Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O portal do Defender permite-lhe ligar a uma área de trabalho primária e a várias áreas de trabalho secundárias para Microsoft Sentinel. No contexto deste artigo, uma área de trabalho é uma área de trabalho do Log Analytics com Microsoft Sentinel ativada.
Este artigo aplica-se principalmente ao cenário em que integra Microsoft Sentinel no portal do Defender, juntamente com Microsoft Defender XDR para operações de segurança unificadas. Se planear utilizar Microsoft Sentinel no portal do Defender sem Microsoft Defender XDR, ainda pode gerir várias áreas de trabalho. No entanto, uma vez que não tem Defender XDR, a área de trabalho principal não terá Defender XDR dados e não terá acesso a funcionalidades Defender XDR.
Áreas de trabalho primárias e secundárias
Selecione a área de trabalho principal ao integrar Microsoft Sentinel no portal do Defender. Todas as outras áreas de trabalho que integrar no portal do Defender são consideradas áreas de trabalho secundárias. O portal do Defender suporta uma área de trabalho principal e um número ilimitado de áreas de trabalho secundárias por inquilino para Microsoft Sentinel.
Quando também tiver Microsoft Defender XDR, os alertas da área de trabalho principal estão correlacionados com Defender XDR dados e os incidentes incluem alertas da área de trabalho principal e Defender XDR numa fila unificada. Quando seleciona uma área de trabalho principal, o conector de dados Defender XDR para incidentes e alertas é ligado apenas à área de trabalho primária.
Nestes casos:
| Área | Descrição |
|---|---|
| Outras áreas de trabalho ligadas anteriormente ao Defender XDR | Quaisquer outras áreas de trabalho anteriormente ligadas ao conector Defender XDR estão desligadas e funcionam como áreas de trabalho secundárias. Quaisquer regras de análise e automatização que tenha configurado anteriormente com base em Defender XDR dados deixarão de funcionar até configurar a ingestão de tabelas. |
| Alertas baseados no inquilino e conectores de dados autónomos | Os alertas de outros serviços Microsoft, incluindo outros serviços do Defender, são alertas baseados no inquilino e estão relacionados com todo o inquilino em vez de uma área de trabalho específica. Para impedir a duplicação entre áreas de trabalho, quaisquer conectores de dados diretos e autónomos para estes serviços têm de ser desligados do Microsoft Sentinel em áreas de trabalho secundárias. Isto resulta em alertas baseados no inquilino que são apresentados apenas na área de trabalho principal. Após a integração, os conectores de dados autónomos para Microsoft Defender para Office 365, Proteção Microsoft Entra ID, Microsoft Defender for Cloud Apps, Microsoft Defender para Endpoint e Microsoft Defender para Identidade são automaticamente desligadas. Se tiver outros conectores de dados da Microsoft autónomos com alertas nas áreas de trabalho, certifique-se de que os desliga antes de integrar no portal do Defender. |
| Defender XDR alertas e incidentes | Todos os Defender XDR alertas e incidentes são sincronizados apenas com a área de trabalho principal. No entanto, as áreas de trabalho secundárias podem ingerir dados da tabela do Defender se estiverem configuradas no conector Microsoft XDR no portal do Sentinel no Azure ou emTabelas de Configuração>do Microsoft Sentinel> no portal do Defender. |
| Criação de incidentes e correlação de alertas | O portal do Defender mantém a criação de incidentes e a correlação de alertas separada entre as áreas de trabalho Microsoft Sentinel. Os incidentes em áreas de trabalho secundárias não incluem dados de nenhuma outra área de trabalho nem de Defender XDR. |
| É necessária uma área de trabalho principal | Uma área de trabalho principal tem de estar sempre ligada ao portal do Defender. |
Por exemplo, pode estar a trabalhar numa equipa soc global numa empresa que tem várias áreas de trabalho autónomas. Nestes casos, poderá não querer ver incidentes e alertas de cada uma destas áreas de trabalho na sua fila SOC global no portal do Defender. Uma vez que estas áreas de trabalho estão integradas no portal do Defender como áreas de trabalho secundárias, são apresentadas no portal do Defender como apenas Microsoft Sentinel, sem incidentes e alertas do Defender, e continuam a funcionar de forma autónoma. Ao observar a área de trabalho do SOC global, não verá dados destas áreas de trabalho secundárias.
