Editar

Monitorar a segurança híbrida usando o Microsoft Defender para Nuvem e o Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender para Nuvem
Microsoft Sentinel
Azure Stack Hub

Esta arquitetura de referência ilustra como usar o Microsoft Defender for Cloud e o Microsoft Sentinel para monitorar a configuração de segurança e a telemetria de cargas de trabalho locais, do Azure e do Azure Stack.

Arquitetura

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Baixe um Arquivo Visio dessa arquitetura.

Workflow

  • Microsoft Defender para Nuvem. Esta é uma plataforma de gerenciamento de segurança avançada e unificada que a Microsoft oferece a todos os assinantes do Azure. O Defender for Cloud é segmentado como um CSPM (gerenciamento de postura de segurança na nuvem) e uma plataforma de proteção de carga de trabalho na nuvem (CWPP). O CWPP é definido por soluções de proteção de segurança centradas na carga de trabalho, que geralmente são baseadas em agentes. O Microsoft Defender for Cloud fornece proteção contra ameaças para cargas de trabalho do Azure, tanto no local quanto em outras nuvens, incluindo máquinas virtuais (VMs) Windows e Linux, contêineres, bancos de dados e Internet das Coisas (IoT). Quando ativado, o agente do Log Analytics é implantado automaticamente nas Máquinas Virtuais do Azure. Para VMs e servidores Windows e Linux locais, você pode implantar manualmente o agente, usar a ferramenta de implantação da sua organização, como o Microsoft Endpoint Protection Manager, ou utilizar métodos de implantação com script. O Defender for Cloud começa a avaliar o estado de segurança de todas as suas VMs, redes, aplicativos e dados.
  • Microsoft Sentinel. É uma solução de SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) nativa da nuvem e SOAR (Security Orchestration Automated Response, resposta automatizada de orquestração de segurança) que usa IA avançada e análise de segurança para ajudá-lo a detectar, caçar, prevenir e responder a ameaças em toda a sua empresa.
  • Azure Stack. É um portfólio de produtos que estendem os serviços e recursos do Azure para seu ambiente de escolha, incluindo datacenter, pontos de presença e escritórios remotos. As implementações do Azure Stack normalmente utilizam racks de quatro a dezesseis servidores criados por parceiros de hardware confiáveis e entregues ao seu datacenter.
  • Azure Monitor. Coleta a telemetria de monitoramento de diversas fontes locais e do Azure. As ferramentas de gerenciamento, como aquelas do Microsoft Defender para Nuvem e da Automação do Azure, também enviam por push os dados de log ao Azure Monitor.
  • Espaço de Trabalho do Log Analytics. O Azure Monitor armazena dados de log em um workspace do Log Analytics, que é um contêiner que inclui informações de configuração e dados.
  • Agente do Log Analytics. O agente do Log Analytics coleta dados de monitoramento do sistema operacional convidado e das cargas de trabalho de VM no Azure, de outros provedores de nuvem e locais. O Agente do Log Analytics dá suporte à configuração de Proxy e, normalmente, neste cenário, um Gateway do Microsoft OMS (Operations Management Suite) atua como proxy.
  • Rede local. Este é o firewall configurado para dar suporte à saída HTTPS de sistemas definidos.
  • Sistemas Windows e Linux locais. Sistemas com o Agente do Log Analytics instalado.
  • VMs Windows e Linux do Azure. Sistemas nos quais o agente de monitoramento do Microsoft Defender para Nuvem está instalado.

Componentes

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura:

  • Práticas recomendadas para integrar segurança local e monitoramento de telemetria com cargas de trabalho baseadas no Azure
  • Integrando o Microsoft Defender for Cloud ao Azure Stack
  • Integrando o Microsoft Defender for Cloud com o Microsoft Sentinel

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Atualização do Microsoft Defender para nuvem

Essa arquitetura de referência usa o Microsoft Defender for Cloud para monitorar sistemas locais, VMs do Azure, recursos do Azure Monitor e até mesmo VMs hospedadas por outros provedores de nuvem. Detalhes sobre os preços do Microsoft Defender for Cloud podem ser encontrados aqui.

Espaço de trabalho personalizado do Log Analytics

O Microsoft Sentinel precisa de acesso a um espaço de trabalho do Log Analytics. Neste cenário, você não pode usar o workspace padrão do Log Analytics do Defender para Nuvem com o Microsoft Sentinel. Em vez disso, você cria um espaço de trabalho personalizado. A retenção de dados para um espaço de trabalho personalizado é baseada na camada de preços do espaço de trabalho, e você pode encontrar modelos de preços para Logs do Monitor aqui.

Observação

O Microsoft Sentinel pode ser executado em espaços de trabalho em qualquer região de disponibilidade geral (GA) do Log Analytics, exceto nas regiões China e Alemanha (Soberana). Os dados gerados pelo Microsoft Sentinel, como incidentes, marcadores e regras de alerta, que podem conter alguns dados de clientes provenientes desses espaços de trabalho, são salvos na Europa (para espaços de trabalho baseados na Europa), na Austrália (para espaços de trabalho baseados na Austrália) ou no Leste dos EUA (para espaços de trabalho localizados em qualquer outra região).

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Uma diretiva de segurança define o conjunto de controles recomendados para recursos em uma assinatura especificada. No Microsoft Defender for Cloud, você define políticas para suas assinaturas do Azure de acordo com os requisitos de segurança de sua empresa e o tipo de aplicativos ou sensibilidade de dados para cada assinatura.

As políticas de segurança habilitadas no Microsoft Defender for Cloud direcionam recomendações de segurança e monitoramento. Para saber mais sobre políticas de segurança, consulte Fortalecer sua política de segurança com o Microsoft Defender for Cloud. Você pode atribuir políticas de segurança no Microsoft Defender for Cloud somente nos níveis de grupo de gerenciamento ou assinatura.

Observação

A primeira parte da arquitetura de referência detalha como habilitar o Microsoft Defender for Cloud para monitorar recursos do Azure, sistemas locais e sistemas do Azure Stack.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Conforme descrito anteriormente, os custos além de sua assinatura do Azure podem incluir:

  1. Custos do Microsoft Defender para nuvem. Para obter mais informações, consulte os preços do Defender for Cloud.
  2. O espaço de trabalho do Azure Monitor oferece granularidade de cobrança. Para obter mais informações, consulte Gerenciar uso e custos com logs do Azure Monitor.
  3. O Microsoft Sentinel é um serviço pago. Para obter mais informações, consulte Preços do Microsoft Sentinel.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Funções do Microsoft Defender para Cloud

O Defender for Cloud avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades e exibe informações relacionadas a um recurso quando você recebe a função de proprietário, colaborador ou leitor para a assinatura ou grupo de recursos ao qual um recurso pertence.

Além dessas funções, há duas funções específicas do Defender para Nuvem:

  • Leitor de segurança. Um usuário que pertence a essa função tem direitos somente leitura para o Defender for Cloud. O usuário pode observar recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.

  • Administrador de segurança. Um usuário que pertence a essa função tem os mesmos direitos que o Leitor de Segurança e também pode atualizar diretivas de segurança e descartar alertas e recomendações. Normalmente, esses são usuários que gerenciam a carga de trabalho.

  • As funções de segurança, Security Reader e Security Admin, têm acesso apenas no Defender for Cloud. As funções de segurança não têm acesso a outras áreas de serviço do Azure, como armazenamento, Web, dispositivos móveis ou IoT.

Assinatura do Microsoft Sentinel

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador na assinatura em que o workspace do Microsoft Sentinel está.
  • Para usar o Microsoft Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o espaço de trabalho pertence.
  • O Microsoft Sentinel é um serviço pago. Para obter mais informações, consulte Preços do Microsoft Sentinel.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar a carga de trabalho de maneira eficiente para atender às demandas exigidas pelos usuários. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

O Log Analytics Agent para Windows e Linux foi projetado para ter um impacto mínimo no desempenho de VMs ou sistemas físicos.

