Pilote e implemente o Microsoft Defender para Identidade
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para a pilotagem e implementação do Microsoft Defender para Identidade na sua organização. Pode utilizar estas recomendações para integrar o Microsoft Defender para Identidade como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com o Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar o Microsoft Defender para Identidade neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
O Defender para Office 365 contribui para uma arquitetura de Confiança Zero, ajudando a evitar ou reduzir os danos empresariais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Zero Trust adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Zero Trust adoption framework (Arquitetura de adoção da Confiança Zero da Microsoft).
Implementação ponto a ponto para o Microsoft Defender XDR
Este é o artigo 2 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
| Fase | Link |
|---|---|
| A. Iniciar o piloto | Iniciar o piloto |
| B. Pilote e implemente componentes XDR do Microsoft Defender | - Pilote e implemente o Defender para Identidade (este artigo) - Pilote e implemente o Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente o Microsoft Defender para Aplicações na Cloud |
| C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Testar e implementar o fluxo de trabalho do Defender para Identidade
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar o Defender para Identidade no seu ambiente de produção.
Siga estas etapas:
- Configurar a instância do Defender para Identidade
- Instalar e configurar sensores
- Configurar o registo de eventos e as definições de proxy em computadores com o sensor
- Permitir que o Defender para Identidade identifique administradores locais noutros computadores
- Configurar recomendações de referência para o seu ambiente de identidade
- Experimentar capacidades
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue a avaliação do produto para o Defender para Identidade. |
| Piloto | Execute os Passos 1 a 6 para um subconjunto adequado de servidores com sensores no seu ambiente de produção. |
| Implantação completa | Execute os Passos 2 a 5 para os servidores restantes, expandindo-se para além do piloto para incluir todos. |
Proteger a sua organização contra hackers
O Defender para Identidade fornece proteção avançada por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, o Defender para Identidade fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
O Defender para Identidade recolhe sinais de controladores de domínio e servidores dos Serviços de Domínio do Active Directory (AD DS) que executam os Serviços de Federação do Active Directory (AD FS) e os Serviços de Certificados do Active Directory (AD CS). Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
O Microsoft Defender XDR correlaciona os sinais de todos os componentes do Microsoft Defender para fornecer a história completa do ataque.
Arquitetura do Defender para Identidade
O Microsoft Defender para Identidade está totalmente integrado com o Microsoft Defender XDR e tira partido de sinais de identidades do Active Directory no local para o ajudar a identificar, detetar e investigar ameaças avançadas direcionadas para a sua organização.
Implemente o Microsoft Defender para Identidade para ajudar as suas equipas de Operações de Segurança (SecOps) a fornecer uma solução moderna de deteção e resposta a ameaças de identidade (ITDR) em ambientes híbridos, incluindo:
- Impedir falhas de segurança através de avaliações proativas da postura de segurança de identidade
- Detetar ameaças com análises em tempo real e inteligência de dados
- Investigar atividades suspeitas com informações claras e acionáveis sobre incidentes
- Responda a ataques através da resposta automática a identidades comprometidas. Para obter mais informações, consulte O que é o Microsoft Defender para Identidade?
O Defender para Identidade protege as suas contas de utilizador e contas de utilizador do AD DS no local sincronizadas com o seu inquilino do Microsoft Entra ID. Para proteger um ambiente composto apenas por contas de utilizador do Microsoft Entra, consulte Microsoft Entra ID Protection.
O diagrama seguinte ilustra a arquitetura do Defender para Identidade.
Nesta ilustração:
- Os sensores instalados nos controladores de domínio do AD DS e nos servidores do AD CS analisam os registos e o tráfego de rede e enviam-nos para o Microsoft Defender para Identidade para análise e relatórios.
- Os sensores também podem analisar autenticações do AD FS para fornecedores de identidade de terceiros e quando o Microsoft Entra ID está configurado para utilizar a autenticação federada (as linhas pontilhadas na ilustração).
- O Microsoft Defender para Identidade partilha sinais para o Microsoft Defender XDR.
Os sensores do Defender para Identidade podem ser instalados diretamente nos seguintes servidores:
Controladores de domínio do AD DS
O sensor monitoriza diretamente o tráfego do controlador de domínio, sem a necessidade de um servidor dedicado ou a configuração do espelhamento de porta.
Servidores do AD CS
Servidores do AD FS
O sensor monitoriza diretamente o tráfego de rede e os eventos de autenticação.
Para obter uma visão mais aprofundada da arquitetura do Defender para Identidade, veja Arquitetura do Microsoft Defender para Identidade.
