Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Confiança Zero
Este guia de solução percorre o processo de configuração das ferramentas de detecção e resposta estendida (XDR) da Microsoft em conjunto com o Microsoft Sentinel para acelerar a capacidade da sua organização de responder e corrigir ataques de segurança cibernética.
O Microsoft Defender XDR é uma solução XDR que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o seu ambiente do Microsoft 365.
O Microsoft Sentinel é uma solução nativa de nuvem que oferece SIEM (gerenciamento de eventos e informações de segurança) e SOAR (orquestração, automação e resposta de segurança). Juntos, o Microsoft Sentinel e o Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a se defenderem contra ataques modernos.
Essas diretrizes ajudam você a amadurecer sua arquitetura de Confiança Zero ao mapear os princípios de Confiança Zero das seguintes maneiras.
| Princípio de Confiança Zero | Atendido por |
|---|---|
| Verificação explícita | O Microsoft Sentinel coleta dados de todo o ambiente, realiza análises de ameaças e anomalias e pode responder com automação. O Microsoft Defender XDR fornece detecção e resposta estendidas entre usuários, identidades, dispositivos, aplicativos e emails. Sinais baseados em risco capturados pelo Microsoft Defender XDR podem ser usados pelo Microsoft Sentinel para executar ações. |
| Usar o acesso de privilégio mínimo | O Microsoft Sentinel pode detectar atividades anômalas por meio de seu mecanismo de análise comportamental de entidade de usuário (UEBA). A inteligência contra ameaças com Microsoft Sentinel pode importar dados de inteligência contra ameaças da Microsoft ou de provedores terceirizados para detectar ameaças novas e emergentes e fornecer contexto extra para investigações. O Microsoft Defender XDR tem a Proteção do Microsoft Entra ID, que pode bloquear usuários com base no nível de risco com identidade. Os dados podem ser alimentados no Microsoft Sentinel para análise e automação adicionais. |
| Pressupor a violação | O Microsoft Defender XDR verifica continuamente o ambiente em busca de ameaças e vulnerabilidades. O Microsoft Sentinel analisa os dados coletados, a tendência comportamental de entidades para detectar atividades suspeitas, anomalias e ameaças em vários estágios em toda a empresa. O Microsoft Sentinel tem visualizações de pasta de trabalho que podem ajudar as organizações a proteger o ambiente, como a pasta de trabalho Confiança Zero. O Microsoft Defender XDR e o Sentinel podem implementar tarefas de correção automatizadas, incluindo investigações automatizadas, isolamento de dispositivo e quarentena de dados. O risco do dispositivo pode ser usado como um sinal para alimentar o acesso condicional do Microsoft Entra. |
Microsoft Sentinel e arquitetura de XDR
A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.
Neste diagrama:
- Insights de sinais em toda a sua organização alimentam o Microsoft Defender XDR e o Microsoft Defender para Nuvem.
- O Microsoft Defender XDR e o Microsoft Defender para Nuvem enviam dados de log SIEM por meio de conectores do Microsoft Sentinel.
- Em seguida, as equipes do SecOps podem analisar e responder a ameaças identificadas nos portais do Microsoft Sentinel e do Microsoft Defender.
- O Microsoft Sentinel fornece suporte para ambientes de várias nuvens e integra-se com aplicativos e parceiros de terceiros.
Implementando o Microsoft Sentinel e o Microsoft Defender XDR para Confiança Zero
O Microsoft Defender XDR é uma solução XDR que complementa o Microsoft Sentinel. Uma XDR extrai dados brutos de telemetria de vários serviços, como aplicativos em nuvem, segurança de email e gerenciamento de identidades e acesso.
Usando inteligência artificial (IA) e aprendizado de máquina, a XDR realiza análise, investigação e resposta automáticas em tempo real. A solução XDR também correlaciona alertas de segurança em incidentes maiores, fornecendo às equipes de segurança maior visibilidade sobre ataques e fornece priorização de incidentes, ajudando os analistas a entender o nível de risco da ameaça.
Com o Microsoft Sentinel, você pode se conectar a várias fontes de segurança usando conectores internos e padrões do setor. Com sua IA, você pode correlacionar vários sinais de baixa fidelidade, abrangendo várias fontes para criar uma visão completa da cadeia de encerramento de ransomware e alertas priorizados.
Aproveitar as capacidades de SIEM e XDR
Nesta seção, examinaremos um cenário de ataque típico envolvendo um ataque de phishing e, em seguida, continuaremos com como responder ao incidente com o Microsoft Sentinel e o Microsoft Defender XDR.
Ordem de ataque comum
O diagrama a seguir mostra uma ordem de ataque comum de um cenário de phishing.
O diagrama também mostra os produtos de segurança da Microsoft em vigor para detectar cada etapa de ataque e como os sinais de ataque e os dados SIEM fluem para o Microsoft Defender XDR e o Microsoft Sentinel.
Aqui está um resumo do ataque.
| Etapa de ataque | Serviço de detecção e fonte de sinal | Defesas em vigor |
|---|---|---|
| 1. O invasor envia email de phishing | Microsoft Defender para Office 365 | Protege caixas de correio com recursos anti-phishing avançados, que podem proteger contra ataques de phishing baseados em usurpação de identidade. |
| 2. O usuário abre o anexo | Microsoft Defender para Office 365 | O recurso de anexos seguros do Microsoft Defender para Office 365 abre anexos em um ambiente isolado para verificação adicional de ameaças (detonação). |
| 3. O anexo instala malware | Microsoft Defender para ponto de extremidade | Protege endpoints contra malware com seus recursos de proteção de última geração, como proteção fornecida na nuvem e proteção antivírus baseada em comportamento/heurística/em tempo real. |
| 4. O malware rouba as credenciais do usuário | Microsoft Entra ID e Microsoft Entra ID Protection | Protege identidades monitorando o comportamento e as atividades do usuário, detectando movimentos laterais e alertando sobre atividades anômalas. |
| 5. O invasor se move lateralmente entre aplicativos e dados do Microsoft 365 | Microsoft Defender for Cloud Apps | Pode detectar atividade anômala de usuários que acessam aplicativos na nuvem. |
| 6. O invasor baixa arquivos confidenciais de uma pasta do SharePoint | Microsoft Defender for Cloud Apps | Pode detectar e responder a eventos de download em massa de arquivos do SharePoint. |
Resposta a incidentes usando o Microsoft Sentinel e o Microsoft Defender XDR
Agora que vimos como um ataque comum ocorre, vamos examinar como aproveitar a integração do Microsoft Sentinel e do Microsoft Defender XDR para resposta a incidentes.
Aqui está o processo de responder a um incidente com o Microsoft Defender XDR e o Microsoft Sentinel:
- Triagem do incidente no portal Microsoft Sentinel.
- Vá para o portal do Microsoft Defender para iniciar sua investigação.
- Quando necessário, continue a investigação no portal Microsoft Sentinel.
- Resolva o incidente no portal Microsoft Sentinel.
O diagrama a seguir mostra o processo, começando com a descoberta e a triagem no Microsoft Sentinel.
Para obter mais informações, consulte Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR.
Principais recursos
Para implementar uma abordagem de Confiança Zero no gerenciamento de incidentes, use estes recursos do Microsoft Sentinel e XDR.
| Capacidade ou recurso | Descrição | Product |
|---|---|---|
| Investigação e Resposta Automatizada (AIR) | Os recursos AIR se destinam a examinar os alertas e a tomar providências imediatas para resolver as violações. Os recursos AIR reduzem de forma significativa o volume de alertas, permitindo que as operações de segurança se concentrem nas ameaças mais sofisticadas e outras iniciativas de alto valor. | Microsoft Defender XDR |
| Procura avançada | A busca avançada é uma ferramenta de busca de ameaças baseada em consulta que permite que você explore até 30 dias de dados brutos. Você pode inspecionar eventos de forma proativa em sua rede para localizar indicadores de ameaça e entidades. O acesso flexível aos dados permite a busca irrestrita de ameaças conhecidas e potenciais. | Microsoft Defender XDR |
| Indicadores de arquivo personalizados | Você pode evitar o avanço de uma propagação de ataque em sua organização proibindo arquivos potencialmente mal-intencionados ou suspeitas de malware. | Microsoft Defender XDR |
| Cloud Discovery | O Cloud Discovery analisa os logs de tráfego coletados pelo Defender para Ponto de Extremidade e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. | Microsoft Defender for Cloud Apps |
| Indicadores de rede personalizados | Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. | Microsoft Defender XDR |
| EDR (Detecção e Resposta de Ponto de Extremidade) | Fornece proteção adicional contra artefatos mal-intencionados quando o Microsoft Defender Antivirus (MDAV) não é o produto antivírus principal e está sendo executado no modo passivo. O EDR no modo de bloqueio funciona nos bastidores para corrigir artefatos mal-intencionados que foram detectados pelas capacidades do EDR. | Microsoft Defender XDR |
| Capacidades de resposta do dispositivo | Responda rapidamente a ataques detectados isolando dispositivos ou coletando um pacote de investigação | Microsoft Defender XDR |
