Avaliar e testar o Microsoft 365 Defender
Aplica-se a:
- Microsoft 365 Defender
Como esta série de artigos funciona
Essa série de artigos foi projetada para fazer você passar por todo o processo de configuração de um ambiente XDR de avaliação, de ponta a ponta, para que você possa avaliar os recursos e os recursos do Microsoft 365 Defender e até mesmo promover o ambiente de avaliação diretamente para produção quando e se estiver pronto.
Se você for novo a pensar em XDR, poderá examinar esses 7 artigos vinculados para ter uma ideia de como a solução é abrangente.
- Como criar o ambiente
- Configurar ou aprender sobre cada tecnologia deste Microsoft XDR
- Como investigar e responder usando este XDR
- Promover o ambiente de avaliação para produção
Microsoft 365 Defender é uma solução de segurança cibernética do Microsoft XDR
Microsoft 365 Defender é uma solução XDR (detecção e resposta eXtended) que coleta automaticamente, correlaciona e analisa dados de sinal, ameaça e alerta de todo o seu ambiente Microsoft 365, incluindo ponto de extremidade, email, aplicativos e identidades. Ele aproveita a inteligência artificial (AI) e a automação para interromper automaticamente os ataques e remediar os ativos afetados em um estado seguro.
Pense no XDR como a próxima etapa na segurança, unificando o ponto de extremidade (detecção e resposta de ponto de extremidade ou EDR), email, aplicativo e segurança de identidade em um só lugar.
Recomendações da Microsoft para avaliar Microsoft 365 Defender
A Microsoft recomenda que você crie sua avaliação em uma assinatura de produção existente de Office 365. Dessa forma, você receberá informações do mundo real imediatamente e poderá ajustar as configurações para funcionar contra ameaças atuais em seu ambiente. Depois de ganhar experiência e se sentir confortável com a plataforma, basta promover cada componente, um de cada vez, para produção.
A anatomia de um ataque de segurança cibernética
Microsoft 365 Defender é um pacote de defesa empresarial baseado em nuvem, unificado, pré e pós-violação. Ele coordena a prevenção, a detecção*, a* investigação e a resposta entre pontos de extremidade, identidades, aplicativos, email, aplicativos colaborativos e todos os seus dados.
Nesta ilustração, um ataque está em andamento. O email de phishing chega à caixa de entrada de um funcionário em sua organização, que abre sem saber o anexo de email. Isso instala malware, o que leva a uma cadeia de eventos que podem terminar com o roubo de dados confidenciais. Mas, nesse caso, o Defender para Office 365 está em operação.
Na ilustração:
- Proteção do Exchange Online, parte do Microsoft Defender para Office 365, pode detectar o email de phishing e usar regras de fluxo de emails para garantir que ele nunca chegue à Caixa de Entrada.
- O Defender para Office 365 anexos seguros testa o anexo e determina se ele é prejudicial, portanto, o email que chega não é ativos pelo usuário ou as políticas impedem que o email chegue.
- O Defender for Endpoint gerencia dispositivos que se conectam à rede corporativa e detectam vulnerabilidades de dispositivo e rede que podem ser exploradas de outra forma.
- O Defender for Identity observa alterações repentinas na conta, como escalonamento de privilégios ou movimento lateral de alto risco. Ele também relata problemas de identidade facilmente explorados, como a delegação Kerberos não restrita, para correção pela equipe de segurança.
- O Microsoft Defender para Aplicativos na Nuvem percebe comportamentos anômalos, como viagem impossível, acesso a credenciais e download incomum, compartilhamento de arquivos ou atividade de encaminhamento de email e os relata à equipe de segurança.
Microsoft 365 Defender componentes proteger dispositivos, identidade, dados e aplicativos
Microsoft 365 Defender é feita dessas tecnologias de segurança, operando em tandem. Você não precisa de todos esses componentes para se beneficiar dos recursos de XDR e Microsoft 365 Defender. Você também perceberá ganhos e eficiências usando um ou dois.
| Componente | Descrição | Material de referência |
|---|---|---|
| Microsoft Defender para Identidade? | O Microsoft Defender for Identity usa sinais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. | O que é o Microsoft Defender para Identidade? |
| Proteção do Exchange Online | Proteção do Exchange Online é o serviço nativo de retransmissão e filtragem SMTP baseado em nuvem que ajuda a proteger sua organização contra spam e malware. | Proteção do Exchange Online (EOP) visão geral - Office 365 |
| Microsoft Defender para Office 365 | O Microsoft Defender para Office 365 protege sua organização contra ameaças mal-intencionadas colocadas por mensagens de email, links (URLs) e ferramentas de colaboração. | Microsoft Defender para Office 365 - Office 365 |
| Microsoft Defender para Ponto de Extremidade | O Microsoft Defender for Endpoint é uma plataforma unificada para proteção de dispositivos, detecção pós-violação, investigação automatizada e resposta recomendada. | Microsoft Defender para Ponto de Extremidade - Windows segurança |
| Microsoft Defender for Cloud Apps | O Microsoft Defender para Aplicativos na Nuvem é uma solução abrangente entre SaaS, trazendo visibilidade profunda, controles de dados fortes e proteção aprimorada contra ameaças para seus aplicativos de nuvem. | O que é o Defender for Cloud Apps? |
| Azure AD Identity Protection | A Proteção de Identidade do Azure AD avalia os dados de risco de bilhões de tentativas de entrar e usa esses dados para avaliar o risco de cada login em seu ambiente. Esses dados são usados pelo Azure AD para permitir ou impedir o acesso à conta, dependendo de como as políticas de Acesso Condicional são configuradas. A Proteção de Identidade do Azure AD é licenciada separadamente do Microsoft 365 Defender. Ele está incluído com Azure Active Directory Premium P2. | O que é a Proteção de Identidade? |
Microsoft 365 Defender arquitetura
O diagrama a seguir ilustra a arquitetura de alto nível para componentes e integrações de Microsoft 365 Defender chave. Arquitetura detalhada para cada componente do Defender e cenários de caso de uso são fornecidas ao longo desta série de artigos.
Nesta ilustração:
- Microsoft 365 Defender combina os sinais de todos os componentes do Defender para fornecer detecção e resposta estendida (XDR) entre domínios. Isso inclui uma fila de incidentes unificada, resposta automatizada para parar ataques, auto-recuperação (para dispositivos comprometidos, identidades de usuário e caixas de correio), busca entre ameaças e análise de ameaças.
- O Microsoft Defender para Office 365 protege sua organização contra ameaças maliciosas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. Ele compartilha sinais resultantes dessas atividades com Microsoft 365 Defender. Proteção do Exchange Online (EOP) é integrado para fornecer proteção de ponta a ponta para emails e anexos de entrada.
- O Microsoft Defender for Identity coleta sinais de servidores executando o AD FS (Serviços Federados do Active Directory) e os Serviços de Domínio do Active Directory (AD DS) locais. Ele usa esses sinais para proteger seu ambiente de identidade híbrida, incluindo a proteção contra hackers que usam contas comprometidas para se mover lateralmente entre estações de trabalho no ambiente local.
- O Microsoft Defender para Ponto de Extremidade coleta sinais e protege dispositivos usados pela sua organização.
- O Microsoft Defender para Aplicativos na Nuvem coleta sinais do uso de aplicativos de nuvem pela sua organização e protege o fluxo de dados entre seu ambiente e esses aplicativos, incluindo aplicativos de nuvem sancionados e não sancionados.
- A Proteção de Identidade do Azure AD avalia os dados de risco de bilhões de tentativas de entrar e usa esses dados para avaliar o risco de cada login em seu ambiente. Esses dados são usados pelo Azure AD para permitir ou impedir o acesso à conta, dependendo de como as políticas de Acesso Condicional são configuradas. A Proteção de Identidade do Azure AD é licenciada separadamente do Microsoft 365 Defender. Ele está incluído com Azure Active Directory Premium P2.
Microsoft SIEM e SOAR podem usar dados de Microsoft 365 Defender
Componentes de arquitetura opcionais adicionais não incluídos nesta ilustração:
- Dados de sinal detalhados de todos os Microsoft 365 Defender podem ser integrados ao Microsoft Sentinel e combinados com outras fontes de registro em log para oferecer recursos e insights completos do SIEM e DOLS.
- Para saber mais sobre como usar o Microsoft Sentinel, um SIEM do Azure, com Microsoft 365 Defender como XDR, confira este artigo visão geral e as etapas de integração do Microsoft Sentinel e Microsoft 365 Defender .
- Para saber mais sobre o SOAR no Microsoft Sentinel (incluindo links para pastas de jogo no Repositório GitHub Microsoft Sentinel), leia este artigo.
O processo de avaliação para Microsoft 365 Defender segurança cibernética
A Microsoft recomenda habilenciar os componentes de Microsoft 365 na ordem ilustrada:
A tabela a seguir descreve esta ilustração.
| Número de série | Etapa | Descrição |
|---|---|---|
| 1 | Criar o ambiente de avaliação | Esta etapa garante que você tenha a licença de avaliação para Microsoft 365 Defender. |
| 2 | Habilitar o Defender para Identidade | Revise os requisitos de arquitetura, habilita a avaliação e ande por tutoriais para identificar e remediar diferentes tipos de ataque. |
| 3 | Habilitar o Defender para Office 365 | Certifique-se de atender aos requisitos de arquitetura, habilitar a avaliação e, em seguida, criar o ambiente piloto. Esse componente inclui Proteção do Exchange Online e, portanto, você realmente avaliará ambos aqui. |
| 4 | Habilitar o Defender para Ponto de Extremidade | Certifique-se de atender aos requisitos de arquitetura, habilitar a avaliação e, em seguida, criar o ambiente piloto. |
| 5 | Habilitar o Microsoft Defender para Aplicativos na Nuvem | Certifique-se de atender aos requisitos de arquitetura, habilitar a avaliação e, em seguida, criar o ambiente piloto. |
| 6 | Investigar e responder às ameaças | Simule um ataque e comece a usar recursos de resposta a incidentes. |
| 7 | Promover a avaliação para produção | Promova Microsoft 365 componentes de produção um por um. |
Essa é uma ordem comumente recomendada projetada para aproveitar rapidamente o valor dos recursos com base no esforço necessário para implantar e configurar os recursos. Por exemplo, o Defender para Office 365 pode ser configurado em menos tempo do que o necessário para registrar dispositivos no Defender para Ponto de Extremidade. Obviamente, você deve priorizar os componentes para atender às suas necessidades de negócios e habilita-los em uma ordem diferente.
Vá para a próxima etapa
Saiba mais sobre e/ou crie o ambiente de Microsoft 365 Defender de Avaliação