Ingerir alertas do Microsoft Defender para Nuvem no Microsoft Sentinel
As proteções de carga de trabalho de nuvem integradas no Microsoft Defender para Nuvem permitem detectar e responder rapidamente às ameaças nas cargas de trabalho híbridas e multinuvem. O conector Microsoft Defender para Nuvem permite que você ingira alertas de segurança do Defender para Nuvem no Microsoft Sentinel, de modo que você pode exibir, analisar e responder a alertas do Defender e aos incidentes que eles geram, em um contexto mais amplo de ameaças organizacionais.
Os planos do Defender do Microsoft Defender para Nuvem são habilitados por assinatura. Embora o conector herdado do Microsoft Sentinel para o Defender para Aplicativos de Nuvem também seja configurado por assinatura, o conector do Microsoft Defender para Nuvem baseado em locatário, em versão prévia, permite que você colete alertas do Defender para Nuvem no locatário inteiro sem precisar habilitar cada assinatura separadamente. O conector baseado em locatário também funciona com a integração do Defender para Nuvem com o Microsoft Defender XDR para garantir que todos os alertas do Defender para Nuvem estejam totalmente incluídos em todos os incidentes que você receber por meio da integração de incidentes do Microsoft Defender XDR.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Sincronização de alerta
Quando você conecta o Microsoft Defender para Nuvem ao Microsoft Sentinel, o status dos alertas de segurança que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Defender para Nuvem, esse alerta também será exibido como fechado no Microsoft Sentinel.
Alterar o status de um alerta no Defender para Nuvem não afeta o status dos demais incidentes do Microsoft Sentinel que contiverem o alerta do Microsoft Sentinel sincronizado,mas apenas o do próprio alerta sincronizado.
Sincronização de alerta bidirecional
Habilitar a sincronização bidirecional sincronizará automaticamente o status dos alertas de segurança originais com aqueles dos incidentes do Microsoft Sentinel que contêm esses alertas. Portanto, por exemplo, quando um incidente do Microsoft Sentinel contendo alertas de segurança for fechado, o alerta original correspondente será fechado automaticamente no Microsoft Defender para Nuvem.
Pré-requisitos
Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Você deve ter a função de Colaborador ou Proprietário na assinatura que deseja conectar ao Microsoft Sentinel.
Você precisará habilitar pelo menos um plano no Microsoft Defender para Nuvem para cada assinatura em que desejar habilitar o conector. Para habilitar os planos do Microsoft Defender em uma assinatura, é necessário ter a função de Administrador de Segurança para aquela assinatura.
Você precisará que o provedor de recursos
SecurityInsights
seja registrado para cada assinatura em que deseja habilitar o conector. Revise as diretrizes sobre o status de registro do provedor de recursos e as maneiras de registrá-lo.Para habilitar a sincronização bidirecional, é necessário ter a função de Colaborador ou Administrador de Segurança na assinatura relevante.
Instale a solução para Microsoft Defender para Nuvem a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, confira Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Conectar-se ao Microsoft Defender para Nuvem
Depois de instalar a solução, no Microsoft Sentinel, selecione Configuração > Conectores de dados.
Na página Conectores de dados, selecione o conector do Microsoft Defender para Nuvem (Herdado) baseado em assinatura ou o conector do Microsoft Defender para Nuvem (Versão Prévia) baseado em locatário e selecione a página Abrir conector.
Em Configuração, você verá uma lista das assinaturas no locatário e o status da conexão com o Microsoft Defender para Nuvem. Selecione a alternância de Status ao lado de cada assinatura cujos alertas você deseja transmitir para o Microsoft Sentinel. Se você quiser conectar várias assinaturas ao mesmo tempo, isso é possível marcando as caixas de seleção ao lado das assinaturas desejadas e, em seguida, selecionando o botão Conectar na barra acima da lista.
- As caixas de seleção e alternâncias de Conexão estão ativas apenas nas assinaturas nas quais você tem as permissões necessárias.
- O botão Conectar estará ativo apenas se pelo menos uma caixa de seleção de assinaturas estiver marcada.
Para habilitar a sincronização bidirecional em uma assinatura, localize a assinatura na lista e escolha Habilitado na lista suspensa na coluna Sincronização bidirecional. Para habilitar a sincronização bidirecional em várias assinaturas de uma vez, marque as caixas de seleção e selecione o botão Habilitar sincronização bidirecional na barra acima da lista.
- As caixas de seleção e as listas suspensas estarão ativas apenas nas assinaturas para as quais você tem as permissões necessárias.
- O botão Habilitar sincronização bidirecional estará ativo apenas se pelo menos uma caixa de seleção de assinatura estiver marcada.
Na coluna de planos do Microsoft Defender da lista, é possível ver se os planos do Microsoft Defender estão habilitados na assinatura (um pré-requisito para habilitar o conector).
O valor de cada assinatura nesta coluna estará em branco (o que significa que nenhum plano do Defender está habilitado), Todos habilitados ou Alguns habilitados. As indicações de Alguns habilitados também terão um link Habilitar tudo, que você poderá selecionar e ser direcionado para o painel de configuração do Microsoft Defender para Nuvem daquela assinatura, em que poderá escolher os planos do Defender que serão habilitados.
O botão do link Habilitar o Microsoft Defender para todas as assinaturas na barra acima da lista, o direcionará para a página da Introdução do Microsoft Defender para Nuvem, em que você poderá escolher em quais assinaturas habilitará o Microsoft Defender para Nuvem. Por exemplo:
Você pode selecionar se deseja que os alertas do Microsoft Defender para Nuvem gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Habilitado para ativar a regra de análise padrão que cria incidentes de alertas automaticamente. É possível editar essa regra em Análise, na guia Regras ativas.
Dica
Ao configurar regras de análises personalizadas para alertas do Microsoft Defender para Nuvem, considere a severidade do alerta para evitar a abertura de incidentes para alertas informativos.
Os alertas informativos no Microsoft Defender para Nuvem não representam um risco à segurança por si só e são relevantes apenas no contexto de um incidente aberto existente. Para mais informações, consulte Alertas e incidentes de segurança no Microsoft Defender para Nuvem.
Localizas e analisar os dados
Observação
A sincronização de alertas em ambas as direções pode levar alguns minutos. As alterações no status dos alertas podem não ser exibidas imediatamente.
Os alertas de segurança são armazenados na tabela SecurityAlert no espaço de trabalho do Log Analytics.
Para consultar alertas de segurança no Log Analytics, copie o seguinte na janela de consulta como ponto de partida:
SecurityAlert | where ProductName == "Azure Security Center"
Consulte a guia Próximas etapas na página do conector para obter os exemplos de consultas úteis adicionais, os modelos de regras de análise e as pastas de trabalho recomendadas.
Próximas etapas
Neste documento, você aprendeu a conectar o Microsoft Defender para Nuvem ao Microsoft Sentinel e sincronizar alertas entre eles. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir:
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
- Introdução à detecção de ameaças com o Microsoft Sentinel.
- Grave suas próprias regras para detectar ameaças.