações, consulte preços do Microsoft Sentinel.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Funções do Microsoft Defender para Nuvem

O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades e exibe informações relacionadas a um recurso quando você recebe a função de proprietário, colaborador ou leitor para a assinatura ou grupo de recursos ao qual um recurso pertence.

Além dessas funções, há duas funções específicas do Defender para Nuvem:

  • Leitor de segurança. um usuário que pertence a essa função tem apenas direitos de leitura apenas ao Defender para Nuvem. O usuário pode ver as recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.

  • Administrador de Segurança: um usuário que pertence a essa função tem os mesmos direitos que o Leitor de Segurança e também pode atualizar a política de segurança e ignorar alertas e recomendações. Normalmente, são usuários que gerenciam a carga de trabalho.

  • As funções de segurança Leitor de Segurança e Administrador de Segurança só têm acesso no Defender para Nuvem. As funções de segurança não têm acesso a outras áreas de serviços do Azure, como armazenamento, Web, dispositivos móveis ou Internet das Coisas.

Assinatura do Microsoft Sentinel

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador na assinatura em que o workspace do Microsoft Sentinel está.
  • Para usar o Microsoft Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o espaço de trabalho pertence.
  • O Microsoft Sentinel é um serviço pago. Para mais informações, consulte preços do Microsoft Sentinel.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho de maneira eficiente para atender às demandas exigidas pelos usuários. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

O Agente do Log Analytics para Windows e Linux foi projetado para ter um impacto mínimo no desempenho de VMs ou sistemas físicos.

O processo operacional do Microsoft Defender para Nuvem não interfere nos seus procedimentos operacionais normais. Ele monitora passivamente as implantações e apresenta recomendações com base nas políticas de segurança habilitadas.

Implantar este cenário

Criar um workspace do Log Analytics no portal do Azure

  1. Faça login no portal do Azure como um usuário com privilégios de Administrador de Segurança.
  2. No portal do Azure, clique em Todos os serviços. Na lista de recursos, insira Log Analytics. Quando você começa a digitar, a lista é filtrada com base em sua entrada. Escolha workspaces do Log Analytics.
  3. Selecione Adicionar na página do Log Analytics.
  4. Forneça um nome para o novo workspace do Log Analytics, como Defender for Cloud-SentinelWorkspace. Esse nome deve ser globalmente exclusivo em todas as assinaturas do Azure Monitor.
  5. Selecione uma assinatura escolhendo uma opção na lista suspensa se a selecionada por padrão não é adequada.
  6. Para Grupo de Recursos, use um grupo de recursos existente ou crie outro.
  7. Em Localização, selecione uma geolocalização disponível.
  8. Selecione OK para concluir a configuração. Novo workspace criado para a arquitetura

Habilitar o Defender para Nuvem

Enquanto você ainda estiver conectado ao portal do Azure como um usuário com privilégios de Administrador de Segurança, selecione Defender para Nuvem no painel. Defender para Nuvem – visão geral abre:

A folha do painel Visão geral do Defender para Nuvem abre

O Defender para Nuvem habilita automaticamente o uso gratuito para qualquer uma das assinaturas do Azure não integradas anteriormente por você ou por outro usuário da assinatura.

Atualizar o Microsoft Defender para Nuvem

  1. No menu principal do Defender para Nuvem, selecione Introdução.
  2. Selecione o botão Atualizar agora. O Defender para Nuvem lista suas assinaturas e workspaces qualificados para uso.
  3. Você pode selecionar workspaces e assinaturas qualificados para iniciar sua avaliação. Selecione o workspace criado anteriormente, ASC-SentinelWorkspace., no menu suspenso.
  4. No menu principal do Defender para Nuvem, selecione Começar avaliação.
  5. A caixa de diálogo Instalar agentes vai aparecer.
  6. Selecione o botão Instalar agentes. A folha Defender para Nuvem – Cobertura aparece, e você verá a assinatura selecionada. Folha da cobertura de segurança mostrando suas assinaturas vai abrir

Agora você habilitou o provisionamento automático, e o Defender para Nuvem instalará o Agente do Log Analytics para Windows (HealthService.exe) e o omsagent para Linux em todas as VMs do Azure com suporte e em todas as novas que você criar. Você pode desativar essa política e gerenciá-la manualmente, embora seja altamente recomendável o provisionamento automático.

