Avaliar e testar o Microsoft 365 Defender

Aplica-se a:

  • Microsoft 365 Defender

Como esta série de artigos funciona

Essa série de artigos foi projetada para fazer você passar por todo o processo de configuração de um ambiente XDR de avaliação, de ponta a ponta, para que você possa avaliar os recursos e os recursos do Microsoft 365 Defender e até mesmo promover o ambiente de avaliação diretamente para produção quando e se estiver pronto.

Se você for novo a pensar em XDR, poderá examinar esses 7 artigos vinculados para ter uma ideia de como a solução é abrangente.

Microsoft 365 Defender é uma solução de segurança cibernética do Microsoft XDR

Microsoft 365 Defender é uma solução XDR (detecção e resposta eXtended) que coleta automaticamente, correlaciona e analisa dados de sinal, ameaça e alerta de todo o seu ambiente Microsoft 365, incluindo ponto de extremidade, email, aplicativos e identidades. Ele aproveita a inteligência artificial (AI) e a automação para interromper automaticamente os ataques e remediar os ativos afetados em um estado seguro.

Pense no XDR como a próxima etapa na segurança, unificando o ponto de extremidade (detecção e resposta de ponto de extremidade ou EDR), email, aplicativo e segurança de identidade em um só lugar.

Recomendações da Microsoft para avaliar Microsoft 365 Defender

A Microsoft recomenda que você crie sua avaliação em uma assinatura de produção existente de Office 365. Dessa forma, você receberá informações do mundo real imediatamente e poderá ajustar as configurações para funcionar contra ameaças atuais em seu ambiente. Depois de ganhar experiência e se sentir confortável com a plataforma, basta promover cada componente, um de cada vez, para produção.

A anatomia de um ataque de segurança cibernética

Microsoft 365 Defender é um pacote de defesa empresarial baseado em nuvem, unificado, pré e pós-violação. Ele coordena a prevenção, a detecção*, a* investigação e a resposta entre pontos de extremidade, identidades, aplicativos, email, aplicativos colaborativos e todos os seus dados.

Nesta ilustração, um ataque está em andamento. O email de phishing chega à caixa de entrada de um funcionário em sua organização, que abre sem saber o anexo de email. Isso instala malware, o que leva a uma cadeia de eventos que podem terminar com o roubo de dados confidenciais. Mas, nesse caso, o Defender para Office 365 está em operação.

As várias tentativas de ataque

Na ilustração:

  • Proteção do Exchange Online, parte do Microsoft Defender para Office 365, pode detectar o email de phishing e usar regras de fluxo de emails para garantir que ele nunca chegue à Caixa de Entrada.
  • O Defender para Office 365 anexos seguros testa o anexo e determina se ele é prejudicial, portanto, o email que chega não é ativos pelo usuário ou as políticas impedem que o email chegue.
  • O Defender for Endpoint gerencia dispositivos que se conectam à rede corporativa e detectam vulnerabilidades de dispositivo e rede que podem ser exploradas de outra forma.
  • O Defender for Identity observa alterações repentinas na conta, como escalonamento de privilégios ou movimento lateral de alto risco. Ele também relata problemas de identidade facilmente explorados, como a delegação Kerberos não restrita, para correção pela equipe de segurança.
  • O Microsoft Defender para Aplicativos na Nuvem percebe comportamentos anômalos, como viagem impossível, acesso a credenciais e download incomum, compartilhamento de arquivos ou atividade de encaminhamento de email e os relata à equipe de segurança.

Microsoft 365 Defender componentes proteger dispositivos, identidade, dados e aplicativos

Microsoft 365 Defender é feita dessas tecnologias de segurança, operando em tandem. Você não precisa de todos esses componentes para se beneficiar dos recursos de XDR e Microsoft 365 Defender. Você também perceberá ganhos e eficiências usando um ou dois.

Componente Descrição Material de referência
Microsoft Defender para Identidade? O Microsoft Defender for Identity usa sinais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. O que é o Microsoft Defender para Identidade?
Proteção do Exchange Online Proteção do Exchange Online é o serviço nativo de retransmissão e filtragem SMTP baseado em nuvem que ajuda a proteger sua organização contra spam e malware. Proteção do Exchange Online (EOP) visão geral - Office 365
Microsoft Defender para Office 365 O Microsoft Defender para Office 365 protege sua organização contra ameaças mal-intencionadas colocadas por mensagens de email, links (URLs) e ferramentas de colaboração. Microsoft Defender para Office 365 - Office 365
Microsoft Defender para Ponto de Extremidade O Microsoft Defender for Endpoint é uma plataforma unificada para proteção de dispositivos, detecção pós-violação, investigação automatizada e resposta recomendada. Microsoft Defender para Ponto de Extremidade - Windows segurança
Microsoft Defender for Cloud Apps O Microsoft Defender para Aplicativos na Nuvem é uma solução abrangente entre SaaS, trazendo visibilidade profunda, controles de dados fortes e proteção aprimorada contra ameaças para seus aplicativos de nuvem. O que é o Defender for Cloud Apps?
Azure AD Identity Protection A Proteção de Identidade do Azure AD avalia os dados de risco de bilhões de tentativas de entrar e usa esses dados para avaliar o risco de cada login em seu ambiente. Esses dados são usados pelo Azure AD para permitir ou impedir o acesso à conta, dependendo de como as políticas de Acesso Condicional são configuradas. A Proteção de Identidade do Azure AD é licenciada separadamente do Microsoft 365 Defender. Ele está incluído com Azure Active Directory Premium P2. O que é a Proteção de Identidade?

Microsoft 365 Defender arquitetura

O diagrama a seguir ilustra a arquitetura de alto nível para componentes e integrações de Microsoft 365 Defender chave. Arquitetura detalhada para cada componente do Defender e cenários de caso de uso são fornecidas ao longo desta série de artigos.

Uma arquitetura de alto nível do Microsoft 365 Defender portal

Nesta ilustração:

  • Microsoft 365 Defender combina os sinais de todos os componentes do Defender para fornecer detecção e resposta estendida (XDR) entre domínios. Isso inclui uma fila de incidentes unificada, resposta automatizada para parar ataques, auto-recuperação (para dispositivos comprometidos, identidades de usuário e caixas de correio), busca entre ameaças e análise de ameaças.
  • O Microsoft Defender para Office 365 protege sua organização contra ameaças maliciosas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. Ele compartilha sinais resultantes dessas atividades com Microsoft 365 Defender. Proteção do Exchange Online (EOP) é integrado para fornecer proteção de ponta a ponta para emails e anexos de entrada.
  • O Microsoft Defender for Identity coleta sinais de servidores executando o AD FS (Serviços Federados do Active Directory) e os Serviços de Domínio do Active Directory (AD DS) locais. Ele usa esses sinais para proteger seu ambiente de identidade híbrida, incluindo a proteção contra hackers que usam contas comprometidas para se mover lateralmente entre estações de trabalho no ambiente local.
  • O Microsoft Defender para Ponto de Extremidade coleta sinais e protege dispositivos usados pela sua organização.
  • O Microsoft Defender para Aplicativos na Nuvem coleta sinais do uso de aplicativos de nuvem pela sua organização e protege o fluxo de dados entre seu ambiente e esses aplicativos, incluindo aplicativos de nuvem sancionados e não sancionados.
  • A Proteção de Identidade do Azure AD avalia os dados de risco de bilhões de tentativas de entrar e usa esses dados para avaliar o risco de cada login em seu ambiente. Esses dados são usados pelo Azure AD para permitir ou impedir o acesso à conta, dependendo de como as políticas de Acesso Condicional são configuradas. A Proteção de Identidade do Azure AD é licenciada separadamente do Microsoft 365 Defender. Ele está incluído com Azure Active Directory Premium P2.

Microsoft SIEM e SOAR podem usar dados de Microsoft 365 Defender

Componentes de arquitetura opcionais adicionais não incluídos nesta ilustração:

  • Dados de sinal detalhados de todos os Microsoft 365 Defender podem ser integrados ao Microsoft Sentinel e combinados com outras fontes de registro em log para oferecer recursos e insights completos do SIEM e DOLS.
  • Para saber mais sobre como usar o Microsoft Sentinel, um SIEM do Azure, com Microsoft 365 Defender como XDR, confira este artigo visão geral e as etapas de integração do Microsoft Sentinel e Microsoft 365 Defender .
  • Para saber mais sobre o SOAR no Microsoft Sentinel (incluindo links para pastas de jogo no Repositório GitHub Microsoft Sentinel), leia este artigo.

O processo de avaliação para Microsoft 365 Defender segurança cibernética

A Microsoft recomenda habilenciar os componentes de Microsoft 365 na ordem ilustrada:

Um processo de avaliação de alto nível no portal Microsoft 365 Defender portal

A tabela a seguir descreve esta ilustração.

Número de série Etapa Descrição
1 Criar o ambiente de avaliação Esta etapa garante que você tenha a licença de avaliação para Microsoft 365 Defender.
2 Habilitar o Defender para Identidade Revise os requisitos de arquitetura, habilita a avaliação e ande por tutoriais para identificar e remediar diferentes tipos de ataque.
3 Habilitar o Defender para Office 365 Certifique-se de atender aos requisitos de arquitetura, habilitar a avaliação e, em seguida, criar o ambiente piloto. Esse componente inclui Proteção do Exchange Online e, portanto, você realmente avaliará ambos aqui.
4 Habilitar o Defender para Ponto de Extremidade Certifique-se de atender aos requisitos de arquitetura, habilitar a avaliação e, em seguida, criar o ambiente piloto.
5 Habilitar o Microsoft Defender para Aplicativos na Nuvem Certifique-se de atender aos requisitos de arquitetura, habilitar a avaliação e, em seguida, criar o ambiente piloto.
6 Investigar e responder às ameaças Simule um ataque e comece a usar recursos de resposta a incidentes.
7 Promover a avaliação para produção Promova Microsoft 365 componentes de produção um por um.

Essa é uma ordem comumente recomendada projetada para aproveitar rapidamente o valor dos recursos com base no esforço necessário para implantar e configurar os recursos. Por exemplo, o Defender para Office 365 pode ser configurado em menos tempo do que o necessário para registrar dispositivos no Defender para Ponto de Extremidade. Obviamente, você deve priorizar os componentes para atender às suas necessidades de negócios e habilita-los em uma ordem diferente.

Vá para a próxima etapa

Saiba mais sobre e/ou crie o ambiente de Microsoft 365 Defender de Avaliação