Quando tiver várias áreas de trabalho Microsoft Sentinel num inquilino Microsoft Entra ID, considere utilizar a área de trabalho principal do seu centro de operações de segurança global.
Permissões para gerir áreas de trabalho e ver dados da área de trabalho
Utilize uma das seguintes funções ou combinações de funções para gerir áreas de trabalho primárias e secundárias:
| Tarefa | Microsoft Entra ou Azure função incorporada necessária | Âmbito |
|---|---|---|
| Integrar Microsoft Sentinel no portal do Defender | Pelo menos, um Administrador de Segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Utilizador e Contribuidor de Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
| Ligar ou desligar uma área de trabalho secundária | Pelo menos, um Administrador de Segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Utilizador e Contribuidor de Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
| Alterar a área de trabalho primária | Pelo menos, um Administrador de Segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Utilizador e Contribuidor de Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
| Ativar ou desativar uma área de trabalho Sentinel no RBAC Unificado | Pelo menos, um Administrador de Segurança no Microsoft Entra ID Proprietário ou Administrador de Acesso de Utilizador e Contribuidor de Microsoft Sentinel |
Inquilino - Subscrição para funções de Proprietário ou Administrador de Acesso de Utilizador - Subscrição, grupo de recursos ou recurso de área de trabalho para contribuidor de Microsoft Sentinel |
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização.
Depois de ligar Microsoft Sentinel ao portal do Defender, as permissões de controlo de acesso baseado em funções (RBAC) existentes Azure permitem-lhe ver e trabalhar com as funcionalidades e áreas de trabalho Microsoft Sentinel às quais tem acesso.
| Workspace | Access |
|---|---|
| Principal | Se tiver acesso à área de trabalho primária, poderá ler e gerir dados a partir da área de trabalho e Defender XDR. |
| Secundário | Se tiver acesso a uma área de trabalho secundária, poderá ler e gerir dados apenas a partir da área de trabalho. Os incidentes e alertas do Defender não são sincronizados com áreas de trabalho secundárias, mas as áreas de trabalho secundárias ainda podem ingerir dados da tabela do Defender. Para obter mais informações, veja Áreas de trabalho primárias e secundárias. |
Exceção: Se já tiver integrado uma área de trabalho no portal do Defender, todos os alertas criados através de deteções personalizadas em AlertInfo tabelas e AlertEvidence antes de meados de janeiro de 2025 são visíveis para todos os utilizadores.
Para obter mais informações, veja Funções e permissões no Microsoft Sentinel.
Alterações à área de trabalho principal
Depois de integrar Microsoft Sentinel no portal do Defender, pode alterar a área de trabalho principal. Quando muda a área de trabalho primária para Microsoft Sentinel, o conector Defender XDR é ligado ao novo principal e desligado automaticamente do antigo.
Altere a área de trabalho principal no portal do Defender ao aceder aDefinições> do Sistema>Microsoft Sentinel>Workspaces.
Âmbito dos dados da área de trabalho em diferentes vistas
Se tiver as permissões adequadas para ver dados de áreas de trabalho primárias e secundárias para Microsoft Sentinel, o âmbito da área de trabalho na tabela seguinte aplica-se a cada capacidade.
| Capacidade | Âmbito da área de trabalho |
|---|---|
| Procurar | Os resultados do pesquisa global na parte superior da página do browser no portal do Defender fornecem uma vista agregada de todos os dados relevantes da área de trabalho que tem permissões para ver. |
| Incidentes & incidentes > de resposta > & de investigação | Veja incidentes de diferentes áreas de trabalho numa fila unificada ou filtre a vista por área de trabalho. |
| Alertas de alertas de incidentes & > de resposta > de & de investigação | Ver alertas de diferentes áreas de trabalho numa fila unificada ou filtrar a vista por área de trabalho. O portal do Defender segmenta a correlação de alertas por área de trabalho. |
| Entidades: a partir de um incidente ou alerta > , selecione um dispositivo, utilizador ou outro recurso de entidade | Ver todos os dados de entidade relevantes de várias áreas de trabalho numa única página de entidade. As páginas de entidade agregam alertas, incidentes e eventos de linha cronológica de todas as áreas de trabalho para fornecer informações mais aprofundadas sobre o comportamento das entidades. Filtre por área de trabalho nos separadores Incidentes e alertas, Linha Cronológica e Informações . O separador Descrição Geral apresenta os metadados de entidade agregados de todas as áreas de trabalho. |
| Investigação & resposta a > Investigação >Avançada de Investigação | Selecione uma área de trabalho no canto superior direito do browser. Em alternativa, consulte várias áreas de trabalho com o operador da área de trabalho na consulta. Veja Consultar várias áreas de trabalho. Os resultados da consulta não mostram um nome ou ID da área de trabalho. Aceda a todos os dados de registo da área de trabalho, incluindo consultas e funções, como só de leitura. Para obter mais informações, veja Investigação avançada com Microsoft Sentinel dados no portal do Microsoft Defender. Algumas capacidades estão limitadas à área de trabalho principal: - Criar deteções personalizadas - Consultas através da API As consultas entre áreas de trabalho para dados do Log Analytics continuam sujeitas a limitações do Log Analytics. |
| experiências de Microsoft Sentinel | Ver dados de uma área de trabalho para cada página na secção Microsoft Sentinel do portal do Defender. Alterne entre áreas de trabalho ao selecionar Selecionar uma área de trabalho no canto superior direito do browser para a maioria das páginas. - A página Livros mostra apenas os dados associados à área de trabalho primária. As regras de análise entre áreas de trabalho permanecem sujeitas a limitações e recomendações de regras de análise entre áreas de trabalho. |
| Otimização do SOC | Os dados e as recomendações são agregados a partir de várias áreas de trabalho. |
Sincronização bidirecional para áreas de trabalho
A sincronização das alterações de incidentes entre o portal do Azure e o portal do Defender depende se é uma área de trabalho primária ou secundária.
| Workspace | Comportamento da sincronização |
|---|---|
| Principal | Para Microsoft Sentinel na portal do Azure, Defender XDR incidentes aparecem em Incidentes de gestão> de ameaças com o nome do fornecedor deincidentesMicrosoft XDR. Quaisquer alterações efetuadas ao estado, ao motivo de fecho ou à atribuição de um incidente de Defender XDR no portal do Azure ou do Defender, são atualizadas na fila de incidentes do outro. Para obter mais informações, consulte Trabalhar com incidentes Microsoft Defender XDR em Microsoft Sentinel e sincronização bidirecional. |
| Secundário | Todos os alertas e incidentes que criar para uma área de trabalho secundária são sincronizados entre essa área de trabalho nos portais do Azure e do Defender. Os dados numa área de trabalho só são sincronizados com a área de trabalho no outro portal. |
Suporte de gestão de riscos internos (IRM)
Gestão do risco interno do Microsoft Purview (IRM) os alertas estão correlacionados apenas com a área de trabalho primária. Se tiver alertas de IRM com Microsoft Defender XDR, tem de ligar a IRM ao conector de Microsoft Defender XDR na área de trabalho primária antes de integrar a área de trabalho no portal do Defender. Isto é necessário para garantir que os alertas de IRM e os incidentes estão disponíveis na área de trabalho principal. Se não quiser ver alertas de IRM na área de trabalho primária, pode optar ativamente por não participar na integração com Microsoft Defender XDR.
Além disso, se o conector direto de Gestão de Riscos Internos do Microsoft 365 para Microsoft Sentinel conector de dados estiver ligado a qualquer uma das áreas de trabalho secundárias, tem de o desligar antes de integrar a área de trabalho no portal do Defender.