Para saber mais sobre os recursos específicos do Defender para Nuvem disponíveis no Windows e no Linux, confira Cobertura dos recursos para os computadores.

Habilitar o monitoramento do Microsoft Defender para Nuvem de computadores Windows locais

  1. No portal do Azure, na folha Defender para Nuvem – Visão geral, selecione a guia Introdução.
  2. Selecione Configurar sob Adicionar novos computadores não Azure. Uma lista de seus workspaces do Log Analytics é exibida e deve incluir o Defender para Cloud-SentinelWorkspace.
  3. Selecione este workspace. A folha Agente Direto abre com um link para baixar um agente do Windows e as chaves da sua ID do workspace para ser usada na configuração do agente.
  4. Selecione o link Baixar Agente do Windows aplicável a seu tipo de processador do computador para baixar o arquivo de configuração.
  5. À direita da ID do Workspace, selecione Copiar e cole a ID no Bloco de Notas.
  6. À direita da Chave Primária, selecione Copiar e cole a chave no Bloco de Notas.

Instalar o agente do Windows

Para instalar o agente nos computadores de destino, siga estas etapas.

  1. Copie o arquivo para o computador de destino e execute a instalação.
  2. Na página Bem-vindo, selecione Avançar.
  3. Na página dos Termos de Licença, leia a licença e depois selecione Eu concordo.
  4. Na página da Pasta de Destino, altere ou mantenha a pasta de instalação padrão e depois selecione Avançar.
  5. Na página Opções de Instalação do Agente, escolha conectar o agente ao Azure Log Analytics e selecione Avançar.
  6. Na página Azure Log Analytics, cole a ID do Workspace e a Chave do Workspace (Chave Primária) que você copiou para o Bloco de Notas no procedimento anterior.
  7. Caso o computador deva se reportar a um espaço de trabalho do Log Analytics na nuvem do Azure Governamental, selecione Governo dos EUA do Azure na lista suspensa do Azure Cloud. Caso o computador precise se comunicar por meio de um servidor proxy ao serviço Log Analytics, selecione Avançado e forneça a URL do servidor proxy e o número da porta.
  8. Depois de você fazer as configurações necessárias, selecione Avançar. Página de configuração do agente do Log Analytics para conectar o agente a um workspace do Azure Log Analytics
  9. Na página Pronto para Instalar, examine suas escolhas e selecione Instalar.
  10. Na página Configuração concluída com êxito, selecione Concluir.

Quando concluído, o agente do Log Analytics aparece no Painel de Controle do Windows, e você pode examinar sua configuração e verificar se o agente está conectado.

Para mais informações sobre como instalar e configurar o agente, consulte Instalar o agente do Log Analytics em computadores Windows.

O serviço Agente do Log Analytics coleta dados de eventos e desempenho, executa tarefas e outros fluxos de trabalho definidos em um pacote de gerenciamento. O Defender para Nuvem estende suas plataformas de proteção de carga de trabalho na nuvem integrando-se ao Microsoft Defender para servidores. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Para mais informações sobre Microsoft Defender para servidores, consulte Integrar servidores ao serviço Microsoft Defender para servidores.

Habilitar o monitoramento do Microsoft Defender para Nuvem de computadores Linux locais

  1. Retorne à guia Introdução conforme descrito anteriormente.
  2. Selecione Configurar sob Adicionar novos computadores não Azure. Aparece uma lista dos workspaces do Log Analytics. A lista deve incluir o Defender para Cloud-SentinelWorkspace que você criou.
  3. Na página Agente Direto em FAZER O DOWNLOAD E INTEGRAR AGENTE PARA LINUX, selecione o botão copiar para copiar o comando wget.
  4. Abra o Bloco de notas e cole esse comando. Salve esse arquivo em um local que possa ser acessado pelo seu computador Linux.

Observação

Nos sistemas operacionais Unix e Linux, o wget é uma ferramenta para download de arquivos não interativos da web. Ele suporta HTTPS, FTPs e proxies.

O agente do Linux usa a estrutura do Linux Audit Daemon. O Defender para Nuvem integra funcionalidades dessa estrutura no agente do Log Analytics, o que permite que os registros de auditoria sejam coletados, enriquecidos e agregados em eventos usando o Agente do Log Analytics para Linux. O Defender para Nuvem adiciona continuamente novos recursos de análise que usam sinais do Linux para detectar comportamentos mal-intencionados em máquinas Linux locais e na nuvem.

