Avaliar e Microsoft Defender XDR segurança do piloto
Aplica-se a:
- Microsoft Defender XDR
Como funciona esta série de artigos
Esta série foi concebida para o ajudar durante todo o processo de configuração de um ambiente XDR de avaliação, ponto a ponto, para que possa avaliar as funcionalidades e capacidades do Microsoft Defender XDR e até promover o ambiente de avaliação diretamente para produção quando estiver pronto.
Se não estiver familiarizado com a segurança XDR, pode analisar os 7 artigos ligados desta série para compreender o quão abrangente é a solução.
- Como criar o ambiente
- Configurar ou saber mais sobre cada tecnologia deste Microsoft XDR
- Como investigar e responder com este XDR
- Promover o ambiente de avaliação para produção
O que é o XDR e o Microsoft Defender XDR?
A segurança XDR é um passo em frente na cibersegurança porque retira os dados de ameaças de sistemas que outrora foram isolados e unifica-os para que possa ver padrões e agir mais rapidamente.
Por exemplo, o Microsoft XDR unifica o ponto final (deteção e resposta de pontos finais ou EDR), e-mail, aplicação e segurança de identidade num único local.
Microsoft Defender XDR é uma solução de deteção e resposta eXtended (XDR) que recolhe, correlaciona e analisa automaticamente dados de sinalização, ameaças e alertas de todo o seu ambiente do Microsoft 365, incluindo pontos finais, e-mail, aplicações e identidades. Tira partido da inteligência artificial (IA) e da automatização para parar automaticamente os ataques e remediar os recursos afetados para um estado seguro.
Recomendações da Microsoft para avaliar a segurança Microsoft Defender XDR
A Microsoft recomenda que crie a sua avaliação numa subscrição de produção existente do Office 365. Desta forma, irá obter informações do mundo real imediatamente e pode otimizar as definições para trabalhar contra as ameaças atuais no seu ambiente. Depois de ganhar experiência e se sentir confortável com a plataforma, promova cada componente, um de cada vez, para produção.
A anatomia de um ataque de cibersegurança
Microsoft Defender XDR é um conjunto de defesa empresarial baseado na cloud, unificado, pré e pós-falha. Coordena a prevenção, deteção, investigação e resposta entre pontos finais, identidades, aplicações, e-mail, aplicações colaborativas e todos os respetivos dados.
Nesta ilustração, está em curso um ataque. O e-mail de phishing chega à Caixa de Entrada de um funcionário da sua organização, que abre o anexo de e-mail sem saber. Esta ação instala software maligno, o que leva a uma cadeia de eventos que pode terminar com o roubo de dados confidenciais. Mas neste caso, Defender para Office 365 está em funcionamento.
Na ilustração:
- Proteção do Exchange Online, parte do Microsoft Defender para Office 365, consegue detetar o e-mail de phishing e utilizar regras de fluxo de correio (também conhecidas como regras de transporte) para garantir que nunca chega à Caixa de Entrada.
- Defender para Office 365 utiliza Anexos Seguros para testar o anexo e determinar se é prejudicial, para que o e-mail recebido não seja acionável pelo utilizador ou as políticas impeçam que o correio chegue.
- O Defender para Endpoint gere dispositivos que se ligam à rede empresarial e detetam vulnerabilidades de dispositivos e de rede que, de outra forma, poderiam ser exploradas.
- O Defender para Identidade toma nota das alterações repentinas da conta, como o escalamento de privilégios ou o movimento lateral de alto risco. Também comunica problemas de identidade facilmente explorados, como a delegação kerberos sem restrições, para correção por parte da equipa de segurança.
- Microsoft Defender for Cloud Apps nota um comportamento anómalo, como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e comunica-os à equipa de segurança.
Microsoft Defender XDR componentes protegem dispositivos, identidade, dados e aplicações
Microsoft Defender XDR é constituído por estas tecnologias de segurança, operando em conjunto. Não precisa de todos estes componentes para beneficiar das capacidades do XDR e do Microsoft Defender XDR. Também irá perceber ganhos e eficiências através da utilização de um ou dois.
| Componente | Descrição | Material de referência |
|---|---|---|
| Microsoft Defender para Identidade | Microsoft Defender para Identidade utiliza sinais do Active Directory para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. | O que é o Microsoft Defender para Identidade? |
| Proteção do Exchange Online | Proteção do Exchange Online é o serviço de reencaminhamento e filtragem SMTP baseado na cloud nativo que ajuda a proteger a sua organização contra spam e software maligno. | descrição geral do Proteção do Exchange Online (EOP) – Office 365 |
| Microsoft Defender para Office 365 | Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. | Microsoft Defender para Office 365 - Office 365 |
| Microsoft Defender para Endpoint | Microsoft Defender para Endpoint é uma plataforma unificada para proteção de dispositivos, deteção pós-falha, investigação automatizada e resposta recomendada. | Microsoft Defender para Endpoint - Segurança do Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps é uma solução abrangente entre SaaS que dá visibilidade profunda, controlos de dados fortes e proteção contra ameaças melhorada às suas aplicações na cloud. | O que é o Defender para Cloud Apps? |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu ambiente. Estes dados são utilizados por Microsoft Entra ID para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. Microsoft Entra ID Protection é licenciado separadamente do Microsoft Defender XDR. Está incluído no Microsoft Entra ID P2. | O que é o Identity Protection? |
arquitetura de Microsoft Defender XDR
O diagrama abaixo ilustra a arquitetura de alto nível para componentes chave Microsoft Defender XDR e integrações. A arquitetura detalhada para cada componente do Defender e cenários de casos de utilização é fornecida ao longo desta série de artigos.
Nesta ilustração:
- Microsoft Defender XDR combina os sinais de todos os componentes do Defender para fornecer deteção e resposta alargadas (XDR) entre domínios. Isto inclui uma fila de incidentes unificada, resposta automatizada para parar ataques, autorrecuperação (para dispositivos comprometidos, identidades de utilizador e caixas de correio), investigação de ameaças cruzadas e análise de ameaças.
- Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Partilha sinais resultantes destas atividades com Microsoft Defender XDR. Proteção do Exchange Online (EOP) está integrado para fornecer proteção ponto a ponto para e-mails e anexos recebidos.
- Microsoft Defender para Identidade recolhe sinais de servidores com Serviços Federados do Active Directory (AD FS) e Active Directory no local Domain Services (AD DS). Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
- Microsoft Defender para Endpoint recolhe sinais de e protege os dispositivos utilizados pela sua organização.
- Microsoft Defender for Cloud Apps recolhe sinais da utilização de aplicações na cloud pela sua organização e protege os dados que fluem entre o seu ambiente e estas aplicações, incluindo aplicações na cloud aprovadas e não aprovadas.
- Microsoft Entra ID Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu ambiente. Estes dados são utilizados por Microsoft Entra ID para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. Microsoft Entra ID Protection é licenciado separadamente do Microsoft Defender XDR. Está incluído no Microsoft Entra ID P2.
O Microsoft SIEM e o SOAR podem utilizar dados de Microsoft Defender XDR
Componentes de arquitetura opcionais adicionais não incluídos nesta ilustração:
- Os dados de sinal detalhados de todos os componentes Microsoft Defender XDR podem ser integrados no Microsoft Sentinel e combinados com outras origens de registo para oferecer capacidades e informações completas de SIEM e SOAR.
- Para obter mais informações sobre como utilizar o Microsoft Sentinel, um SIEM do Azure, com Microsoft Defender XDR como um XDR, veja este artigo Descrição geral e os passos de integração do Microsoft Sentinel e Microsoft Defender XDR.
- Para obter mais informações sobre SOAR no Microsoft Sentinel (incluindo ligações para manuais de procedimentos no Repositório do GitHub do Microsoft Sentinel), leia este artigo.
O processo de avaliação para Microsoft Defender XDR cibersegurança
A Microsoft recomenda a ativação dos componentes do Microsoft 365 Defender pela ordem ilustrada:
A tabela seguinte descreve esta ilustração.
| Número de Série | Passo | Descrição |
|---|---|---|
| 1 | Criar o ambiente de avaliação | Este passo garante que tem a licença de avaliação para Microsoft Defender XDR. |
| 2 | Ativar o Defender para Identidade | Reveja os requisitos de arquitetura, ative a avaliação e veja tutoriais para identificar e remediar diferentes tipos de ataque. |
| 3 | Ativar Defender para Office 365 | Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. Este componente inclui Proteção do Exchange Online e, por isso, irá realmente avaliar ambos aqui. |
| 4 | Ativar o Defender para Ponto Final | Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. |
| 5 | Ativar Microsoft Defender for Cloud Apps | Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. |
| 6 | Investigar e lidar com ameaças | Simular um ataque e começar a utilizar as capacidades de resposta a incidentes. |
| 7 | Promover a avaliação para produção | Promova os componentes do Microsoft 365 para produção um a um. |
Esta ordem é geralmente recomendada e concebida para tirar partido do valor das capacidades rapidamente com base na quantidade de esforço normalmente necessário para implementar e configurar as capacidades. Por exemplo, Defender para Office 365 pode ser configurado em menos tempo do que o necessário para inscrever dispositivos no Defender para Endpoint. É claro que deve priorizar os componentes para satisfazer as suas necessidades empresariais e pode ativá-los por uma ordem diferente.
Ir para o Passo Seguinte
Saiba mais e/ou crie o Ambiente de Avaliação do Microsoft Defender XDR
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários