Novidades do Microsoft Sentinel: Maio de 2026

Bem-vindo à edição de maio do O que há de novo no Microsoft Sentinel. As atualizações deste mês giram em torno de quatro pilares estratégicos: controle de acesso unificado baseado em função (RBAC), amplitude do ecossistema, segurança de agentes de IA e identidade de alta confiança.

TL;DR: A Microsoft liberou um pacote robusto de atualizações para o Sentinel, com destaque para o RBAC unificado e scoping por linha (GA), que elimina a necessidade de segmentação de workspaces para times de SOC. O catálogo de conectores ultrapassou 400, e o novo conector Agent 365 (preview) transforma telemetria de agentes de IA em sinais de segurança padronizados. Para empresas brasileiras que lidam com compliance LGPD e operações multi-tenant, essas mudanças simplificam a gestão de acesso e aceleram a migração de SIEM, reduzindo riscos em ambientes híbridos.

O RBAC unificado e o scoping em nível de linha agora estão disponíveis de forma geral, oferecendo às equipes de segurança um modelo de permissões granular e único em todo o Sentinel e no portal do Microsoft Defender, viabilizando a colaboração multi-time no SOC. O catálogo de conectores do Sentinel ultrapassou 400 conectores, expandindo a cobertura entre fontes de dados Microsoft e de terceiros, permitindo que clientes e parceiros integrem novos dados mais rapidamente com o Codeless Connector Framework (CCF). O conector Agent 365, agora em preview público, traz a telemetria de agentes de IA para o data lake do Sentinel como sinais padronizados de primeira classe, permitindo monitorar o comportamento dos agentes juntamente com atividades de identidade, endpoint e nuvem. Por fim, as integrações de parceiros do Entra Verified ID no Microsoft Security Store estão geralmente disponíveis, oferecendo verificação de identidade de alta confiança que torna a recuperação de contas comprometidas muito mais segura e reduz significativamente o risco de recomponente.

Continue lendo para a lista completa de atualizações do Sentinel em maio.

Inovações do Sentinel:

• Sentinel SIEM
• Sentinel data lake
• Microsoft Security Store

Como o RBAC unificado transforma a operação do SOC?

Unified role-based access controls e row-level scoping [Disponível de forma geral]

O Sentinel agora oferece a disponibilidade geral de duas poderosas capacidades de gerenciamento de acesso: RBAC Unificado e scoping de dados em nível de linha. Juntas, essas inovações fornecem um modelo consistente e de ponta a ponta para controlar quem pode acessar os dados e quais ações podem realizar — estendendo o gerenciamento unificado de permissões no portal do Defender, enquanto permitem visibilidade granular em nível de linha dentro de um único workspace do Sentinel.

Com o RBAC Unificado, as organizações podem simplificar e centralizar as permissões entre as workloads de segurança, reduzindo a sobrecarga operacional, enquanto o scoping em nível de linha permite a colaboração segura entre várias equipes, garantindo que os usuários vejam apenas os dados alinhados à sua função ou escopo. Este marco viabiliza operações de SOC multi-time mais escaláveis sem a necessidade de segmentação de workspace.

Tenant Groups [Preview público]

Gerenciar a segurança em vários locatários ficou mais simples. O Tenant Groups no portal multi-locatário do Microsoft Defender (MTO) oferece a provedores de serviços de segurança gerenciados (MSSPs), parceiros de serviços de nuvem (CSPs) e equipes de segurança multi-locatário uma forma flexível de organizar locatários em agrupamentos lógicos, como segmento de cliente, geografia ou prioridade operacional, e alternar entre visualizações instantaneamente com um clique. Essa experiência simplificada reduz o ruído, melhora o foco da investigação e se alinha à forma como as equipes realmente trabalham, respeitando as permissões e controles de acesso existentes. Saiba mais.

Integrações OOTB para automação do Sentinel [Preview público]

As integrações prontas para uso (OOTB) para automação do Sentinel trazem um catálogo centralizado para descobrir, configurar e gerenciar facilmente integrações Microsoft e de terceiros. Com uma configuração simples baseada em autenticação, os usuários podem adicionar rapidamente integrações e incorporá-las perfeitamente em playbooks. A experiência coloca as integrações OOTB e personalizadas lado a lado, com pesquisa inteligente, recomendações e prevenção de duplicatas para simplificar os fluxos de trabalho de automação de ponta a ponta. Saiba mais.

Aprimoramentos do UEBA [Preview público]

O UEBA do Microsoft Sentinel continua evoluindo com melhorias que simplificam o gerenciamento e expandem a cobertura de detecção.

• Uma guia UEBA dedicada na página de configurações do Sentinel consolida as configurações de UEBA e comportamentos, facilitando a localização e o gerenciamento da configuração. Saiba mais.
• Os insights e anomalias do UEBA agora suportam a tabela OktaV2_CL juntamente com a tabela Okta_CL existente, estendendo as detecções de atividades anômalas e falhas anômalas de MFA para clientes que usam o formato mais recente do conector Okta, sem exigir novos tipos de anomalia. Saiba mais.
• O UEBA estende a cobertura de GCP Audit Logs com cinco detecções de anomalias para atividades de login, ações privilegiadas, deployments de recursos, acesso a segredos/chaves KMS e uso de infraestrutura. Saiba mais.

Juntas, essas atualizações tornam o UEBA mais fácil de operar, estendendo sua visibilidade sobre sinais de identidade e comportamento de provedores de nuvem e identidade adicionais.

Leia o blog mais recente da equipe de pesquisa do Microsoft Defender para saber mais sobre o UEBA do Microsoft Sentinel e o empilhamento binário de recursos, que usa sinais binários claros para ajudar a estabelecer contexto comportamental e informar decisões de investigação e detecção.

Conector de Exportação TAXII de Inteligência de Ameaças [Disponível de forma geral]

O Sentinel suporta a exportação de inteligência de ameaças por meio do conector integrado de Exportação TAXII (Trusted Automated Exchange of Intelligence Information), oferecendo aos clientes uma forma padronizada de compartilhar objetos STIX (Structured Threat Information Expression) selecionados com plataformas TAXII 2.1 suportadas. Configurado a partir do portal do Defender, o conector gerencia a configuração do destino e a entrega da inteligência para plataformas externas. A capacidade suporta o compartilhamento de inteligência entre organizações para defesa coletiva e gerenciamento centralizado em ambientes multilocatário, com casos de uso em governo, infraestrutura crítica e grandes organizações distribuídas. Saiba mais.

Recursos de Estágio de Decisão para migração de SIEM para o Sentinel

A experiência de migração de SIEM com IA ajuda as equipes a analisar detecções, identificar fontes de dados e conectores necessários e planejar uma migração em fases para o Sentinel. Mas os clientes ainda precisam de ajuda para transformar essa análise em uma decisão clara. Para apoiar essa etapa, estamos apresentando dois novos recursos voltados para o cliente: o Guia de Decisão e Planejamento de Migração de SIEM para o Sentinel, que explica a jornada de migração, os resultados e os pontos de verificação de decisão antes da execução, e o FAQ do Cliente em Estágio de Decisão, que responde a perguntas comuns sobre interrupção, custo, operação dupla, cobertura de detecção e suporte à entrega. Juntos, esses recursos ajudam a tornar as conversas sobre migração mais concretas e a levar as equipes mais rapidamente da avaliação para um próximo passo mais claro e de menor risco.

Saiba mais:

• Leia o blog: Anúncio da experiência de migração de SIEM com IA
• Baixe o guia: Guia de decisão e planejamento
• Baixe o FAQ: FAQ do cliente em estágio de decisão
• Saiba mais: Documentação da experiência de migração de SIEM
• Registre-se para o AMA ao vivo (23 de junho às 9h PT): AMA ao vivo da Comunidade Tech sobre migração de SIEM

Como o data lake do Sentinel se torna o sistema de registro para agentes de IA?

400+ conectores de dados do Sentinel

O catálogo de conectores do Sentinel agora inclui mais de 400 conectores, fornecendo uma cobertura ampla e pronta para implantação entre fontes de dados Microsoft e de terceiros. Os clientes podem ingerir dados de segurança de forma flexível no nível de análise do Microsoft Sentinel ou no nível do data lake. O Codeless Connector Framework (CCF) e o agente construtor de conectores baseado em VS Code permitem que parceiros e clientes integrem novas fontes de dados mais rapidamente e escalem o catálogo. Descubra conectores no Centro de Conteúdo do Sentinel no portal do Defender ou crie conectores personalizados quando necessário. Saiba mais.

Conector Agent 365 [Preview público]

O conector Agent 365 transmite a telemetria do agente de IA do Agent 365 para o data lake do Sentinel, dando às equipes de SOC visibilidade sobre o comportamento do agente juntamente com sinais de identidade, endpoint e nuvem. Com o conector Agent 365 implementado, o data lake do Sentinel se torna o sistema de registro para a segurança do agente, transformando atividades como exposição de dados ou desvio de acesso em sinais de segurança de primeira classe que os analistas podem correlacionar, caçar e investigar.

A telemetria é normalizada e mapeada para os schemas padrão do Advanced Security Information Model (ASIM), pronta para análises e detecções, e as investigações de ponta a ponta podem ser executadas por meio de workflows KQL, graph e MCP. Instale o conector com um único clique no Centro de Conteúdo do Sentinel no portal do Defender. Saiba mais.

Suporte CCF para Azure Blob Storage [Preview público]

O Codeless Connector Framework (CCF) do Sentinel suporta o Azure Blob Storage como fonte de dados, fornecendo um padrão de ingestão projetado para dados de segurança de alto volume. Parceiros e clientes podem criar conectores CCF que leem do Blob Storage por meio de uma arquitetura durável que armazena picos em buffer, lida com backpressure e reduz o risco de perda de dados durante interrupções ou throttling, tornando a ingestão mais confiável para pipelines variáveis ou distribuídos. O padrão amplia a compatibilidade com parceiros que já transmitem logs para o Azure como parte de sua entrega de dados de auditoria, com Cloudflare e Netskope como adotantes iniciais. O App Assure fornece suporte adicional de engenharia para projetar, validar e remediar a integração do conector CCF do Azure Blob Storage. Saiba mais.

Filtragem e divisão de dados [Disponível de forma geral]

No RSAC, anunciamos as capacidades integradas de filtragem e divisão no Microsoft Sentinel, que agora estão geralmente disponíveis. À medida que as equipes de segurança ingerem mais dados, é importante otimizar o pipeline de dados de segurança, controlando quais dados são ingeridos e em qual nível. Com a filtragem e divisão nativamente integradas ao portal do Defender, as equipes de segurança podem moldar os dados antes que cheguem ao Sentinel, sem alternar ferramentas ou gerenciar arquivos JSON personalizados. Usando transformações simples baseadas em KQL diretamente na UI, você pode filtrar eventos de baixo valor e rotear dados de forma inteligente, tornando a otimização da ingestão mais rápida, intuitiva e fácil de gerenciar em escala.

• Filtragem no momento da ingestão permite remover eventos de baixo valor ou benignos para reduzir ruído, diminuir o processamento desnecessário e garantir que dados de alto sinal conduzam as detecções e investigações.
• Divisão permite o roteamento inteligente de dados entre o nível de análise e o nível do data lake com base na relevância e no uso.

Juntas, essas capacidades ajudam a equilibrar custo e desempenho enquanto escalam a ingestão de dados de forma sustentável. Saiba mais.

Transição de seus conectores do Sentinel para o Codeless Connector Framework (CCF) [Ação necessária]

A Azure anunciou que a API legada de coleta de dados do Azure será descontinuada em 14 de setembro de 2026. O Sentinel recomenda que os clientes revisem os conectores existentes e atualizem para as versões mais recentes do Codeless Connector Framework (CCF) para garantir o acesso contínuo às capacidades mais recentes do Sentinel. O CCF oferece uma experiência SaaS totalmente gerenciada com monitoramento de saúde integrado, gerenciamento centralizado de credenciais e desempenho aprimorado.

Como a verificação de identidade de alta confiança reduz o risco de recomponente?

Integrações de parceiros do Entra Verified ID via Security Store [Disponível de forma geral]

O Security Store ajuda as organizações a proteger uma das etapas mais críticas na resposta a incidentes: a recuperação segura de conta após um comprometimento. Depois que uma equipe de SOC detecta e contém uma potencial tomada de conta (ATO), restaurar o acesso requer alta confiança de que o usuário é legítimo. Por meio de integrações de parceiros com IDEMIA, AU10TIX, CLEAR, 1Kosmos e WhoAmI, os clientes podem estender o Entra Verified ID com verificação de identidade de alta confiança (como verificações de documentos e biométricas) para validar usuários durante a recuperação, integração ou fluxos de trabalho de helpdesk. Isso ajuda a substituir métodos alternativos mais fracos que os atacantes frequentemente exploram, permitindo que as equipes de SOC e TI restaurem o acesso com segurança, reduzindo o risco de recomponente. Saiba mais.

Agente de Triagem de Segurança de Dados do Purview no Defender [Preview público]

O Security Store alimenta a forma como os clientes descobrem e ativam agentes de segurança de dados no Defender e no Microsoft Purview, começando com o Agente de Triagem de Segurança de Dados. Essa capacidade fornece resumos gerados por IA e priorização de alertas de Prevenção de Perda de Dados (DLP) diretamente no Defender XDR, ajudando as equipes de segurança a reduzir o ruído e focar nos incidentes que mais importam. Ao unificar a descoberta e a ativação por meio do Security Store, os clientes podem implantar agentes de segurança de dados em menos etapas e permitir fluxos de trabalho mais integrados entre superfícies de ameaças e proteção de dados. Saiba mais.

Recursos adicionais

Blogs e documentação:

• Da ideia à produção: Construindo o Security Store Advisor com um SDLC agentic

Webinars futuros:

• 4 de junho: Segurança de ponta a ponta na era da IA Agentic
• 10 de junho: Implantar, otimizar e implementar proteção contra ameaças com o Sentinel
• 10 de junho: Fundamentos de Segurança para a Adoção de IA
• 24 de junho: Segurança Moderna Simplificada: Fique à Frente das Ameaças com o Sentinel

Eventos futuros:

• 2 a 3 de junho: Microsoft Build, São Francisco (e online gratuito)
  • Keynote do CEO Satya Nadella no Dia 1
  • Mais de 90 sessões, especialistas em Segurança Microsoft no local
  • Registro: build.microsoft.com

Perguntas Frequentes

• O que muda com o RBAC unificado e o row-level scoping no Sentinel?
  Com a disponibilidade geral, o RBAC unificado permite gerenciar permissões de forma consistente entre o Sentinel e o Defender, enquanto o row-level scoping garante que analistas vejam apenas dados relevantes ao seu escopo, sem precisar segmentar workspaces. Isso viabiliza operações de SOC multi-time mais escaláveis e seguras.

• Como o conector Agent 365 impacta a segurança de agentes de IA?
  O conector, agora em preview, transforma a telemetria de agentes de IA (como exposição de dados ou desvios de acesso) em sinais de segurança padronizados no data lake do Sentinel. Isso permite correlacionar o comportamento dos agentes com identidade, endpoint e nuvem, encerrando investigações com KQL, graph e workflows MCP.

• O que significa ultrapassar 400 conectores no Sentinel para empresas no Brasil?
  Ter mais de 400 conectores significa que é possível integrar uma gama muito maior de fontes de dados Microsoft e third-party sem esforço manual. Para empresas brasileiras, isso acelera a centralização de logs de ambientes híbridos e multicloud, facilitando a adequação à LGPD com um data lake unificado.

• Preciso migrar meus conectores existentes para o Codeless Connector Framework (CCF)?
  Sim. A Microsoft anunciou a deprecação da API legada de coleta de dados para 14 de setembro de 2026. A recomendação é migrar para o CCF, que oferece uma experiência SaaS gerenciada, com monitoramento de saúde integrado e gerenciamento centralizado de credenciais, garantindo acesso contínuo às novas capacidades do Sentinel.

• Como o Tenant Groups ajuda MSSPs no Brasil?
  Tenant Groups (em preview) permite que provedores de serviços de segurança (MSSPs) organizem locatários em grupos lógicos (por segmento, geografia ou prioridade) e alternem entre eles com um clique, respeitando permissões existentes. Isso reduz o ruído e foca as investigações, algo crítico para equipes que gerenciam múltiplos clientes com ambientes regulados no Brasil.

---

Artigo originalmente publicado por Sowmys em Azure Updates - Latest from Azure Charts.