Para uma lista dos alertas do Linux, consulte a Tabela de referência de alertas.

Instalar o agente do Linux

Para instalar o agente nos computadores Linux, siga estas etapas:

  1. No seu computador Linux, abra o arquivo salvo anteriormente. Selecione e copie todo o conteúdo, copie, abra um console do terminal e cole o comando.
  2. Depois que a instalação terminar, você poderá confirmar se o omsagent está instalado executando o comando pgrep. O comando retornará a PID (ID do Processo) omsagent conforme mostrado abaixo: Você pode encontrar os logs do agente em: /var/opt/microsoft/omsagent/"workspace id"/log/.

Pode levar até 30 minutos para que o novo computador Linux seja exibido no Defender para Nuvem.

Habilitar o monitoramento do Microsoft Defender para Nuvem de VMs do Azure Stack

Após integrar sua assinatura do Azure, será possível permitir que o Defender para Nuvem proteja suas VMs em execução no Azure Stack adicionando a extensão da máquina virtual Gerenciamento de configuração, atualização e do Azure Monitor no marketplace do Azure Stack. Para fazer isso:

  1. Retorne à guia Introdução conforme descrito anteriormente.
  2. Selecione Configurar sob Adicionar novos computadores não Azure. Uma lista de seus workspaces do Log Analytics é exibida e deve incluir o Defender for Cloud-SentinelWorkspace que você criou.
  3. Na folha Agente Direto há um link para baixar o agente e as chaves da sua ID do workspace a ser usada na configuração do agente. Não é necessário baixar o agente manualmente. Ele será instalado como uma extensão de VM nas etapas a seguir.
  4. À direita da ID do Workspace, selecione Copiar e cole a ID no Bloco de Notas.
  5. À direita da Chave Primária, selecione Copiar e cole a chave no Bloco de Notas.

Habilitar o monitoramento do Defender para Nuvem de VMs do Azure Stack

O Microsoft Defender para Nuvem usa a extensão de VM de Azure Monitor, Gerenciamento, Atualização e Configuração combinada ao Azure Stack. Para habilitar a extensão do Azure Monitor, Gerenciamento de Atualização e Configuração , siga estas etapas:

  1. Em uma nova guia do navegador, faça login no portal do Azure Stack.
  2. Consulte a página Máquinas virtuais e selecione a máquina virtual que você deseja proteger com o Defender para Nuvem.
  3. Selecione Extensões. A lista de extensões de VM instaladas nesta VM é exibida.
  4. Selecione a guia Adicionar. A folha de menu Novo Recurso é aberta e exibe a lista de extensões de VM disponíveis.
  5. Selecione a extensão Gerenciamento de Configuração, de Atualização e do Azure Monitor e selecione Criar. A folha de configuração Instalar extensão é aberta.
  6. Na folha de configuração Instalar extensão, cole a ID do Workspace e a Chave do Workspace (Chave Primária) que você copiou para o Bloco de Notas no procedimento anterior.
  7. Quando terminar as configurações necessárias, clique em OK
  8. Depois que a instalação da extensão for concluída, seu status será mostrado como Provisionamento bem-sucedido. Pode levar até uma hora para que a VM seja exibida no portal do Defender para Nuvem.

Para mais informações sobre como instalar e configurar o agente para Windows, consulte Instalar agente usando o assistente de instalação.

Para solucionar problemas do agente do Linux, consulte Como solucionar problemas com o agente do Log Analytics para Linux.

Agora você pode monitorar suas VMs do Azure e computadores não Azure em um único lugar. Em Computação Azure, você tem uma visão geral de todas as VMs e computadores, além de recomendações. Cada coluna representa um conjunto de recomendações, e a cor representa as VMs ou computadores e o estado de segurança atual dessa recomendação. O Defender para Nuvem também fornece todas as detecções para esses computadores em alertas de segurança. Lista de sistemas do Defender para Nuvem monitorados na folha de computação

Há dois tipos de ícones representados na folha Computação:

Ícone de computador roxo que representa um computador monitorado não AzureComputador não Azure

Ícone de terminal azul que representa um computador monitorado pelo AzureComputador não Azure

Observação

A segunda parte da arquitetura de referência conectará alertas do Microsoft Defender para Nuvem e os transmitirá para o Microsoft Sentinel.

