Monitorar arquiteturas de segurança de Confiança Zero (TIC 3.0) com o Microsoft Sentinel

Confiança Zero é uma estratégia de segurança para projetar e implementar os seguintes conjuntos de princípios de segurança:

Verificação explícita	Usar o acesso com privilégios mínimos	Pressupor a violação
Sempre autentique e autorize com base em todos os pontos de dados disponíveis.	Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados.	Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.

Este artigo descreve como usar a solução Confiança Zero (TIC 3.0), do Microsoft Sentinel, que ajuda as equipes de governança e conformidade a monitorar e responder aos requisitos de Confiança Zero de acordo com a iniciativa TRUSTED INTERNET CONNECTIONS (TIC) 3.0.

As soluções do Microsoft Sentinel são conjuntos de conteúdo empacotado, pré-configurados para um conjunto de dados específico. A solução Confiança Zero (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um guia estratégico que fornecem uma visualização automatizada dos princípios de Confiança Zero, inter-relacionados com a estrutura Trust Internet Connections, ajudando as organizações a monitorar as configurações ao longo do tempo.

A solução de Confiança Zero e a estrutura TIC 3.0

Confiança Zero e TIC 3.0 não são iguais, mas compartilham muitos temas comuns e, juntos, contam uma história comum. A solução de Confiança Zero (TIC 3.0) do Microsoft Sentinel oferece inter-relações detalhadas entre o Microsoft Sentinel e o modelo de Confiança Zero com a estrutura TIC 3.0. Essas inter-relações ajudam os usuários a entender melhor as sobreposições entre os dois.

Embora a solução de Confiança Zero (TIC 3.0) do Microsoft Sentinel forneça diretrizes de melhores práticas, a Microsoft não garante nem implica conformidade. Todos os requisitos, validações e controles de TIC (Trusted Internet Connection) são regidos pela Agência de Segurança Cibernética Segurança de Infraestrutura.

A solução de Confiança Zero (TIC 3.0) fornece visibilidade e reconhecimento situacional para os requisitos de controle atendidos pelas tecnologias da Microsoft em ambientes predominantemente baseados em nuvem. A experiência do cliente variará de acordo com o usuário e alguns painéis podem exigir configurações adicionais e modificação de consulta para operação.

As recomendações não implicam a cobertura dos respectivos controles, pois geralmente são um dos vários cursos de ação para abordar os requisitos, que são exclusivos para cada cliente. As recomendações devem ser consideradas um ponto de partida para planejar a cobertura completa ou parcial dos respectivos requisitos de controle.

A solução de Confiança Zero (TIC 3.0) do Microsoft Sentinel é útil para qualquer um dos seguintes usuários e casos de uso:

• Profissionais de governança, risco e conformidade de segurança, para avaliação e relatório de postura de conformidade
• Engenheiros e arquitetos, que precisam criar cargas de trabalho alinhadas com Confiança Zero e TIC 3.0
• Analistas de segurança, para criação de alertas e automação
• MSSPs (provedores de serviços de segurança gerenciados), para serviços de consultoria
• Gerentes de segurança, que precisam examinar requisitos, analisar relatórios, avaliar recursos

Pré-requisitos

Antes de instalar a solução de Confiança Zero (TIC 3.0), verifique se você tem os seguintes pré-requisitos:

• Serviços Integrados Microsoft: verifique se você tem o Microsoft Sentinel e o Microsoft Defender para Nuvem habilitados na sua assinatura do Azure.

• Requisitos do Microsoft Defender para Nuvem: no Microsoft Defender para Nuvem:

  • Adicione os padrões regulatórios necessários ao painel. Adicione o Azure Security Benchmark e as Avaliações do NIST SP 800-53 R5 ao seu painel do Microsoft Defender para Nuvem. Para obter mais informações, confira Adicionar um padrão regulatório ao seu painel na documentação do Microsoft Defender para Nuvem.

  • Exporte continuamente os dados do Microsoft Defender para Nuvem para o workspace do Log Analytics. Para obter mais informações, confira Exportar continuamente dados do Microsoft Defender para Nuvem.

• Requer permissões de usuário. Para instalar a solução de Confiança Zero (TIC 3.0), você deve ter acesso ao workspace do Microsoft Sentinel com permissões de Leitor de Segurança.

A solução Confiança Zero (TIC 3.0) também é aprimorada por integrações com outros Serviços Microsoft, como:

• Microsoft Defender XDR
• Proteção de Informações da Microsoft
• Microsoft Entra ID
• Microsoft Defender para Nuvem
• Microsoft Defender para ponto de extremidade
• Microsoft Defender para Identidade
• Microsoft Defender for Cloud Apps
• Microsoft Defender para Office 365

Instalar a solução de Confiança Zero (TIC 3.0)

Para implantar a solução de Confiança Zero (TIC 3.0) no portal do Azure:

1. No Microsoft Sentinel, selecione Hub de conteúdo e localize a solução de Confiança Zero (TIC 3.0).

2. Na parte inferior direita, selecione Exibir detalhes e, depois, Criar. Selecione a assinatura, o grupo de recursos e o workspace em que você deseja instalar a solução, depois analise o conteúdo de segurança relacionado que será implantado.

   Ao terminar, selecione Analisar + Criar para instalar a solução.

Para obter mais informações, confira Implantar conteúdo e soluções prontas para uso.

Cenário de uso de exemplo

As seções a seguir mostram como um analista de operações de segurança poderia usar os recursos implantados com a solução de Confiança Zero (TIC 3.0) para examinar requisitos, explorar consultas, configurar alertas e implementar automação.

Depois de instalar a solução de Confiança Zero (TIC 3.0), use a pasta de trabalho, as regras de análise e o guia estratégico implantados no workspace do Microsoft Sentinel para gerenciar a Confiança Zero na sua rede.

Visualizar dados de Confiança Zero

1. Navegue até a pasta de trabalho Pastas de Trabalho>Confiança Zero (TIC 3.0) do Microsoft Sentinel e selecione Exibir pasta de trabalho salva.

   Na página da pasta de trabalho Confiança Zero (TIC 3.0), selecione os recursos do TIC 3.0 que você deseja exibir. Para este procedimento, selecione Detecção de Intrusão.

   Dica

   Use o botão de alternância Guia na parte superior da página para exibir ou ocultar recomendações e painéis de guia. Verifique se os detalhes corretos estão selecionados nas opções Assinatura, Workspace e TimeRange para que você possa exibir os dados específicos que deseja encontrar.

2. Examine os cartões de controle exibidos. Por exemplo, desça na página para exibir o cartão Controle de Acesso Adaptável:

   

   Dica

   Use o botão de alternância Guias na parte superior esquerda para exibir ou ocultar recomendações e painéis de guia. Por exemplo, eles podem ser úteis quando você acessa a pasta de trabalho pela primeira vez, mas desnecessário depois que você entende os conceitos relevantes.

3. Explore as consultas. Por exemplo, no canto superior direito do cartão Controle de Acesso Adaptável, selecione o botão :Mais e, em seguida, selecione a opção Abrir a última consulta de execução no modo de exibição de Logs.

   A consulta será aberta na página Logs do Microsoft Sentinel:

   

Configurar alertas relacionados à Confiança Zero

No Microsoft Sentinel, navegue até a área Análise. Exiba as regras de análise prontas para uso implantadas com a solução de Confiança Zero (TIC 3.0) procurando TIC3.0.

Por padrão, a solução de Confiança Zero (TIC 3.0) instala um conjunto de regras de análise configuradas para monitorar a postura de Confiança Zero (TIC3.0) por família de controle, e você pode personalizar limites para alertar as equipes de conformidade sobre alterações na postura.

Por exemplo, se a postura de resiliência da carga de trabalho ficar abaixo de uma porcentagem especificada em uma semana, o Microsoft Sentinel gerará um alerta para detalhar o respectivo status de política (passagem/falha), os ativos identificados e a hora da última avaliação, além de fornecer links discriminados para o Microsoft Defender para Nuvem para ações de correção.

Atualize as regras conforme necessário ou configure uma nova:

Para saber mais, confira Criar regras de análise personalizadas para detectar ameaças.

Responder com SOAR

No Microsoft Sentinel, navegue até a guiaAutomação>Guias estratégicos ativos e localize o guia estratégico Notify-GovernanceComplianceTeam.

Use este guia estratégico para monitorar automaticamente os alertas do CMMC e notifique a equipe de conformidade de governança sobre os detalhes relevantes por meio de mensagens de email e do Microsoft Teams. Modifique o guia estratégico conforme necessário:

Para obter mais informações, confira Usar gatilhos e ações nos guias estratégicos do Microsoft Sentinel.

Perguntas frequentes

Há suporte para exibições e relatórios personalizados?

Sim. Você pode personalizar a pasta de trabalho de Confiança Zero (TIC 3.0) para exibir dados por assinatura, workspace, tempo, família de controle ou parâmetros de nível de maturidade, além de exportar e imprimir a pasta de trabalho.

Para obter mais informações, confira Usar pastas de trabalho do Azure Monitor para visualizar e monitorar os dados.

Produtos adicionais são necessários?

O Microsoft Sentinel e o Microsoft Defender para Nuvem são necessários.

Além desses serviços, cada cartão de controle é baseado em dados de vários serviços, dependendo dos tipos de dados e visualizações que estão sendo mostrados no cartão. Mais de 25 serviços da Microsoft fornecem enriquecimento para a solução de Confiança Zero (TIC 3.0).

O que devo fazer com painéis sem dados?

Painéis sem dados fornecem um ponto de partida para atender aos requisitos de controle de Confiança Zero e do TIC 3.0, incluindo recomendações para abordar os respectivos controles.

Há suporte para várias assinaturas, nuvens e locatários?

Sim. Você pode usar os parâmetros de pasta de trabalho, o Azure Lighthouse e o Azure Arc para utilizar a solução de Confiança Zero (TIC 3.0) em todas as suas assinaturas, nuvens e locatários.

Para obter mais informações, confira Usar pastas de trabalho do Azure Monitor para visualizar e monitorar os dados e Gerenciar vários locatários no Microsoft Sentinel como MSSP.

Há suporte para a integração de parceiros?

Sim. As pastas de trabalho e as regras de análise são personalizáveis para integrações com serviços de parceiros.

Para obter mais informações, confira Usar pastas de trabalho do Azure Monitor para visualizar e monitorar os dados e Detalhes de eventos personalizados do Surface em alertas.

Isso está disponível em regiões governamentais?

Sim. A solução de Confiança Zero (TIC 3.0) está em Visualização Pública e pode ser implantada em regiões Comerciais/Governamentais. Para obter mais informações, confira Disponibilidade dos recursos da nuvem para clientes comerciais e do Governo dos EUA.

Quais permissões são necessárias para usar esse conteúdo?

• Os usuários com a função Colaborador do Microsoft Sentinel podem criar e editar pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel.

• Os usuários com a função Leitor do Microsoft Sentinel podem visualizar dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.

Para saber mais, veja Permissões no Microsoft Sentinel.

Próximas etapas

Para obter mais informações, consulte:

• Introdução ao Microsoft Sentinel
• Visualizar e monitorar os dados com pastas de trabalho
• Modelo de Confiança Zero da Microsoft
• Centro de Implantação de Confiança Zero

Assista aos nossos vídeos:

• Demonstração: Solução de Confiança Zero (TIC 3.0) do Microsoft Sentinel
• Microsoft Sentinel: Demonstração da Pasta de Trabalho de Confiança Zero (TIC 3.0)

Leia nossos blogs.

• Anúncio do Microsoft Sentinel: Solução de Confiança Zero (TIC3.0)
• Compilar e monitorar cargas de trabalho de Confiança Zero (TIC 3.0) para sistemas de informações federais com o Microsoft Sentinel
• Confiança Zero: sete estratégias de adoção de líderes de segurança
• Implementação de Confiança Zero com o Microsoft Azure: Gerenciamento de Identidades e Acesso (Série de 6 Partes)