O processo operacional do Microsoft Defender for Cloud não interferirá nos procedimentos operacionais normais. Ele monitora passivamente as implantações e apresenta recomendações com base nas políticas de segurança habilitadas.

Implantar este cenário

Criar um workspace do Log Analytics no portal do Azure

  1. Entre no portal do Azure como um usuário com privilégios de administrador de segurança.
  2. No portal do Azure, clique em Todos os serviços. Na lista de recursos, insira Log Analytics. À medida que você começa a entrar, a lista filtra com base em sua entrada. Escolha workspaces do Log Analytics.
  3. Selecione Adicionar na página Log Analytics.
  4. Forneça um nome para o novo espaço de trabalho do Log Analytics, como Defender for Cloud-SentinelWorkspace. Esse nome deve ser globalmente exclusivo em todas as assinaturas do Azure Monitor.
  5. Selecione uma assinatura selecionando na lista suspensa se a seleção padrão não for apropriada.
  6. Para Grupo de Recursos, escolha usar um grupo de recursos existente ou criar um novo.
  7. Em Localização, selecione uma geolocalização disponível.
  8. Selecione OK para concluir a configuração. New Workspace created for the architecture

Habilitar o Defender para Nuvem

Enquanto você ainda estiver conectado ao portal do Azure como um usuário com privilégios de administrador de segurança, selecione Defender for Cloud no painel. O Defender for Cloud - Visão geral é aberto:

Defender for Cloud Overview dashboard blade opens

O Defender for Cloud habilita automaticamente a camada Gratuita para qualquer uma das assinaturas do Azure não incorporadas anteriormente por você ou outro usuário de assinatura.

Atualizar o Microsoft Defender para Nuvem

  1. No menu principal do Defender for Cloud, selecione Introdução.
  2. Selecione o botão Atualizar agora . O Defender for Cloud lista suas assinaturas e espaços de trabalho qualificados para uso.
  3. Você pode selecionar workspaces e assinaturas qualificados para iniciar sua avaliação. Selecione o espaço de trabalho criado anteriormente, ASC-SentinelWorkspace. no menu suspenso.
  4. No menu principal do Defender for Cloud, selecione Iniciar avaliação.
  5. A caixa de diálogo Instalar agentes deve ser exibida.
  6. Selecione o botão Instalar agentes . A folha Defender for Cloud - Coverage é exibida e você deve observar sua assinatura selecionada. Security Coverage blade showing your subscriptions should be open

Agora você habilitou o provisionamento automático e o Defender for Cloud instalará o Log Analytics Agent for Windows (HealthService.exe) e o omsagent para Linux em todas as VMs do Azure com suporte e em quaisquer novas VMs que você criar. Você pode desativar essa política e gerenciá-la manualmente, embora seja altamente recomendável o provisionamento automático.

Para saber mais sobre os recursos específicos do Defender for Cloud disponíveis no Windows e no Linux, consulte Cobertura de recursos para máquinas.

Habilitar o monitoramento do Microsoft Defender para nuvem de computadores Windows locais

  1. No portal do Azure na folha Defender for Cloud - Visão geral , selecione a guia Introdução .
  2. Selecione Configurar em Adicionar novos computadores que não sejam do Azure. Uma lista dos espaços de trabalho do Log Analytics é exibida e deve incluir o Defender for Cloud-SentinelWorkspace.
  3. Selecione este espaço de trabalho. A folha Agente Direto é aberta com um link para baixar um agente do Windows e chaves para sua identificação (ID) do espaço de trabalho a ser usada ao configurar o agente.
  4. Selecione o link Baixar Agente do Windows aplicável a seu tipo de processador do computador para baixar o arquivo de configuração.
  5. À direita de ID do Espaço de Trabalho, selecione Copiar e cole o ID no Bloco de Notas.
  6. À direita de Chave primária, selecione Copiar e cole a tecla no bloco de notas.

Instalar o agente do Windows

Para instalar o agente nos computadores de destino, siga estas etapas.

  1. Copie o arquivo para o computador de destino e, em seguida, execute a instalação.
  2. Na página Bem-vindo, selecione Avançar.
  3. Na página dos Termos de Licença, leia a licença e depois selecione Eu concordo.
  4. Na página da Pasta de Destino, altere ou mantenha a pasta de instalação padrão e depois selecione Avançar.
  5. Na página Opções de Instalação do Agente, escolha conectar o agente ao Azure Log Analytics e selecione Avançar.
  6. Na página Azure Log Analytics, cole a ID do Workspace e a Chave do Workspace (Chave Primária) que você copiou para o Bloco de Notas no procedimento anterior.
  7. Caso o computador deva se reportar a um espaço de trabalho do Log Analytics na nuvem do Azure Governamental, selecione Governo dos EUA do Azure na lista suspensa do Azure Cloud. Se o computador precisar se comunicar por meio de um servidor proxy com o serviço Log Analytics, selecione Avançado e forneça a URL e o número da porta do servidor proxy.
  8. Depois de fornecer as definições de configuração necessárias, selecione Avançar. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Na página Pronto para Instalar, examine suas escolhas e selecione Instalar.
  10. Na página Configuração concluída com êxito, selecione Concluir.

Quando concluído, o agente do Log Analytics aparecerá no Painel de Controle do Windows e você poderá revisar sua configuração e verificar se o agente está conectado.

Para obter mais informações sobre como instalar e configurar o agente, consulte Instalar o agente do Log Analytics em computadores Windows.

O serviço Log Analytics Agent coleta dados de eventos e desempenho, executa tarefas e outros fluxos de trabalho definidos em um pacote de gerenciamento. O Defender for Cloud estende suas plataformas de proteção de carga de trabalho na nuvem integrando-se ao Microsoft Defender for Servers. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Para obter mais informações sobre o Microsoft Defender para servidores, consulte Servidores integrados para o serviço Microsoft Defender para servidores.

Habilitar o monitoramento do Microsoft Defender para nuvem de computadores Linux locais

  1. Retorne à guia Introdução, conforme descrito anteriormente.
  2. Selecione Configurar em Adicionar novos computadores que não sejam do Azure. Uma lista dos espaços de trabalho do Log Analytics é exibida. A lista deve incluir o Defender for Cloud-SentinelWorkspace que você criou.
  3. Na folha Direct Agent, em DOWNLOAD AND ONBOARD AGENT FOR LINUX, selecione copiar para copiar o comando wget.
  4. Abra o bloco de notas e, em seguida, cole este comando. Salve esse arquivo em um local que possa ser acessado pelo seu computador Linux.

Observação

Em sistemas operacionais Unix e Linux, wget é uma ferramenta para download de arquivos não interativos da web. Ele suporta HTTPS, FTPs e proxies.

O agente Linux usa a estrutura Linux Audit Daemon. O Defender for Cloud integra funcionalidades dessa estrutura ao agente do Log Analytics, o que permite que os registros de auditoria sejam coletados, enriquecidos e agregados em eventos usando o Log Analytics Agent for Linux. O Defender para Nuvem adiciona continuamente novos recursos de análise que usam sinais do Linux para detectar comportamentos mal-intencionados em máquinas Linux locais e na nuvem.

Para obter uma lista dos alertas do Linux, consulte a tabela de alertas de referência.

Instalar o agente Linux

Para instalar o agente nos computadores Linux de destino, execute estas etapas:

  1. No computador Linux, abra o arquivo que você salvou anteriormente. Selecione e copie todo o conteúdo, abra um console de terminal e cole o comando.
  2. Quando a instalação terminar, você poderá validar se o omsagent está instalado executando o comando pgrep. O comando retornará o identificador de processo omsagent (PID). Você pode encontrar os logs do agente em: /var/opt/microsoft/omsagent/"workspace id"/log/.

Pode levar até 30 minutos para que o novo computador Linux seja exibido no Defender for Cloud.

Habilitar o Microsoft Defender para monitoramento de nuvem de VMs do Azure Stack

Depois de integrar sua assinatura do Azure, você pode habilitar o Defender for Cloud para proteger suas VMs em execução no Azure Stack adicionando a extensão de VM do Azure Monitor, Update and Configuration Management do mercado Azure Stack. Para fazer isso:

  1. Retorne à guia Introdução, conforme descrito anteriormente.
  2. Selecione Configurar em Adicionar novos computadores que não sejam do Azure. Uma lista dos espaços de trabalho do Log Analytics é exibida e deve incluir o Defender for Cloud-SentinelWorkspace que você criou.
  3. Na folha Agente Direto, há um link para baixar o agente e as chaves para o ID do seu espaço de trabalho a ser usado durante a configuração do agente. Você não precisa baixar o agente manualmente. Ele será instalado como uma extensão de VM nas etapas a seguir.
  4. À direita de ID do Espaço de Trabalho, selecione Copiar e cole o ID no Bloco de Notas.
  5. À direita de Chave primária, selecione Copiar e cole a tecla no bloco de notas.

Habilitar o monitoramento do Defender for Cloud de VMs do Azure Stack

O Microsoft Defender for Cloud usa a extensão de VM do Azure Monitor, Update and Configuration Management empacotada com o Azure Stack. Para habilitar a extensão Azure Monitor, Update and Configuration Management , siga estas etapas:

  1. Em uma nova guia do navegador, entre no portal do Azure Stack .
  2. Consulte a página Máquinas virtuais e selecione a máquina virtual que você deseja proteger com o Defender for Cloud.
  3. Selecione Extensões. A lista de extensões de VM instaladas nesta VM é exibida.
  4. Selecione a guia Adicionar . A folha de menu Novo recurso é aberta e exibe a lista de extensões de VM disponíveis.
  5. Selecione a extensão Azure Monitor, Update and Configuration Management e selecione Criar. A folha de configuração da extensão de instalação é aberta.
  6. Na folha de configuração Instalar extensão, cole a ID do Workspace e a Chave do Workspace (Chave Primária) que você copiou para o Bloco de Notas no procedimento anterior.
  7. Quando terminar de fornecer as definições de configuração necessárias, selecione OK.
  8. Quando a instalação da extensão for concluída, seu status será exibido como Provisionamento bem-sucedido. Pode levar até uma hora para que a VM apareça no portal do Defender for Cloud.

Para obter mais informações sobre como instalar e configurar o agente para Windows, consulte Instalar o agente usando o assistente de instalação.

Para solucionar problemas do agente Linux, consulte Como solucionar problemas com o agente do Log Analytics para Linux.

Agora você pode monitorar suas VMs do Azure e computadores não Azure em um único lugar. A Computação do Azure fornece uma visão geral de todas as VMs e computadores, juntamente com recomendações. Cada coluna representa um conjunto de recomendações, e a cor representa as VMs ou computadores e o estado de segurança atual dessa recomendação. O Defender for Cloud também fornece quaisquer detecções para esses computadores em alertas de segurança. Defender for Cloud list of systems monitored on the Compute blade

Há dois tipos de ícones representados na folha Computação:

Purple computer icon that represents a non-azure monitored computer Computador que não é do Azure

Blue terminal icon that represents an Azure monitored computer Computador do Azure

Observação

A segunda parte da arquitetura de referência conectará alertas do Microsoft Defender for Cloud e os transmitirá para o Microsoft Sentinel.

A função do Microsoft Sentinel é ingerir dados de diferentes fontes de dados e executar a correlação de dados entre essas fontes de dados. O Microsoft Sentinel aproveita o aprendizado de máquina e a IA para tornar a caça a ameaças, a detecção de alertas e as respostas a ameaças mais inteligentes.

Para integrar o Microsoft Sentinel, você precisa habilitá-lo e depois conectar suas fontes de dados. O Microsoft Sentinel vem com vários conectores para soluções Microsoft, que estão disponíveis prontos para uso e fornecem integração em tempo real, incluindo Microsoft Defender for Cloud, soluções de Proteção contra Ameaças da Microsoft, fontes do Microsoft 365 (incluindo o Office 365), Microsoft Entra ID, Microsoft Defender for Servers, Microsoft Defender for Cloud Apps e muito mais. Além disso, há conectores internos para o ecossistema de segurança mais amplo de soluções que não são da Microsoft. Você também pode usar o Common Event Format, syslog ou a API de Transferência de Estado Representacional para conectar suas fontes de dados ao Microsoft Sentinel.

Requisitos para integrar o Microsoft Sentinel ao Microsoft Defender for Cloud

  1. Uma assinatura do Microsoft Azure
  2. Um espaço de trabalho do Log Analytics que não é o espaço de trabalho padrão criado quando você habilita o Microsoft Defender para Nuvem.
  3. Microsoft Defender para Nuvem.

Todos os três requisitos devem estar em vigor se você trabalhou na seção anterior.

Pré-requisitos globais

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador na assinatura em que o workspace do Microsoft Sentinel está.
  • Para usar o Microsoft Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o espaço de trabalho pertence.
  • Talvez você precise de permissões adicionais para conectar fontes de dados específicas. Você não precisa de permissões adicionais para se conectar ao Defender for Cloud.
  • O Microsoft Sentinel é um serviço pago. Para obter mais informações, consulte Preços do Microsoft Sentinel.

Habilitar Microsoft Sentinel

  1. Entre no portal do Azure com um usuário que tenha direitos de colaborador para o Defender for Cloud-Sentinelworkspace.
  2. Pesquise pelo Microsoft Sentinel e selecione-o. In the Azure portal search for the term
  3. Selecione Adicionar.
  4. Na folha Microsoft Sentinel , selecione Defender for Cloud-Sentinelworkspace.
  5. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação.
  6. Na galeria de conectores de dados, selecione Microsoft Defender for Cloud e selecione o botão Abrir página do conector. In Microsoft Sentinel showing the open Collectors page
  7. Em Configuração, selecione Conectar ao lado das assinaturas para as quais você deseja que os alertas sejam transmitidos para o Microsoft Sentinel. O botão Conectar estará disponível somente se você tiver as permissões necessárias e a assinatura do Defender for Cloud.
  8. Agora você deve observar o Status da Conexão como Conectando. Depois de se conectar, ele alternará para Conectado.
  9. Depois de confirmar a conectividade, você pode fechar as configurações do Defender for Cloud Data Connector e atualizar a página para observar alertas no Microsoft Sentinel. Pode levar algum tempo para que os logs comecem a ser sincronizados com o Microsoft Sentinel. Depois de se conectar, você observará um resumo de dados no gráfico Dados recebidos e o status de conectividade dos tipos de dados.
  10. Você pode selecionar se deseja que os alertas do Microsoft Defender para Nuvem gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Habilitado para ativar a regra de análise padrão que cria automaticamente incidentes de alertas. É possível editar essa regra em Análise, na guia Regras ativas.
  11. Para usar o esquema relevante no Log Analytics para os alertas do Microsoft Defender for Cloud, procure SecurityAlert.

Uma vantagem de usar o Microsoft Sentinel como seu SIEM é que ele fornece correlação de dados entre várias fontes, o que permite que você tenha uma visibilidade completa dos eventos relacionados à segurança da sua organização.

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

Próximas etapas

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack