12 principais tarefas para as equipes de segurança para dar suporte ao trabalho em casa

Se você for como a Microsoft e, de repente, estiver dando suporte a uma força de trabalho baseada principalmente em casa, queremos ajudá-lo a garantir que sua organização esteja funcionando da maneira mais segura possível. Este artigo prioriza tarefas para ajudar as equipes de segurança a implementar os recursos de segurança mais importantes o mais rápido possível.

As principais tarefas a serem executadas para dar suporte ao trabalho em casa

Se você for uma organização de pequeno ou médio porte usando um dos planos de negócios da Microsoft, confira estes recursos:

Para clientes que usam nossos planos corporativos, a Microsoft recomenda que você conclua as tarefas listadas na tabela a seguir que se aplicam ao seu plano de serviço. Se, em vez de comprar um Microsoft 365 enterprise, você estiver combinando assinaturas, observe o seguinte:

  • Microsoft 365 E3 inclui Enterprise Mobility + Security (EMS) E3 e Azure AD P1
  • Microsoft 365 E5 inclui EMS E5 e Azure AD P2

Etapa Tarefa Todos os Office 365 Enterprise planos Microsoft 365 E3 Microsoft 365 E5
1 Habilitar Azure AD MFA (Autenticação Multifator) Incluído. Incluído. Incluído.
2 Proteção contra ameaças Incluído. Incluído. Incluído.
3 Configurar Microsoft Defender para Office 365 Incluído.
4 Configurar Microsoft Defender para Identidade Incluído.
5 Ativar o Microsoft 365 Defender Incluído.
6 Configurar Intune de aplicativo móvel para telefones e tablets Incluído. Incluído.
7 Configurar a MFA e o acesso condicional para convidados, incluindo Intune de aplicativo Incluído. Incluído.
8 Registrar computadores no gerenciamento de dispositivos e exigir computadores em conformidade Incluído. Incluído.
9 Otimizar sua rede para conectividade de nuvem Incluído. Incluído. Incluído
10 Treinar usuários Incluído. Incluído. Incluído.
11 Introdução ao Microsoft Defender for Cloud Apps Incluído.
12 Monitorar ameaças e tomar medidas Incluído. Incluído. Incluído.

Antes de começar, verifique sua Microsoft 365 Secure Score no portal Microsoft 365 Defender aplicativo. Em um painel centralizado, você pode monitorar e melhorar a segurança de suas identidades, dados, aplicativos, dispositivos e infraestrutura do Microsoft 365. Você recebe pontos para configurar os recursos de segurança recomendados, executar tarefas relacionadas à segurança (como exibir relatórios) ou endereçar recomendações com um aplicativo ou software de terceiros. As tarefas recomendadas neste artigo aumentarão sua pontuação.

A tela Do Microsoft Secure Score no portal Microsoft 365 Defender

1: Habilitar Azure AD MFA (Autenticação Multifator)

A melhor coisa que você pode fazer para melhorar a segurança dos funcionários que trabalham em casa é ativar a MFA. Se você ainda não tiver processos em vigor, trate-o como um piloto de emergência e verifique se você tem pessoas de suporte prontas para ajudar os funcionários que ficam presos. Como você provavelmente não pode distribuir dispositivos de segurança de hardware, use Windows Hello biometria e aplicativos de autenticação de smartphone como Microsoft Authenticator.

Normalmente, a Microsoft recomenda que você dê aos usuários 14 dias para registrar seu dispositivo para a Autenticação Multifator antes de exigir a MFA. No entanto, se sua força de trabalho estiver trabalhando repentinamente em casa, vá em frente e exija a MFA como uma prioridade de segurança e esteja preparada para ajudar os usuários que precisam dela.

A aplicação dessas políticas levará apenas alguns minutos, mas esteja preparado para dar suporte aos usuários nos próximos dias.


Plano Recomendação
Microsoft 365 (sem Azure AD P1 ou P2) Habilitar os padrões de segurança no Microsoft Azure Active Directory. Os padrões de segurança no Microsoft Azure Active Directory incluem a MFA para usuários e administradores.
Microsoft 365 E3 (com Azure AD P1) Use políticas de Acesso Condicional Comuns para configurar as seguintes políticas:
- Exigir MFA para administradores
- Exigir MFA para todos os usuários
- Bloquear autenticação herdada
Microsoft 365 E5 (com Azure AD P2) Aproveitando o Azure AD Identity Protection, comece a implementar o conjunto recomendado de acesso condicional e as políticas relacionadas da Microsoft criando estas políticas:
- Exigir MFA quando o risco de entrada for médio ou alto
- Bloquear clientes sem suporte para a autenticação moderna
- Usuários de alto risco devem alterar a senha

2: Proteger contra ameaças

Todos os Microsoft 365 incluem uma variedade de recursos de proteção contra ameaças. Aumentar a proteção para esses recursos leva apenas alguns minutos.

  • Proteção antimalware
  • Proteção contra URLs e arquivos mal-intencionados
  • Proteção anti-phishing
  • Proteção antispam

Consulte Proteger contra ameaças no Office 365 para obter diretrizes que você pode usar como ponto de partida.

3: Configurar Microsoft Defender para Office 365

Microsoft Defender para Office 365, incluído no Microsoft 365 E5 e no Office 365 E5, protege sua organização contra ameaças mal-intencionadas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. Isso pode levar várias horas para ser configurado.

Microsoft Defender para Office 365:

  • Protege sua organização contra ameaças de email desconhecidas em tempo real usando sistemas inteligentes que inspecionam anexos e links para conteúdo mal-intencionado. Esses sistemas automatizados incluem uma plataforma robusta de detonação, heurística e modelos de machine learning.
  • Protege sua organização quando os usuários colaboram e compartilham arquivos, identificando e bloqueando arquivos mal-intencionados em sites de equipe e bibliotecas de documentos.
  • Aplica modelos de machine learning e algoritmos avançados de detecção de representação para evitar ataques de phishing.

Para obter uma visão geral, incluindo um resumo dos planos, consulte Defender para Office 365.

O Administrador Global pode configurar estas proteções:

Você precisará trabalhar com o administrador do Exchange Online e o administrador do SharePoint Online para configurar o Defender para Office 365 para essas cargas de trabalho:

4: Configurar Microsoft Defender para Identidade

O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. Concentre-se nisso em seguida porque ele protege seu local e sua infraestrutura de nuvem, não tem dependências ou pré-requisitos e pode fornecer benefícios imediatos.

5: Ativar Microsoft 365 Defender

Agora que você configurou Microsoft Defender para Office 365 e Microsoft Defender para Identidade, você pode exibir os sinais combinados desses recursos em um dashboard. Microsoft 365 Defender reúne alertas, incidentes, investigação e resposta automatizadas e busca avançada entre cargas de trabalho (Microsoft Defender para Identidade, Defender para Office 365, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Aplicativos de Nuvem) em um único painel no Microsoft 365 Defender portal.

O Microsoft 365 Defender painel

Depois de configurar um ou mais de seus serviços Defender para Office 365, ative o MTP. Novos recursos são adicionados continuamente ao MTP; considere aceitar receber recursos de versão prévia.

6: Configurar Intune de aplicativo móvel para telefones e tablets

Microsoft Intune MAM (Gerenciamento de Aplicativo Móvel) permite que você gerencie e proteja os dados da sua organização em telefones e tablets sem gerenciar esses dispositivos. Veja como funciona:

  • Você cria uma APP (Política de Proteção de Aplicativo) que determina quais aplicativos em um dispositivo são gerenciados e quais comportamentos são permitidos (como impedir que os dados de um aplicativo gerenciado sejam copiados para um aplicativo não gerenciado). Você cria uma política para cada plataforma (iOS, Android).
  • Depois de criar as políticas de proteção de aplicativo, você as impõe criando uma regra de acesso condicional Azure AD exigir aplicativos aprovados e proteção de dados do APP.

As políticas de proteção de APLICATIVO incluem muitas configurações. Felizmente, você não precisa saber mais sobre cada configuração e avaliar as opções. A Microsoft facilita a aplicação de uma configuração de configurações recomendando pontos de partida. A estrutura de proteção de dados usando políticas de proteção de aplicativo inclui três níveis que você pode escolher.

Melhor ainda, a Microsoft coordena essa estrutura de proteção de aplicativo com um conjunto de acesso condicional e políticas relacionadas, recomendamos que todas as organizações usem como ponto de partida. Se você implementou a MFA usando as diretrizes neste artigo, você está na metade do caminho!

Para configurar a proteção de aplicativo móvel, use as diretrizes nas políticas comuns de identidade e acesso ao dispositivo:

  1. Use as diretrizes aplicar políticas de proteção de dados do APP para criar políticas para iOS e Android. O nível 2 (proteção de dados aprimorada) é recomendado para proteção de linha de base.
  2. Crie uma regra de acesso condicional para exigir aplicativos aprovados e proteção app.

7: Configurar a MFA e o acesso condicional para convidados, incluindo Intune de aplicativo móvel

Em seguida, vamos garantir que você possa continuar colaborando e trabalhando com convidados. Se você estiver usando o plano Microsoft 365 E3 e tiver implementado a MFA para todos os usuários, você será definido.

Se você estiver usando o plano Microsoft 365 E5 e estiver aproveitando o Azure Identity Protection para MFA baseada em risco, precisará fazer alguns ajustes (porque o Azure AD Identity Protection não se estende aos convidados):

  • Crie uma nova regra de acesso condicional para exigir MFA sempre para convidados e usuários externos.
  • Atualize a regra de acesso condicional de MFA baseada em risco para excluir convidados e usuários externos.

Use as diretrizes em Atualizar as políticas comuns para permitir e proteger o acesso de convidados e externos para entender como o acesso de convidado funciona com o Azure AD e atualizar as políticas afetadas.

As Intune de proteção de aplicativo móvel que você criou, juntamente com a regra de acesso condicional para exigir aplicativos aprovados e proteção de APLICATIVO, se aplicam a contas de convidados e ajudarão a proteger os dados da sua organização.

Observação

Se você já registrou computadores no gerenciamento de dispositivos para exigir computadores compatíveis, também precisará excluir contas de convidado da regra de acesso condicional que impõe a conformidade do dispositivo.

8: Registrar computadores no gerenciamento de dispositivos e exigir computadores compatíveis

Existem vários métodos para registrar os dispositivos da sua força de trabalho. Cada método depende da propriedade (pessoal ou corporativa) do dispositivo, do tipo de dispositivo (iOS, Windows, Android) e dos requisitos de gerenciamento (redefinições, afinidade, bloqueio). Isso pode levar algum tempo para ser classificada. Consulte: Registrar dispositivos no Microsoft Intune.

A maneira mais rápida de começar é configurar o registro automático para Windows 10 dispositivos.

Você também pode aproveitar estes tutoriais:

Depois de registrar dispositivos, use as diretrizes nas políticas comuns de identidade e acesso ao dispositivo para criar estas políticas:

  • Definir políticas de conformidade do dispositivo — As configurações recomendadas para Windows 10 incluem a necessidade de proteção antivírus. Se você tiver Microsoft 365 E5, use o Microsoft Defender para Ponto de Extremidade para monitorar a integridade dos dispositivos dos funcionários. Verifique se as políticas de conformidade para outros sistemas operacionais incluem proteção antivírus e software de proteção de ponto de extremidade.
  • Exigir computadores compatíveis — essa é a regra de acesso condicional no Azure AD que impõe as políticas de conformidade do dispositivo.

Somente uma organização pode gerenciar um dispositivo, portanto, exclua as contas de convidado da regra de acesso condicional Azure AD. Se você não excluir usuários convidados e externos de políticas que exigem conformidade do dispositivo, essas políticas bloquearão esses usuários. Para obter mais informações, consulte Atualizando as políticas comuns para permitir e proteger o acesso de convidados e externos.

9: Otimizar sua rede para conectividade de nuvem

Se você estiver habilitando rapidamente a maior parte dos funcionários para trabalhar em casa, essa mudança repentina de padrões de conectividade poderá ter um impacto significativo na infraestrutura de rede corporativa. Muitas redes foram dimensionadas e projetadas antes que os serviços de nuvem fossem adotados. Em muitos casos, as redes são tolerantes a funcionários remotos, mas não foram projetadas para serem usadas remotamente por todos os usuários simultaneamente.

Elementos de rede como concentradores de VPN, equipamentos de saída de rede central (como proxies e dispositivos de prevenção contra perda de dados), largura de banda central da Internet, circuitos MPLS de backhaul, funcionalidade NAT e assim por diante são colocados sob enorme tensão devido à carga de toda a empresa que os utiliza. O resultado final é baixo desempenho e produtividade, juntamente com uma experiência de usuário ruim para usuários que estão se adaptando ao trabalho em casa.

Algumas das proteções que tradicionalmente foram fornecidas pelo roteamento de tráfego por meio de uma rede corporativa são fornecidas pelos aplicativos de nuvem que os usuários estão acessando. Se você chegou a esta etapa neste artigo, implementou um conjunto de controles de segurança de nuvem sofisticados para Microsoft 365 serviços e dados. Com esses controles em vigor, você pode estar pronto para rotear o tráfego de usuários remotos diretamente para Office 365. Se você ainda precisar de um link VPN para acessar outros aplicativos, poderá melhorar muito o desempenho e a experiência do usuário implementando o túnel dividido. Depois que você chegar a um acordo em sua organização, isso poderá ser feito em um dia por uma equipe de rede bem coordenada.

Confira estes recursos no Docs para obter mais informações:

Artigos recentes do blog sobre este tópico:

10: Treinar usuários

Os usuários de treinamento podem economizar muito tempo e frustração com os usuários e a equipe de operações de segurança. Os usuários experientes têm menos probabilidade de abrir anexos ou clicar em links em mensagens de email questionáveis e têm mais probabilidade de evitar sites suspeitos.

O Manual de Campanha de Segurança Cibernética da Escola Harvard Kennedy fornece excelentes diretrizes sobre como estabelecer uma forte cultura de reconhecimento de segurança em sua organização, incluindo treinamento de usuários para identificar ataques de phishing.

Microsoft 365 fornece os seguintes recursos para ajudar a informar os usuários em sua organização:


Conceito Recursos
Microsoft 365 Roteiros de aprendizagem personalizáveis

Esses recursos podem ajudá-lo a reunir treinamentos para usuários finais em sua organização

Segurança do Microsoft 365 Learning módulo: proteger sua organização com segurança interna e inteligente do Microsoft 365

Este módulo permite que você descreva como os Microsoft 365 de segurança funcionam em conjunto e articulam os benefícios desses recursos de segurança.

Autenticação multifator Verificação em duas etapas: o que é a página de verificação adicional?

Este artigo ajuda os usuários finais a entender o que é a autenticação multifator e por que ela está sendo usada em sua organização.

Além dessas diretrizes, a Microsoft recomenda que os usuários executem as ações descritas neste artigo: Proteger sua conta e dispositivos contra hackers e malware. Essas ações incluem:

  • Usando senhas fortes
  • Protegendo dispositivos
  • Habilitando recursos de segurança Windows 10 computadores Mac e mac (para dispositivos não gerenciados)

A Microsoft também recomenda que os usuários protejam suas contas de email pessoais executando as ações recomendadas nos seguintes artigos:

11: Introdução com Microsoft Defender para Aplicativos de Nuvem

Microsoft Defender para Aplicativos de Nuvem fornece visibilidade avançada, controle sobre viagens de dados e análises sofisticadas para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem. Depois de começar a usar os aplicativos do Defender para Nuvem, as políticas de detecção de anomalias são habilitadas automaticamente, mas os aplicativos do Defender para Nuvem têm um período de aprendizado inicial de sete dias durante os quais nem todos os alertas de detecção de anomalias são gerados.

Introdução com Defender para Nuvem aplicativos agora. Posteriormente, você pode configurar controles e monitoramento mais sofisticados.

12: Monitorar ameaças e tomar medidas

Microsoft 365 inclui várias maneiras de monitorar o status e executar as ações apropriadas. Seu melhor ponto de partida é o portal Microsoft 365 Defender, no qual você pode exibir o Microsoft Secure Score da sua organização e quaisquer alertas ou entidades que exijam sua atenção.

Próximas etapas

Parabéns! Você implementou rapidamente algumas das proteções de segurança mais importantes e sua organização é muito mais segura. Agora você está pronto para ir ainda mais longe com recursos de proteção contra ameaças (incluindo Microsoft Defender para Ponto de Extremidade), recursos de classificação e proteção de dados e proteção de contas administrativas. Para obter um conjunto mais profundo e metodoico de recomendações de segurança para Microsoft 365, consulte Microsoft 365 BDMs (Security for Business Decision Makers).

Visite também as novas versões Defender para Nuvem Microsoft no docs.microsoft.com/security.