Monitore a segurança híbrida usando o Microsoft Defender for Cloud e o Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Esta arquitetura de referência ilustra como usar o Microsoft Defender for Cloud e o Microsoft Sentinel para monitorar a configuração de segurança e a telemetria de cargas de trabalho locais, do Azure e do Azure Stack.

Arquitetura

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

  • Microsoft Defender para Cloud. Esta é uma plataforma de gestão de segurança avançada e unificada que a Microsoft oferece a todos os subscritores do Azure. O Defender for Cloud é segmentado como um CSPM (gerenciamento de postura de segurança na nuvem) e uma plataforma de proteção de carga de trabalho na nuvem (CWPP). O CWPP é definido por soluções de proteção de segurança centradas na carga de trabalho, que geralmente são baseadas em agente. O Microsoft Defender for Cloud fornece proteção contra ameaças para cargas de trabalho do Azure, tanto no local quanto em outras nuvens, incluindo máquinas virtuais (VMs) Windows e Linux, contêineres, bancos de dados e Internet das Coisas (IoT). Quando ativado, o agente do Log Analytics é implantado automaticamente nas Máquinas Virtuais do Azure. Para VMs e servidores Windows e Linux locais, você pode implantar manualmente o agente, usar a ferramenta de implantação da sua organização, como o Microsoft Endpoint Protection Manager, ou utilizar métodos de implantação com script. O Defender for Cloud começa a avaliar o estado de segurança de todas as suas VMs, redes, aplicativos e dados.
  • Microsoft Sentinel. É uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR) nativa da nuvem que usa IA avançada e análise de segurança para ajudá-lo a detetar, caçar, prevenir e responder a ameaças em toda a sua empresa.
  • Azure Stack. É um portfólio de produtos que estendem os serviços e recursos do Azure para seu ambiente de escolha, incluindo o datacenter, pontos de presença e escritórios remotos. As implementações do Azure Stack normalmente utilizam racks de quatro a dezesseis servidores criados por parceiros de hardware confiáveis e entregues ao seu datacenter.
  • Azure Monitor. Coleta telemetria de monitoramento de uma variedade de fontes locais e do Azure. As ferramentas de gerenciamento, como as do Microsoft Defender for Cloud e da Automação do Azure, também enviam dados de log por push para o Azure Monitor.
  • Espaço de trabalho do Log Analytics. O Azure Monitor armazena dados de log em um espaço de trabalho do Log Analytics, que é um contêiner que inclui dados e informações de configuração.
  • Agente do Log Analytics. O agente do Log Analytics coleta dados de monitoramento do sistema operacional convidado e cargas de trabalho de VM no Azure, de outros provedores de nuvem e locais. O Log Analytics Agent oferece suporte à configuração de proxy e, normalmente nesse cenário, um gateway do Microsoft Operations Management Suite (OMS) atua como proxy.
  • Rede no local. Este é o firewall configurado para suportar a saída HTTPS de sistemas definidos.
  • Sistemas Windows e Linux locais. Sistemas com o Log Analytics Agent instalado.
  • VMs do Azure Windows e Linux. Sistemas nos quais o agente de monitoramento do Microsoft Defender for Cloud está instalado.

Componentes

Detalhes do cenário

Potenciais casos de utilização

Utilizações típicas desta arquitetura:

  • Práticas recomendadas para integrar segurança local e monitoramento de telemetria com cargas de trabalho baseadas no Azure
  • Integrando o Microsoft Defender for Cloud com o Azure Stack
  • Integração do Microsoft Defender for Cloud com o Microsoft Sentinel

Recomendações

As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.

Atualização do Microsoft Defender para Cloud

Essa arquitetura de referência usa o Microsoft Defender for Cloud para monitorar sistemas locais, VMs do Azure, recursos do Azure Monitor e até mesmo VMs hospedadas por outros provedores de nuvem. Detalhes sobre os preços do Microsoft Defender for Cloud podem ser encontrados aqui.

