TL;DR: A Microsoft unificará Sentinel e Defender até 31/03/2027. Não se trata apenas de nova interface: é uma modernização do SOC com fila unificada de incidentes, data lake para retenção de baixo custo, correlação XDR, Security Copilot e novas capacidades de automação. Não há migração de workspaces nem custo adicional de licenciamento. Empresas que migrarem cedo ganham vantagem operacional imediata.
Parte 1 de 6 – A Série de Transição USX
Co-escrito com Lizet Pena, Caroline Mutua, Alvin Kua e Marco Sudahl
As equipes de operações de segurança hoje enfrentam demandas crescentes: responder mais rápido, gerenciar volumes cada vez maiores de dados, reduzir complexidade operacional, ficar à frente de ameaças em evolução e equilibrar custo e eficiência.
Por isso a Microsoft está incorporando o Microsoft Sentinel ao Microsoft Defender: para reunir SIEM, XDR, inteligência de ameaças, IA e automação em uma única experiência.
Até 31 de março de 2027, todos os clientes do Microsoft Sentinel serão automaticamente migrados para o Defender. Mas essa transição vai muito além de uma nova interface. É uma oportunidade de modernizar o SOC, simplificar operações e desbloquear capacidades projetadas para a era de operações de segurança impulsionadas por IA.
Este post inaugura uma série de seis partes para ajudá-lo a navegar a transição com confiança, entender o que muda (e o que não muda) e maximizar o valor ao longo do caminho.
Por que este post, e por que agora?
Este é o primeiro de seis posts que orientam os clientes a migrar sua experiência do Sentinel do portal Azure para o Defender:
- Parte 1 – Além de uma mudança de portal (Você está aqui)
○ Parte 2 – Anatomia da mudança: Incidentes, alertas, correlação e dados
○ Parte 3 – Detecção e automação, reimaginadas
○ Parte 4 – A mudança de governança: RBAC, URBAC, data lake do Sentinel e MSSP
○ Parte 5 – Seu playbook de prontidão: Adoption helper, custos, APIs e checklist
○ Parte 6 – O SOC com IA em primeiro lugar: Copilot, UEBA, inteligência de ameaças e otimização do SOC
A mudança estratégica em um parágrafo
O Defender representa a convergência das capacidades de segurança da Microsoft em uma única experiência operacional. Em vez de alternar entre ferramentas e workflows desconectados, as equipes de segurança podem trabalhar a partir de um ambiente integrado que abrange SIEM, XDR, inteligência de ameaças, investigação e resposta com IA, correlação entre domínios e automação do SOC. O Defender ajuda analistas a investigar incidentes mais rápido, permite melhor colaboração entre equipes e reduz o atrito operacional em todo o ciclo de vida da segurança. Mais importante, cria uma base para o futuro das operações de segurança assistidas por IA e agentes autônomos.
Por que migrar cedo?
Embora a transição se torne obrigatória em 2027, organizações que começam antes podem começar a colher valor imediatamente.
Migrar para o Defender hoje ajuda as organizações a:
- Simplificar workflows de analistas com uma fila unificada de incidentes
- Reduzir o tempo de investigação por meio de correlação avançada entre produtos
- Aproveitar as experiências do Security Copilot integradas ao Defender
- Simplificar operações entre produtos Sentinel e Defender
- Modernizar modelos de governança e gerenciamento de acesso
- Preparar o SOC para investigação e resposta orientadas por IA
- Aproveitar as últimas inovações.
Em vez de tratar a migração como um prazo de conformidade, muitos clientes estão encarando-a como uma iniciativa estratégica de modernização do SOC.
O que muda e o que permanece igual
Um dos pontos mais importantes é que esta não é uma migração do tipo “rasgar e substituir”. Os elementos fundamentais do Microsoft Sentinel permanecem intactos enquanto a experiência operacional evolui.
| Área | O que muda | O que permanece |
|---|---|---|
| Plano de gerenciamento | Defender se torna a experiência principal | O portal do Sentinel no Azure permanece utilizável até 31/03/2027 |
| Modelo de incidente | Fila unificada de incidentes entre Sentinel + Defender, correlação XDR, visualização attack story | Log Analytics continua sendo a camada de armazenamento principal |
| Controle de acesso | RBAC unificado (URBAC) preferido para acesso granulares entre produtos | Azure RBAC continua funcionando até a migração para URBAC; service principals não são suportados no URBAC |
| Dados | Data lake para retenção de longo prazo e análises avançadas | Nenhuma migração de workspace necessária |
| Custo | Data lake pode reduzir significativamente o custo ao mover logs de alto volume para fora do tier de análise, permitindo retenção de até 12 anos a custo menor | Nenhuma mudança no modelo de negócios após a migração para o Defender |
O principal ponto: os clientes não estão reconstruindo seus ambientes do zero. Os investimentos existentes continuam funcionando enquanto a camada operacional se torna mais integrada e inteligente.
O que o Defender desbloqueia
A transição para o Defender foi projetada para desbloquear capacidades difíceis de alcançar em ambientes isolados.
Security Copilot: O Defender permite integração mais profunda com o Security Copilot, incluindo:
- Triagem de incidentes assistida por IA
- Workflows de investigação em linguagem natural
- Recomendações de resposta guiadas
- Experiências de linguagem natural para KQL
As capacidades do Copilot ajudam a reduzir a fadiga do analista e acelerar os workflows de investigação.
Correlação unificada: Com um único mecanismo para todos os seus alertas, você pode criar incidentes mais ricos e contextuais que abrangem identidades, endpoints, e-mail, aplicativos em nuvem e fontes de dados. Isso significa menos tempo costurando alertas manualmente e mais tempo focado em incidentes de alta confiança.
Data lake: O data lake do Sentinel introduz nova flexibilidade para retenção de longo prazo, análises em larga escala e cenários de investigação entre workspaces. Para muitos clientes, isso cria oportunidades para equilibrar visibilidade, conformidade e custo de forma mais eficaz.
Gerenciamento de casos: Colabore entre equipes para responder a incidentes.
Playbook generator: Crie automações de workflow personalizadas usando linguagem natural.
Sentinel graph: Visualize relacionamentos entre usuários, dispositivos e atividades para investigar caminhos de ataque, raio de explosão e causa raiz.
Sentinel MCP server: Permite que agentes de IA e Copilot consultem o Sentinel em linguagem natural por meio de uma interface unificada e segura de Model Context Protocol.
Triage agent: Agente autônomo do Security Copilot que faz triagem de alertas de alto volume (phishing, identidade, nuvem) com raciocínio de IA e justificativa transparente.
O que isso significa para você?
Diferentes papéis sentem essa transição de maneiras distintas. Use esta tabela como orientação rápida; os próximos posts aprofundarão cada ponto.
| Papel | O que observar |
|---|---|
| Analista de segurança | Nova fila de incidentes, visualização attack story e triagem com Copilot – sua superfície do dia a dia muda mais. |
| Engenheiro de detecção | Detecções personalizadas se tornam a direção futura; as regras de análise continuam funcionando, mas o modelo está evoluindo de SIEM para detecção XDR. |
| Gerente de SOC | Governança URBAC, data lake para raio de explosão e automação centrada em incidentes remodelam a forma como você gerencia o SOC. |
| MSSP e Parceiro | Visão multi-tenant (até 100 tenants), planejamento para até 1.000 tenants, fila unificada de incidentes, modelo RBAC duplo – Lighthouse ainda é necessário para recursos do Azure. |
Esclarecendo equívocos comuns
- “A transição é opcional.”
Não. Os clientes devem migrar sua experiência até 31 de março de 2027. - “Precisamos migrar nossos workspaces.”
Você não precisa migrar workspaces do Log Analytics apenas para usar o Microsoft Sentinel no Defender. - “Isso é apenas uma mudança de interface.”
O Defender introduz melhorias operacionais e arquitetônicas significativas em investigação, correlação, governança, automação e workflows assistidos por IA. - “A transição aumenta os custos.”
Não há cobrança adicional de licenciamento apenas por usar o Sentinel no Defender. Capacidades opcionais – como Security Copilot ou uso do data lake – podem gerar custos adicionais dependendo da adoção e dos padrões de uso.
Como começar
- Alinhe suas partes interessadas: Informe a liderança do SOC e os líderes de engenharia de detecção sobre o prazo de 31 de março de 2027 e a narrativa da mudança de plataforma.
- Forme uma equipe de prontidão: Identifique um pequeno grupo de trabalho (analista + engenheiro + gerente de SOC + proprietário de identidade) para liderar o esforço de preparação.
- Explore o Defender: Comece a se familiarizar com o Defender e seus workflows.
- Avalie sua estratégia de dados: Revise como o data lake pode se encaixar na sua estratégia futura.
- Acompanhe a Tech Community: Obtenha mais informações nesta série.
Recursos adicionais
Leitura complementar: O post da Microsoft Security Community Migrate Sentinel to Defender – Why it is a security architecture decision, not just a portal change aborda a mesma tese sob uma perspectiva arquitetural. Para a documentação oficial de transição, comece com o artigo da Microsoft Learn Connect Microsoft Sentinel to the Microsoft Defender portal.
Continue a série
Este é o primeiro de seis posts. Os demais serão publicados nos próximos dias. Cada um é independente, então você pode lê-los na ordem em que forem publicados ou pular para o ângulo que mais importa para você assim que estiver disponível:
Parte 2 – Anatomy of the change: Incidents, alerts, correlation, and data
Se você quer os mecanismos no nível de componente: como o mecanismo de correlação XDR substitui o Fusion, por que os incidentes não são mais centrados em alertas e o que muda (e o que não muda) na sua arquitetura de dados.
Parte 3 – Detection and automation, reimagined
Se você cria detecções ou gerencia automação: a mudança de regras de análise para detecções personalizadas, a transição de SOAR baseado em alertas para SOAR baseado em incidentes e como a caça evolui.
Parte 4 – The governance shift: RBAC, URBAC, Sentinel data lake, and MSSP
Se você é responsável por identidade, acesso ou operações multi-tenant: a mudança do Azure RBAC para o URBAC, o data lake do Sentinel, melhor identificação de raio de explosão e o modelo MSSP.
Parte 5 – Your readiness playbook: Adoption helper, costs, APIs, and the checklist
Se você precisa de um plano prático: um passo a passo do Adoption helper do Defender, realidade de custos, estratégia de API e o checklist de migração.
Parte 6 – The AI-first SOC: Copilot, UEBA, Threat intelligence, and SOC optimization
Se você quer ver o destino: como Security Copilot, UEBA, inteligência de ameaças e otimização do SOC se combinam em um modelo operacional fundamentalmente diferente.
Artigo originalmente publicado por Mohit_Kumar1 (Microsoft) em Azure Updates - Latest from Azure Charts.
Perguntas Frequentes
-
A migração do Sentinel para o Defender é obrigatória?
Sim, todos os clientes do Microsoft Sentinel serão automaticamente migrados até 31 de março de 2027. Não é opcional – a transição é compulsória, mas pode ser feita de forma antecipada. -
Preciso migrar meus workspaces do Log Analytics?
Não. Você não precisa migrar seus workspaces do Log Analytics para usar o Microsoft Sentinel no Defender. A camada de armazenamento principal continua sendo o Log Analytics. -
A migração aumenta os custos com licenciamento?
Não há custo adicional de licenciamento simplesmente por usar o Sentinel no Defender. No entanto, capacidades opcionais como Security Copilot ou uso do data lake podem gerar custos extras, dependendo da adoção. -
Essa é apenas uma mudança de interface?
Não. O Defender traz melhorias operacionais e arquitetônicas significativas: correlação XDR unificada, governança com URBAC, data lake para retenção de longo prazo, automação baseada em incidentes e integração profunda com Security Copilot e agentes de IA. -
O que muda no dia a dia do analista de segurança?
O analista ganha uma nova fila unificada de incidentes, visualização de attack story e triagem assistida por Copilot. A investigação se torna mais rápida e contextual, reduzindo a necessidade de alternar entre ferramentas desconectadas.