| Resposta Imediata | A Resposta Imediata oferece às equipes de operações de segurança acesso instantâneo a um dispositivo (também chamado de máquina) usando uma conexão de shell remota. Isso permite que você possa fazer um trabalho investigativo aprofundado e tomar atitudes de resposta imediatas para conter imediatamente as ameaças identificadas em tempo real. | Microsoft Defender XDR |
| Aplicativos de nuvem seguros | Uma solução de operações de segurança de desenvolvimento (DevSecOps) que unifica o gerenciamento de segurança no nível do código em ambientes multinuvem e de vários pipelines. | Microsoft Defender para Nuvem |
| Aprimorar sua postura de segurança | Uma solução de gerenciamento da postura de segurança na nuvem (GPSN) que apresenta ações que você pode executar para evitar violações. | Microsoft Defender para Nuvem |
| Proteger cargas de trabalho de nuvem | Uma plataforma de proteção de carga de trabalho de nuvem (CWPP) com proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho. | Microsoft Defender para Nuvem |
| UEBA (análise do comportamento de usuários e de entidades) | Analisa o comportamento de entidades da organização, como usuários, hosts, endereços IP e aplicativos) | Microsoft Sentinel |
| Fusão | Um mecanismo de correlação baseado em algoritmos escalonáveis de aprendizado de máquina. Detecta automaticamente ataques de várias etapas, também chamados de ameaças avançadas persistentes (APT), identificando combinações de comportamentos anormais e atividades suspeitas que são observadas em vários estágios da cadeia de encerramento. | Microsoft Sentinel |
| Inteligência contra ameaças | Use provedores de terceiros da Microsoft para enriquecer dados para fornecer contexto extra sobre atividades, alertas e logs em seu ambiente. | Microsoft Sentinel |
| Automação | As regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que pode ser aplicado em diferentes cenários. | Microsoft Sentinel |
| Regras de anomalias | Os modelos de regra de anomalias usam aprendizado de máquina para detectar tipos específicos de comportamento anormal. | Microsoft Sentinel |
| Consultas agendadas | Regras internas escritas por especialistas em segurança da Microsoft que pesquisam em logs coletados pelo Sentinel em busca de cadeias de atividades suspeitas, ameaças conhecidas. | Microsoft Sentinel |
| Regras NRT (quase em tempo real) | As regras NRT são um conjunto limitado de regras agendadas, criadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais rápido possível. | Microsoft Sentinel |
| Caça | Para ajudar os analistas de segurança a procurar de forma proativa as novas anomalias que não foram detectadas por seus aplicativos de segurança ou mesmo por suas regras de análise agendadas, as consultas internas de busca do Microsoft Sentinel orientam quanto a fazer as perguntas certas para encontrar problemas nos dados já presentes na rede. | Microsoft Sentinel |
| Conector do Microsoft Defender XDR | O Conector do Microsoft Defender XDR sincroniza logs e incidentes com o Microsoft Sentinel. | Microsoft Defender XDR e Microsoft Sentinel |
| Conectores de dados | Permite a ingestão de dados para análise no Microsoft Sentinel. | Microsoft Sentinel |
| Solução de hub de conteúdo - Confiança Zero (TIC 3.0) | A solução de Confiança Zero (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um guia estratégico que fornece uma visualização automatizada dos princípios de Confiança Zero, interrelacionados com a estrutura de conexões confiáveis da Internet, ajudando as organizações a monitorar as configurações ao longo do tempo. | Microsoft Sentinel |
| Orquestração de Segurança, Automação e Resposta (SOAR) | Aproveitar as regras e os guias estratégicos em resposta a ameaças de segurança aumenta a eficácia do seu SOC, além de economizar tempo e recursos. | Microsoft Sentinel |
O que há nesta solução
Esta solução orienta você na implementação do Microsoft Sentinel e de XDR para que sua equipe de operações de segurança possa corrigir incidentes com eficiência usando uma abordagem Confiança Zero.
Treinamento recomendado
| Treinamento | Conectar o Microsoft Defender XDR ao Microsoft Sentinel |
|---|---|
|
Conheça as opções de configuração e os dados fornecidos pelos conectores do Microsoft Azure Sentinel para o Microsoft Defender XDR. |
Próximas etapas
Use estas etapas para implementar o Microsoft Sentinel e XDR para uma abordagem de Confiança Zero:
- Configurar suas ferramentas XDR
- Projetar seu workspace do Microsoft Sentinel
- Ingerir fontes de dados
- Responder a um incidente
Consulte também estes artigos adicionais para aplicar os princípios de Confiança Zero ao Azure: