Exercício – Conectar o Microsoft Sentinel ao Microsoft Defender XDR

  • 15 minutos

Você é um analista de operações de segurança que trabalha em uma empresa que implantou o Microsoft Defender XDR e o Microsoft Sentinel. Você precisa se preparar para o Microsoft Sentinel no portal do Microsoft Defender conectando o Microsoft Sentinel ao Defender XDR.

Neste exercício, você executará as seguintes tarefas:

  • Instale a solução do Hub de Conteúdo do Microsoft Defender XDR.
  • Implante o conector do Microsoft Sentinel para conectar o Microsoft Sentinel ao Microsoft Defender XDR.
  • Conecte o Microsoft Sentinel ao Microsoft Defender XDR.
  • Explore os recursos do Microsoft Sentinel no portal do Microsoft Defender XDR.

Observação

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e pode não haver suporte para entradas baseadas em texto que estejam fora do script especificado. Uma mensagem pop-up é exibida informando: "Esse recurso não está disponível dentro da simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.

Captura de tela do pop-up indicando que esse recurso não está disponível na simulação.

Tarefa 1: conectar o Defender XDR

Nesta tarefa, você implantará o conector do Microsoft Defender XDR.

  1. No navegador Microsoft Edge, abra o ambiente simulado selecionando este link: portal do Azure.

  2. Na home page do portal do Azure, selecione o ícone do Microsoft Sentinel .

  3. Na página do Microsoft Sentinel, selecione o Woodgrove-LogAnalyiticWorkspace Workspace.

  4. No menu de navegação do Microsoft Sentinel, role para baixo e expanda a seção Gerenciamento de conteúdo . Em seguida, selecione o Hub de Conteúdo.

  5. No Hub de Conteúdo, pesquise a solução do Microsoft Defender XDR e selecione-a na lista.

  6. Na página de detalhes da solução do Microsoft Defender XDR, selecione Instalar.

  7. Quando a instalação for concluída, pesquise a solução do Microsoft Defender XDR e selecione-a.

  8. Na página de detalhes da solução do Microsoft Defender XDR, selecione Gerenciar

  9. Marque a caixa de seleção do Conector de dados Microsoft Defender XDR e selecione Abrir página do conector.

  10. Na seção Configuração , na guia Instruções , selecione o botão Conectar incidentes &alertas .

  11. Você deve ver uma mensagem informando que a conexão foi bem-sucedida.

Tarefa 2: conectar o Microsoft Sentinel e o Microsoft Defender XDR

Nesta tarefa, você continuará com a simulação e conectará um workspace do Microsoft Sentinel ao Microsoft Defender XDR.

  1. Navegue de volta para o Hub de Conteúdo do Microsoft Sentinel (usando o link de menu "breadcrumb" na parte superior da página) e selecione Visão geral (versão prévia) na seção Geral do menu de navegação.

  2. Selecione o botão Saiba mais na mensagem Obter SIEM e XDR em um único local .

    Captura de tela da mensagem do botão Saiba mais de SIEM e XDR.

  3. Selecionar o botão Saiba mais abre uma nova guia no navegador do portal do Microsoft Defender XDR .

  4. Na tela inicial do portal do Defender Defender, você deverá ver uma faixa na parte superior com a mensagem, Obter seu SIEM e XDR em um só lugar. Selecione o botão Conectar um workspaces.

    Captura de tela do botão conectar uma área de trabalho do Defender XDR.

  5. Na página Escolher um workspace, selecione o workspace woodgrove-loganalyiticsworkspace do Microsoft Sentinel.

  6. Selecione o botão Avançar.

  7. Na página Definir um workspace primário, o workspace woodgrove-loganalyiticsworkspace do Microsoft Sentinel será exibido no menu suspenso. Selecione o botão Avançar.

  8. Na página Revisar e concluir , verifique se a seleção do Workspace está correta e examine os itens com marcadores na seção O que esperar quando o workspace estiver conectado . Selecione o botão Conectar.

  9. Uma mensagem Você está prestes a conectar um workspace será exibida. Selecione o botão Conectar.

  10. Agora você deve estar na página Workspace conectado com sucesso.

  11. Selecione o botão Fechar .

    Captura de tela da página de conexão bem-sucedida do espaço de trabalho do Defender XDR.

  12. Na tela Inicial do portal do Defender XDR, você deverá ver uma faixa na parte superior com a mensagem, SIEM unificado e o XDR estiverem prontos. Selecione o botão Iniciar Busca.

  13. Na busca avançada, você deverá ver uma mensagem para "Explorar seu conteúdo do Microsoft Sentinel". No menu de navegação de busca avançada , você pode encontrar as tabelas, funções e consultas do Microsoft Sentinel nas guias correspondentes.

  14. Desça na aba Esquema até o cabeçalho do Microsoft Sentinel e dê duplo clique na tabela ThreatIntelligenceIndicator.

  15. No painel Consulta, você verá uma consulta em KQL que retorna indicadores de inteligência de ameaças. Clique no botão Executar consulta.

    Captura de tela das tabelas de busca avançada do Defender XDR Sentinel.

  16. Expanda o painel esquerdo do menu principal, se necessário, e os novos itens de menu do Microsoft Sentinel. Você deverá ver as seleções pesquisa, gerenciamento de ameaças, gerenciamento de conteúdo e configuração .

    Observação

    Há diferenças de funcionalidade entre o portal do Microsoft Sentinel do Azure e o Sentinel nas Diferenças de funcionalidade do portal do Microsoft Defender XDR.

  17. Nos itens de menu Microsoft Defender XDR do Microsoft Sentinel , selecione Configuração e conectores de dados.

  18. Na página Conectores de dados , você deverá ver a Atividade do Azure e outros conectores de dados listados com um status de Conectado.

Observação

Fique à vontade para explorar e comparar os outros recursos do Microsoft Sentinel, mas como essa é uma simulação, sua capacidade de explorar o Microsoft Sentinel no portal do Microsoft Defender é limitada. Em um ambiente real, você poderá explorar todos os recursos do Microsoft Sentinel no portal do Microsoft Defender.