Espaço de trabalho personalizado do Log Analytics

O Microsoft Sentinel precisa de acesso a um espaço de trabalho do Log Analytics. Nesse cenário, você não pode usar o espaço de trabalho padrão do Defender for Cloud Log Analytics com o Microsoft Sentinel. Em vez disso, você cria um espaço de trabalho personalizado. A retenção de dados para um espaço de trabalho personalizado é baseada no nível de preço do espaço de trabalho, e você pode encontrar modelos de preços para o Monitor Logs aqui.

Nota

O Microsoft Sentinel pode ser executado em espaços de trabalho em qualquer região de disponibilidade geral (GA) do Log Analytics, exceto nas regiões China e Alemanha (Sovereign). Os dados gerados pelo Microsoft Sentinel, como incidentes, marcadores e regras de alerta, que podem conter alguns dados de clientes provenientes desses espaços de trabalho, são salvos na Europa (para espaços de trabalho baseados na Europa), na Austrália (para espaços de trabalho baseados na Austrália) ou no Leste dos EUA (para espaços de trabalho localizados em qualquer outra região).

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Uma política de segurança define o conjunto de controles recomendados para recursos dentro de uma assinatura especificada. No Microsoft Defender for Cloud, você define políticas para suas assinaturas do Azure de acordo com os requisitos de segurança da sua empresa e o tipo de aplicativos ou sensibilidade de dados para cada assinatura.

As políticas de segurança habilitadas no Microsoft Defender for Cloud direcionam as recomendações de segurança e o monitoramento. Para saber mais sobre políticas de segurança, consulte Fortalecer sua política de segurança com o Microsoft Defender for Cloud. Você pode atribuir políticas de segurança no Microsoft Defender for Cloud somente nos níveis de gerenciamento ou grupo de assinatura.

Nota

A primeira parte da arquitetura de referência detalha como habilitar o Microsoft Defender for Cloud para monitorar recursos do Azure, sistemas locais e sistemas Azure Stack.

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

Conforme descrito anteriormente, os custos além da sua assinatura do Azure podem incluir:

  1. Custos do Microsoft Defender for Cloud. Para obter mais informações, consulte Preços do Defender for Cloud.
  2. O espaço de trabalho do Azure Monitor oferece granularidade de cobrança. Para obter mais informações, consulte Gerenciar uso e custos com logs do Azure Monitor.
  3. O Microsoft Sentinel é um serviço pago. Para obter mais informações, consulte Preços do Microsoft Sentinel.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Funções do Microsoft Defender for Cloud

O Defender for Cloud avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades e exibe informações relacionadas a um recurso quando você recebe a função de proprietário, colaborador ou leitor para a assinatura ou grupo de recursos ao qual um recurso pertence.

Além dessas funções, há duas funções específicas do Defender for Cloud:

  • Leitor de segurança. Um usuário que pertence a essa função tem direitos somente leitura para o Defender for Cloud. O usuário pode observar recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.

  • Administrador de Segurança. Um utilizador que pertença a esta função tem os mesmos direitos que o Leitor de Segurança e também pode atualizar políticas de segurança e rejeitar alertas e recomendações. Normalmente, esses são usuários que gerenciam a carga de trabalho.

  • As funções de segurança, Security Reader e Security Admin, têm acesso apenas no Defender for Cloud. As funções de segurança não têm acesso a outras áreas de serviço do Azure, como armazenamento, Web, dispositivos móveis ou IoT.

Subscrição do Microsoft Sentinel

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel reside.
  • Para usar o Microsoft Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o espaço de trabalho pertence.
  • O Microsoft Sentinel é um serviço pago. Para obter mais informações, consulte Preços do Microsoft Sentinel.

Eficiência de desempenho

A eficiência de desempenho é a capacidade de sua carga de trabalho de escalar de maneira eficiente para atender às demandas que os usuários colocam nela. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.

O Log Analytics Agent para Windows e Linux foi projetado para ter um impacto mínimo no desempenho de VMs ou sistemas físicos.