A função do Microsoft Sentinel é ingerir dados de diferentes fontes de dados e executar a correlação de dados entre essas fontes de dados. O Microsoft Sentinel aproveita o aprendizado de máquina e a IA para tornar a busca de ameaças, a detecção de alertas e as respostas a ameaças mais inteligentes.

Para integrar o Microsoft Sentinel, você precisa habilitá-lo e depois conectar suas fontes de dados. O Microsoft Sentinel vem com vários conectores para soluções da Microsoft, disponíveis prontamente e fornecendo integração em tempo real, incluindo as soluções do Microsoft Defender Para Nuvem, as soluções de Proteção contra Ameaças da Microsoft, fontes do Microsoft 365, incluindo os apps Office 365, Microsoft Entra ID, Microsoft Defender para servidores, Microsoft Defender para Nuvem e muito mais. Além disso, há conectores internos para o ecossistema de segurança mais amplo de soluções que não são da Microsoft. Também é possível usar o formato de evento comum, o Syslog ou a API REST para conectar suas fontes de dados ao Microsoft Sentinel.

Requisitos para integrar o Microsoft Sentinel ao Microsoft Defender para Nuvem

  1. Uma assinatura do Microsoft Azure
  2. Um workspace do Log Analytics que não é o workspace padrão criado quando você habilita o Microsoft Defender para Nuvem.
  3. Microsoft Defender para Nuvem.

Todos os três requisitos devem estar em vigor se você seguiu as etapas na seção anterior.

Pré-requisitos globais

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador na assinatura em que o workspace do Microsoft Sentinel está.
  • Para usar o Microsoft Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o espaço de trabalho pertence.
  • Talvez sejam necessárias outras permissões para conectar fontes de dados específicas. Você não precisa de permissões adicionais para se conectar ao Defender para Nuvem.
  • O Microsoft Sentinel é um serviço pago. Para mais informações, consulte preços do Microsoft Sentinel.

Habilitar Microsoft Sentinel

  1. Entre no portal do Azure com um usuário que tenha direitos de colaborador para o Defender for Cloud-Sentinelworkspace.
  2. Pesquise pelo Microsoft Sentinel e selecione-o. No portal do Azure, pesquise o termo
  3. Selecione Adicionar.
  4. Na folha do Microsoft Sentinel, selecione Defender for Cloud-Sentinelworkspace.
  5. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.
  6. Na galeria de conectores de dados, selecione Microsoft Defender para Nuvem e selecione o botão Abrir página de conector. No Microsoft Sentinel, mostrando a página Coletores aberta
  7. Em Configuração, selecione Conectar ao lado das assinaturas para as quais você deseja que os alertas sejam transmitidos para o Microsoft Sentinel. O botão Conectar estará disponível somente se você tiver as permissões necessárias e a assinatura do Defender para Nuvem.
  8. Agora você verá o Status da conexão como Conectando. Após a conexão, ele mudará para Conectado.
  9. Depois de confirmar a conectividade, você pode fechar as configurações do Conector de Dados do Defender para Nuvem e atualizar a página para ver alertas no Microsoft Sentinel. Pode levar algum tempo para que a sincronização do logs com o Microsoft Sentinel comece. Depois de se conectar, você verá um resumo dos dados no grafo Dados recebidos e o status de conectividade dos tipos de dados.
  10. Você pode selecionar se deseja que os alertas do Microsoft Defender para Nuvem gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Habilitado para ativar a regra de análise padrão que cria automaticamente incidentes de alertas. É possível editar essa regra em Análise, na guia Regras ativas.
  11. Para usar o esquema relevante no Log Analytics para os alertas do Microsoft Defender para Nuvem, procure SecurityAlert.

Uma vantagem de usar o Microsoft Sentinel como seu SIEM é que ele fornece correlação de dados em várias fontes, o que permite que você tenha uma visibilidade de ponta a ponta dos eventos relacionados à segurança da sua organização.

Para saber mais sobre o Microsoft Sentinel, consulte os artigos a seguir:

Próximas etapas

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack Hub