Passo 1: Configurar a instância do Defender para Identidade
Em primeiro lugar, o Defender para Identidade requer algum trabalho de pré-requisitos para garantir que a identidade no local e os componentes de rede cumprem os requisitos mínimos. Utilize o artigo de pré-requisitos do Microsoft Defender para Identidade como uma lista de verificação para garantir que o seu ambiente está pronto.
Em seguida, inicie sessão no portal do Defender para Identidade para criar a instância e, em seguida, ligue esta instância ao seu ambiente do Active Directory.
| Etapa | Descrição | Mais informações |
|---|---|---|
| 1 | Criar a instância do Defender para Identidade | Início Rápido: crie sua instância do Microsoft Defender para Identidade |
| 2 | Ligar a instância do Defender para Identidade à floresta do Active Directory | Início Rápido: Ligar à floresta do Active Directory |
Passo 2: Instalar e configurar sensores
Em seguida, transfira, instale e configure o sensor do Defender para Identidade nos controladores de domínio, nos servidores do AD FS e do AD CS no seu ambiente no local.
| Etapa | Descrição | Mais informações |
|---|---|---|
| 1 | Determine quantos sensores do Microsoft Defender para Identidade precisa. | Capacidade de planejamento para Microsoft Defender para Identidade |
| 2 | Transferir o pacote de configuração do sensor | Início Rápido: Transferir o pacote de configuração do sensor do Microsoft Defender para Identidade |
| 3 | Instalar o sensor do Defender para Identidade | Início Rápido: Instalar o sensor do Microsoft Defender para Identidade |
| 4 | Configurar o sensor | Configurar as definições do sensor do Microsoft Defender para Identidade |
Passo 3: Configurar o registo de eventos e as definições de proxy em computadores com o sensor
Nos computadores em que instalou o sensor, configure a recolha de registos de eventos do Windows e as definições de proxy da Internet para ativar e melhorar as capacidades de deteção.
| Etapa | Descrição | Mais informações |
|---|---|---|
| 1 | Configurar a recolha de registos de eventos do Windows | Configurar a coleção de Eventos do Windows |
| 2 | Configurar definições de proxy da Internet | Configurar as definições de proxy de ponto final e de conectividade à Internet para o Sensor do Microsoft Defender para Identidade |
Passo 4: Permitir que o Defender para Identidade identifique administradores locais noutros computadores
A deteção do caminho de movimento lateral do Microsoft Defender para Identidade baseia-se em consultas que identificam administradores locais em computadores específicos. Estas consultas são efetuadas com o protocolo SAM-R, utilizando a conta do Serviço defender para identidade.
Para garantir que os clientes e servidores do Windows permitem que a sua conta do Defender para Identidade execute SAM-R, tem de ser efetuada uma modificação à Política de Grupo para adicionar a conta de serviço do Defender para Identidade, além das contas configuradas listadas na política de acesso à Rede. Certifique-se de que aplica políticas de grupo a todos os computadores , exceto aos controladores de domínio.
Para obter instruções sobre como fazê-lo, consulte Configurar o Microsoft Defender para Identidade para efetuar chamadas remotas para SAM.
Passo 5: Configurar recomendações de referência para o seu ambiente de identidade
A Microsoft fornece recomendações de referência de segurança para clientes que utilizam serviços Cloud da Microsoft. A Referência de Segurança do Azure (ASB) fornece melhores práticas prescritivas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços no Azure.
A implementação destas recomendações pode demorar algum tempo a planear e implementar. Embora estas recomendações aumentem consideravelmente a segurança do seu ambiente de identidade, não devem impedi-lo de continuar a avaliar e implementar o Microsoft Defender para Identidade. Estas recomendações são fornecidas aqui para sua consciência.
Passo 6: Experimentar as capacidades
A documentação do Defender para Identidade inclui os seguintes tutoriais que explicam o processo de identificação e remediação de vários tipos de ataque:
- Alertas de reconhecimento
- Alertas de credenciais comprometidos
- Alertas de movimento lateral
- Alertas de dominância de domínio
- Alertas de exfiltração
- Investigar um utilizador
- Investigar um computador
- Investigar caminhos de movimento lateral
- Investigar entidades nos dispositivos
Integração SIEM
Pode integrar o Defender para Identidade com o Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com o Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
O Microsoft Sentinel inclui um conector do Defender para Identidade. Para obter mais informações, consulte Conector do Microsoft Defender para Identidade para o Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM de terceiros, veja Integração genérica do SIEM.
Próxima etapa
Incorpore o seguinte nos seus processos secOps:
- Ver o dashboard do ITDR
- Ver e gerir problemas de estado de funcionamento do Defender para Identidade
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a sua implementação ponto a ponto do Microsoft Defender XDR com o Pilot e implemente o Defender para Office 365.
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de