O processo operacional do Microsoft Defender for Cloud não interferirá com seus procedimentos operacionais normais. Em vez disso, ele monitora passivamente suas implantações e fornece recomendações com base nas políticas de segurança habilitadas.

Implementar este cenário

Criar uma área de trabalho do Log Analytics no portal do Azure

  1. Entre no portal do Azure como um usuário com privilégios de administrador de segurança.
  2. No portal do Azure, selecione Todos os serviços. Na lista de recursos, introduza Log Analytics. À medida que você começa a entrar, a lista filtra com base na sua entrada. Selecione Área de Trabalho do Log Analytics .
  3. Selecione Adicionar na página Log Analytics.
  4. Forneça um nome para o novo espaço de trabalho do Log Analytics, como Defender for Cloud-SentinelWorkspace. Esse nome deve ser globalmente exclusivo em todas as assinaturas do Azure Monitor.
  5. Selecione uma assinatura selecionando na lista suspensa se a seleção padrão não for apropriada.
  6. Para Grupo de Recursos, opte por usar um grupo de recursos existente ou criar um novo.
  7. Em Localização, selecione uma geolocalização disponível.
  8. Selecione OK para concluir a configuração. New Workspace created for the architecture

Ativar o Defender for Cloud

Enquanto você ainda estiver conectado ao portal do Azure como um usuário com privilégios de administrador de segurança, selecione Defender for Cloud no painel. Defender for Cloud - Visão geral abre:

Defender for Cloud Overview dashboard blade opens

O Defender for Cloud habilita automaticamente a camada Gratuita para qualquer uma das assinaturas do Azure não integradas anteriormente por você ou outro usuário de assinatura.

Atualizar o Microsoft Defender para Cloud

  1. No menu principal do Defender for Cloud, selecione Introdução.
  2. Selecione o botão Atualizar agora . O Defender for Cloud lista as suas subscrições e espaços de trabalho elegíveis para utilização.
  3. Pode selecionar as áreas de trabalho e subscrições elegíveis para iniciar a avaliação. Selecione o espaço de trabalho criado anteriormente, ASC-SentinelWorkspace. no menu suspenso.
  4. No menu principal do Defender for Cloud, selecione Iniciar avaliação.
  5. A caixa de diálogo Instalar agentes deve ser exibida.
  6. Selecione o botão Instalar agentes . A folha Defender for Cloud - Coverage é exibida e você deve observar sua assinatura selecionada. Security Coverage blade showing your subscriptions should be open

Agora você habilitou o provisionamento automático e o Defender for Cloud instalará o Log Analytics Agent for Windows (HealthService.exe) e o omsagent para Linux em todas as VMs do Azure com suporte e em quaisquer novas que você criar. Você pode desativar essa política e gerenciá-la manualmente, embora seja altamente recomendável o provisionamento automático.

Para saber mais sobre os recursos específicos do Defender for Cloud disponíveis no Windows e Linux, consulte Cobertura de recursos para máquinas.

Habilite o monitoramento do Microsoft Defender for Cloud de computadores Windows locais

  1. No portal do Azure na folha Defender for Cloud - Visão geral , selecione a guia Introdução .
  2. Selecione Configurar em Adicionar novos computadores que não sejam do Azure. Uma lista de seus espaços de trabalho do Log Analytics é exibida e deve incluir o Defender for Cloud-SentinelWorkspace.
  3. Selecione este espaço de trabalho. A folha Direct Agent é aberta com um link para baixar um agente do Windows e chaves para sua identificação (ID) de espaço de trabalho para usar quando você configurar o agente.
  4. Selecione a ligação Transferir o Agente do Windows aplicável ao seu tipo de processador do computador para transferir o ficheiro de configuração.
  5. À direita de ID do espaço de trabalho, selecione Copiar e cole o ID no bloco de notas.
  6. À direita da Chave Primária, selecione Copiar e cole a chave no Bloco de Notas.

Instalar o agente do Windows

Para instalar o agente nos computadores de destino, siga estas etapas.

  1. Copie o ficheiro para o computador de destino e, em seguida, execute o programa de configuração.
  2. Na página Bem-vindo, selecione Seguinte.
  3. Na página Termos de Licenciamento, leia a licença e selecione Aceito.
  4. Na página Pasta de Destino, altere ou mantenha a pasta de instalação predefinida e selecione Seguinte.
  5. Na página Opções de Configuração do Agente, escolha ligar o agente ao Azure Log Analytics e selecione Seguinte.
  6. Na página Azure Log Analytics, cole o ID da Área de Trabalho e a Chave da Área de Trabalho (Chave Primária) que copiou para o Bloco de Notas no procedimento anterior.
  7. Caso o computador deva reportar a uma área de trabalho do Log Analytics na cloud do Azure Government, selecione Azure US Government, na lista pendente Cloud do Azure. Se o computador precisar se comunicar por meio de um servidor proxy com o serviço Log Analytics, selecione Avançado e forneça a URL e o número da porta do servidor proxy.
  8. Depois de fornecer as definições de configuração necessárias, selecione Avançar. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Na página Pronto para Instalar, reveja as suas opções e selecione Instalar.
  10. Na página Configuração concluída com êxito, selecione Concluir.

Quando concluído, o agente do Log Analytics aparece no Painel de Controle do Windows e você pode revisar sua configuração e verificar se o agente está conectado.

Para obter mais informações sobre como instalar e configurar o agente, consulte Instalar o agente do Log Analytics em computadores Windows.

O serviço Log Analytics Agent coleta dados de eventos e desempenho, executa tarefas e outros fluxos de trabalho definidos em um pacote de gerenciamento. O Defender for Cloud amplia suas plataformas de proteção de carga de trabalho na nuvem integrando-se ao Microsoft Defender for Servers. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).

Para obter mais informações sobre o Microsoft Defender for Servers, consulte Onboard servers to the Microsoft Defender for Servers service.

Habilite o monitoramento do Microsoft Defender for Cloud de computadores Linux locais

  1. Retorne à guia Introdução conforme descrito anteriormente.
  2. Selecione Configurar em Adicionar novos computadores que não sejam do Azure. É apresentada uma lista das áreas de trabalho do Log Analytics. A lista deve incluir o Defender for Cloud-SentinelWorkspace que você criou.
  3. Na folha Direct Agent, em DOWNLOAD AND ONBOARD AGENT FOR LINUX, selecione copiar para copiar o comando wget.
  4. Abra o Bloco de Notas e, em seguida, cole este comando. Salve este arquivo em um local que você pode acessar a partir do seu computador Linux.

Nota

Nos sistemas operacionais Unix e Linux, o wget é uma ferramenta para download de arquivos não interativos da web. Ele suporta HTTPS, FTPs e proxies.

O agente Linux usa a estrutura Linux Audit Daemon. O Defender for Cloud integra funcionalidades dessa estrutura no agente do Log Analytics, o que permite que os registros de auditoria sejam coletados, enriquecidos e agregados em eventos usando o Log Analytics Agent para Linux. O Defender for Cloud adiciona continuamente novas análises que usam sinais Linux para detetar comportamentos maliciosos na nuvem e em máquinas Linux locais.

Para obter uma lista dos alertas do Linux, consulte a tabela de referência de alertas.

Instalar o agente Linux

Para instalar o agente nos computadores Linux de destino, siga estas etapas:

  1. No seu computador Linux, abra o ficheiro que guardou anteriormente. Selecione e copie todo o conteúdo, abra um console de terminal e cole o comando.
  2. Quando a instalação terminar, você poderá validar se o omsagent está instalado executando o comando pgrep. O comando retornará o identificador de processo omsagent (PID). Você pode encontrar os logs do agente em: /var/opt/microsoft/omsagent/"workspace id"/log/.

Pode levar até 30 minutos para que o novo computador Linux seja exibido no Defender for Cloud.

Habilitar o monitoramento do Microsoft Defender for Cloud de VMs do Azure Stack

Depois de integrar sua assinatura do Azure, você pode habilitar o Defender for Cloud para proteger suas VMs em execução no Azure Stack adicionando a extensão de VM Azure Monitor, Update and Configuration Management do mercado Azure Stack. Para tal:

  1. Retorne à guia Introdução conforme descrito anteriormente.
  2. Selecione Configurar em Adicionar novos computadores que não sejam do Azure. Uma lista de seus espaços de trabalho do Log Analytics é exibida e deve incluir o Defender for Cloud-SentinelWorkspace que você criou.
  3. Na folha Direct Agent, há um link para baixar o agente e chaves para o ID do espaço de trabalho usar durante a configuração do agente. Não é necessário baixar o agente manualmente. Ele será instalado como uma extensão de VM nas etapas a seguir.
  4. À direita de ID do espaço de trabalho, selecione Copiar e cole o ID no bloco de notas.
  5. À direita da Chave Primária, selecione Copiar e cole a chave no Bloco de Notas.

Habilitar o monitoramento do Defender for Cloud de VMs do Azure Stack

O Microsoft Defender for Cloud usa a extensão de VM Azure Monitor, Update and Configuration Management empacotada com o Azure Stack. Para habilitar a extensão Azure Monitor, Update and Configuration Management , siga estas etapas:

  1. Em uma nova guia do navegador, entre no portal do Azure Stack .
  2. Consulte a página Máquinas virtuais e selecione a máquina virtual que deseja proteger com o Defender for Cloud.
  3. Selecione Extensões. A lista de extensões de VM instaladas nessa VM é exibida.
  4. Selecione a guia Adicionar . A folha do menu Novo recurso é aberta e exibe a lista de extensões de VM disponíveis.
  5. Selecione a extensão Azure Monitor, Update and Configuration Management e, em seguida, selecione Criar. A folha de configuração da extensão de instalação é aberta.
  6. Na folha Instalar configuração de extensão, cole a ID do Espaço de Trabalho e a Chave do Espaço de Trabalho (Chave Primária) que você copiou no Bloco de Notas no procedimento anterior.
  7. Quando terminar de fornecer as definições de configuração necessárias, selecione OK.
  8. Quando a instalação da extensão for concluída, seu status será exibido como Provisionamento bem-sucedido. Pode levar até uma hora para que a VM apareça no portal do Defender for Cloud.

Para obter mais informações sobre como instalar e configurar o agente para Windows, consulte Instalar o agente usando o assistente de instalação.

Para solucionar problemas do agente Linux, consulte Como solucionar problemas com o agente do Log Analytics para Linux.

Agora, pode monitorizar as VMs do Azure e os computadores não pertencentes ao Azure num único local. O Azure Compute fornece uma visão geral de todas as VMs e computadores, juntamente com recomendações. Cada coluna representa um conjunto de recomendações e a cor representa as VMs ou computadores e o estado de segurança atual dessa recomendação. O Defender for Cloud também fornece deteções para esses computadores em alertas de segurança. Defender for Cloud list of systems monitored on the Compute blade

Estão representados dois tipos de ícone no painel Computação:

Purple computer icon that represents a non-azure monitored computer Computador não Azure

Blue terminal icon that represents an Azure monitored computer Computador do Azure

Nota

A segunda parte da arquitetura de referência conectará alertas do Microsoft Defender for Cloud e os transmitirá para o Microsoft Sentinel.

A função do Microsoft Sentinel é ingerir dados de diferentes fontes de dados e executar a correlação de dados entre essas fontes de dados. O Microsoft Sentinel aproveita o aprendizado de máquina e a IA para tornar a caça a ameaças, a deteção de alertas e as respostas a ameaças mais inteligentes.

Para integrar o Microsoft Sentinel, você precisa habilitá-lo e, em seguida, conectar suas fontes de dados. O Microsoft Sentinel vem com vários conectores para soluções da Microsoft, que estão disponíveis imediatamente e fornecem integração em tempo real, incluindo o Microsoft Defender for Cloud, soluções de Proteção contra Ameaças da Microsoft, fontes do Microsoft 365 (incluindo o Office 365), Microsoft Entra ID, Microsoft Defender for Servers, Microsoft Defender for Cloud Apps e muito mais. Além disso, existem conectores incorporados ao ecossistema de segurança mais amplo para soluções que não são da Microsoft. Você também pode usar o Common Event Format, syslog ou a API de Transferência de Estado Representacional para conectar suas fontes de dados ao Microsoft Sentinel.

Requisitos para integrar o Microsoft Sentinel com o Microsoft Defender for Cloud

  1. Uma assinatura do Microsoft Azure
  2. Um espaço de trabalho do Log Analytics que não é o espaço de trabalho padrão criado quando você habilita o Microsoft Defender for Cloud.
  3. Microsoft Defender para Cloud.

Todos os três requisitos devem estar em vigor se você trabalhou na seção anterior.

Pré-requisitos globais

  • Para habilitar o Microsoft Sentinel, você precisa de permissões de colaborador para a assinatura na qual o espaço de trabalho do Microsoft Sentinel reside.
  • Para usar o Microsoft Sentinel, você precisa de permissões de colaborador ou leitor no grupo de recursos ao qual o espaço de trabalho pertence.
  • Talvez você precise de permissões adicionais para conectar fontes de dados específicas. Você não precisa de permissões adicionais para se conectar ao Defender for Cloud.
  • O Microsoft Sentinel é um serviço pago. Para obter mais informações, consulte Preços do Microsoft Sentinel.

Ativar o Microsoft Sentinel

  1. Entre no portal do Azure com um usuário que tenha direitos de colaborador para o Defender for Cloud-Sentinelworkspace.
  2. Procure e selecione Microsoft Sentinel. In the Azure portal search for the term
  3. Selecione Adicionar.
  4. Na folha Microsoft Sentinel, selecione Defender for Cloud-Sentinelworkspace.
  5. No Microsoft Sentinel, selecione Conectores de dados no menu de navegação .
  6. Na galeria de conectores de dados, selecione Microsoft Defender for Cloud e selecione o botão Abrir página do conector. In Microsoft Sentinel showing the open Collectors page
  7. Em Configuração, selecione Conectar ao lado das assinaturas para as quais você deseja que os alertas sejam transmitidos para o Microsoft Sentinel. O botão Conectar estará disponível somente se você tiver as permissões necessárias e a assinatura do Defender for Cloud.
  8. Agora você deve observar o Status da Conexão como Conexão. Depois de se conectar, ele mudará para Conectado.
  9. Depois de confirmar a conectividade, você pode fechar as configurações do Defender for Cloud Data Connector e atualizar a página para observar alertas no Microsoft Sentinel. Pode levar algum tempo para que os logs comecem a ser sincronizados com o Microsoft Sentinel. Depois de se conectar, você observará um resumo de dados no gráfico Dados recebidos e o status de conectividade dos tipos de dados.
  10. Você pode selecionar se deseja que os alertas do Microsoft Defender for Cloud gerem incidentes automaticamente no Microsoft Sentinel. Em Criar incidentes, selecione Ativado para ativar a regra de análise padrão que cria automaticamente incidentes a partir de alertas. Em seguida, você pode editar essa regra em Análise, na guia Regras ativas.
  11. Para usar o esquema relevante no Log Analytics para os alertas do Microsoft Defender for Cloud, procure SecurityAlert.

Uma vantagem de usar o Microsoft Sentinel como seu SIEM é que ele fornece correlação de dados entre várias fontes, o que permite que você tenha uma visibilidade completa dos eventos relacionados à segurança da sua organização.

Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

Próximos passos

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack