Exercício - Conectar o Microsoft Sentinel ao Microsoft Defender XDR

  • {númeroDeMinutos} minutos

Você é um analista de operações de segurança que trabalha em uma empresa que implantou o Microsoft Defender XDR e o Microsoft Sentinel. Você precisa se preparar para o Microsoft Sentinel no portal do Microsoft Defender conectando o Microsoft Sentinel ao Defender XDR.

Neste exercício, você executa as seguintes tarefas:

  • Instale a solução Microsoft Defender XDR Content Hub.
  • Implante o conector Microsoft Sentinel para conectar o Microsoft Sentinel ao Microsoft Defender XDR.
  • Conecte o Microsoft Sentinel ao Microsoft Defender XDR.
  • Explore os recursos do Microsoft Sentinel no portal Microsoft Defender XDR.

Observação

O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e entradas baseadas em texto que não se enquadram no script especificado podem não ser suportadas. Uma mensagem pop-up é exibida informando: "Este recurso não está disponível na simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.

Captura de ecrã do ecrã pop-up que indica que esta funcionalidade não está disponível na simulação.

Tarefa 1: Conectar o Defender XDR

Nesta tarefa, você implanta o conector XDR do Microsoft Defender.

  1. No navegador Microsoft Edge, abra o ambiente simulado selecionando este link: Portal do Azure.

  2. Na página inicial do portal do Azure, selecione o ícone do Microsoft Sentinel .

  3. Na página Microsoft Sentinel , selecione o espaço de trabalho Woodgrove-LogAnalyiticWorkspace .

  4. No menu de navegação do Microsoft Sentinel, role para baixo e expanda a seção Gerenciamento de conteúdo . Em seguida, selecione Hub de conteúdo.

  5. No hub Conteúdo, procure a solução Microsoft Defender XDR e selecione-a na lista.

  6. Na página de detalhes da solução Microsoft Defender XDR , selecione Instalar.

  7. Quando a instalação for concluída, procure a solução Microsoft Defender XDR e selecione-a.

  8. Na página de detalhes da solução Microsoft Defender XDR , selecione Gerenciar

  9. Selecione a caixa de seleção do Microsoft Defender XDR conector de dados e selecione abrir página do conector.

  10. Na seção Configuração , na guia Instruções , selecione o botão Conectar incidentes & alertas .

  11. Você verá uma mensagem informando que a conexão foi bem-sucedida.

Tarefa 2: Conectar o Microsoft Sentinel e o Microsoft Defender XDR

Nesta tarefa, você continua com a simulação e conecta um espaço de trabalho do Microsoft Sentinel ao Microsoft Defender XDR.

  1. Navegue de volta para o Microsoft Sentinel Content Hub (usando o link do menu "breadcrumb" na parte superior da página) e selecione Visão geral (Visualização) na seção Geral do menu de navegação.

  2. Selecione o botão Saiba mais na mensagem Obter seu SIEM e XDR em um só lugar .

    Captura de tela da mensagem do botão SIEM e XDR Saiba mais.

  3. Selecionar o botão Saiba mais abre uma nova guia no navegador para o portal Microsoft Defender XDR .

  4. Na tela inicial do portal Defender Defender, você verá um banner na parte superior com a mensagem: Obtenha seu SIEM e XDR em um só lugar. Selecione o botão Conectar um espaço de trabalho .

    Captura de tela do botão Defender XDR Connect a workspace.

  5. Na página Escolha um espaço de trabalho , selecione o espaço de trabalho woodgrove-loganalyiticsworkspace Microsoft Sentinel.

  6. Selecione o botão Avançar.

  7. Na página Definir um espaço de trabalho primário, verá o espaço de trabalho woodgrove-loganalyticsworkspace do Microsoft Sentinel no menu suspenso. Selecione o botão Avançar.

  8. Na página Revisar e concluir , verifique se a seleção Espaço de trabalho está correta e revise os itens com marcadores na seção O que esperar quando o espaço de trabalho estiver conectado . Selecione o botão Conectar .

  9. Você verá uma mensagem Você está prestes a conectar um espaço de trabalho . Selecione o botão Conectar .

  10. Agora você deve estar na página Espaço de trabalho conectado com êxito .

  11. Selecione o botão Fechar .

    Captura de tela da página do espaço de trabalho do Defender XDR conectada com êxito.

  12. Na tela inicial do portal Defender XDR, você verá um banner na parte superior com a mensagem: Seu SIEM e XDR unificados estão prontos. Selecione o botão Iniciar caça.

  13. Na caça avançada, você deverá ver uma mensagem a dizer "Explore o seu conteúdo no Microsoft Sentinel." No menu de navegação de caça avançada , você pode encontrar as tabelas, funções e consultas do Microsoft Sentinel nas guias correspondentes.

  14. Desloque-se para baixo no separador Esquema até ao cabeçalho Microsoft Sentinel e, em seguida, faça duplo clique na tabela ThreatIntelligenceIndicator .

  15. No painel Consulta , você verá uma consulta (KQL) que retorna indicadores de inteligência de ameaça. Selecione o botão Executar consulta .

    Captura de tela das tabelas de monitorização avançada Defender XDR Sentinel.

  16. Expanda o painel de menu principal esquerdo se recolhido e abra os novos itens de menu do Microsoft Sentinel. Você deve ver Pesquisa, Gerenciamento de ameaças, Gerenciamento de conteúdo e Seleções de configuração .

    Observação

    Há diferenças de capacidade entre o portal do Microsoft Sentinel do Azure e o Sentinel no portal do Microsoft Defender XDR Diferenças de capacidade do portal.

  17. Nos itens de menu do Microsoft Defender XDR Microsoft Sentinel , selecione Configuração e, em seguida, Conectores de dados.

  18. Na página Conectores de dados , você verá a Atividade do Azure e outros conectores de dados listados com o status Conectado.

Observação

Sinta-se à vontade para explorar e comparar os outros recursos do Microsoft Sentinel, mas como esta é uma simulação, sua capacidade de explorar o Microsoft Sentinel no portal do Microsoft Defender é limitada. Em um ambiente real, você poderia explorar todos os recursos do Microsoft Sentinel no portal do Microsoft Defender.