Pilote e implemente o Microsoft Defender para Endpoint
Aplica-se a:
- Microsoft Defender XDR
Este artigo fornece um fluxo de trabalho para a pilotagem e implementação do Microsoft Defender para Endpoint na sua organização. Pode utilizar estas recomendações para integrar o Microsoft Defender para Endpoint como uma ferramenta de cibersegurança individual ou como parte de uma solução ponto a ponto com o Microsoft Defender XDR.
Este artigo pressupõe que tem um inquilino do Microsoft 365 de produção e está a testar e implementar o Microsoft Defender para Endpoint neste ambiente. Esta prática irá manter todas as definições e personalizações que configurar durante o piloto para a sua implementação completa.
O Defender para Endpoint contribui para uma arquitetura de Confiança Zero, ajudando a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Prevent or reduce business damage from a breach business scenario in the Microsoft Zero Trust adoption framework (Evitar ou reduzir danos comerciais de um cenário de negócio de falha de segurança) no microsoft Zero Trust adoption framework (Arquitetura de adoção da Confiança Zero da Microsoft).
Implementação ponto a ponto para o Microsoft Defender XDR
Este é o artigo 4 de 6 de uma série para o ajudar a implementar os componentes do Microsoft Defender XDR, incluindo investigar e responder a incidentes.
Os artigos nesta série correspondem às seguintes fases da implementação ponto a ponto:
| Fase | Link |
|---|---|
| A. Iniciar o piloto | Iniciar o piloto |
| B. Pilote e implemente componentes XDR do Microsoft Defender | - Pilote e implemente o Defender para Identidade - Pilote e implemente o Defender para Office 365 - Pilote e implemente o Defender para Endpoint (este artigo) - Pilote e implemente o Microsoft Defender para Aplicações na Cloud |
| C. Investigar e responder às ameaças | Praticar a investigação e resposta a incidentes |
Testar e implementar o fluxo de trabalho do Defender para Identidade
O diagrama seguinte ilustra um processo comum para implementar um produto ou serviço num ambiente de TI.
Comece por avaliar o produto ou serviço e como irá funcionar na sua organização. Em seguida, vai testar o produto ou serviço com um subconjunto convenientemente pequeno da sua infraestrutura de produção para testes, aprendizagem e personalização. Em seguida, aumente gradualmente o âmbito da implementação até que toda a sua infraestrutura ou organização seja abrangida.
Eis o fluxo de trabalho para testar e implementar o Defender para Identidade no seu ambiente de produção.
Siga estas etapas:
- Verificar o estado da licença
- Integrar pontos finais com qualquer uma das ferramentas de gestão suportadas
- Verificar o grupo piloto
- Experimentar capacidades
Eis os passos recomendados para cada fase de implementação.
| Fase de implementação | Descrição |
|---|---|
| Avaliar | Efetue uma avaliação de produto para o Defender para Endpoint. |
| Piloto | Execute os Passos 1 a 4 para um grupo piloto. |
| Implantação completa | Configure o grupo piloto no Passo 3 ou adicione grupos para expandir para além do piloto e, eventualmente, incluir todos os seus dispositivos. |
Proteger a sua organização contra hackers
O Defender para Identidade fornece proteção avançada por si só. No entanto, quando combinado com as outras capacidades do Microsoft Defender XDR, o Defender para Endpoint fornece dados para os sinais partilhados que, em conjunto, ajudam a parar os ataques.
Eis um exemplo de um ciberataque e como os componentes do Microsoft Defender XDR ajudam a detetá-lo e a mitigá-lo.
O Defender para Endpoint deteta vulnerabilidades de dispositivos e de rede que, de outra forma, poderiam ser exploradas para dispositivos geridos pela sua organização.
O Microsoft Defender XDR correlaciona os sinais de todos os componentes do Microsoft Defender para fornecer a história completa do ataque.
Arquitetura do Defender para Endpoint
O diagrama seguinte ilustra a arquitetura e as integrações do Microsoft Defender para Endpoint.
Esta tabela descreve a ilustração.
| Chamada | Descrição |
|---|---|
| 1 | Os dispositivos são integrados através de uma das ferramentas de gestão suportadas. |
| 2 | Os dispositivos integrados fornecem e respondem aos dados de sinal do Microsoft Defender para Endpoint. |
| 3 | Os dispositivos geridos são associados e/ou inscritos no Microsoft Entra ID. |
| 4 | Os dispositivos Windows associados a um domínio são sincronizados com o Microsoft Entra ID com o Microsoft Entra Connect. |
| 5 | Os alertas, investigações e respostas do Microsoft Defender para Endpoint são geridos no Microsoft Defender XDR. |
Dica
O Microsoft Defender para Endpoint também vem com um laboratório de avaliação no produto onde pode adicionar dispositivos pré-configurados e executar simulações para avaliar as capacidades da plataforma. O laboratório inclui uma experiência de configuração simplificada que pode ajudar a demonstrar rapidamente o valor do Microsoft Defender para Endpoint, incluindo orientações para muitas funcionalidades, como investigação avançada e análise de ameaças. Para obter mais informações, veja Avaliar capacidades. A principal diferença entre a documentação de orientação fornecida neste artigo e o laboratório de avaliação é que o ambiente de avaliação utiliza dispositivos de produção, enquanto o laboratório de avaliação utiliza dispositivos de não produção.
Passo 1: Verificar o estado da licença
Primeiro, terá de verificar o estado da licença para verificar se foi aprovisionado corretamente. Pode fazê-lo através do centro de administração ou através do portal do Microsoft Azure.
Para ver as suas licenças, aceda ao portal do Microsoft Azure e navegue para a secção licença do portal do Microsoft Azure.
Em alternativa, no centro de administração, navegue paraSubscriçõesde Faturação>.
No ecrã, verá todas as licenças aprovisionadas e o respetivo Estado atual.
Passo 2: integrar pontos finais com qualquer uma das ferramentas de gestão suportadas
Depois de verificar se o estado da licença foi aprovisionado corretamente, pode começar a integrar dispositivos no serviço.
Para avaliar o Microsoft Defender para Endpoint, recomendamos que escolha alguns dispositivos Windows para realizar a avaliação.
Pode optar por utilizar qualquer uma das ferramentas de gestão suportadas, mas o Intune proporciona uma integração ideal. Para obter mais informações, veja Configurar o Microsoft Defender para Endpoint no Microsoft Intune.
O tópico Implementação do plano descreve os passos gerais que tem de seguir para implementar o Defender para Ponto Final.
Veja este vídeo para obter uma descrição geral rápida do processo de integração e saiba mais sobre as ferramentas e métodos disponíveis.
Opções da ferramenta de inclusão
A tabela seguinte lista as ferramentas disponíveis com base no ponto final que precisa de integrar.
| Ponto de extremidade | Opções de ferramentas |
|---|---|
| Windows | - Script local (até 10 dispositivos) - Política de Grupo - Microsoft Intune/Mobile Device Manager - Microsoft Endpoint Configuration Manager - Scripts VDI |
| macOS | - Scripts locais - Microsoft Intune - JAMF Pro - Gestão de Dispositivos Móveis |
| iOS | Baseado na aplicação |
| Android | Microsoft Intune |
Quando pilota o Microsoft Defender para Endpoint, pode optar por integrar alguns dispositivos no serviço antes de integrar toda a organização.
Em seguida, pode experimentar as capacidades que estão disponíveis, como executar simulações de ataques e ver como o Defender para Endpoint apresenta atividades maliciosas e lhe permite realizar uma resposta eficiente.
Passo 3: Verificar o grupo piloto
Depois de concluir os passos de inclusão descritos na secção Ativar avaliação, deverá ver os dispositivos na lista Inventário de dispositivos aproximadamente após uma hora.
Quando vir os seus dispositivos integrados, pode continuar a experimentar as capacidades.
Passo 4: Experimentar as capacidades
Agora que concluiu a integração de alguns dispositivos e confirmou que estão a comunicar com o serviço, familiarize-se com o produto ao experimentar as poderosas capacidades que estão disponíveis imediatamente.
Durante o piloto, pode começar facilmente a experimentar algumas das funcionalidades para ver o produto em ação sem passar por passos de configuração complexos.
Vamos começar por consultar os dashboards.
Ver o inventário de dispositivos
O inventário de dispositivos é onde verá a lista de pontos finais, dispositivos de rede e dispositivos IoT na sua rede. Não só lhe fornece uma vista dos dispositivos na sua rede, como também lhe fornece informações aprofundadas sobre os mesmos, como o domínio, o nível de risco, a plataforma do SO e outros detalhes para facilitar a identificação dos dispositivos mais em risco.
Ver o dashboard da Gestão de Vulnerabilidades do Microsoft Defender
A Gestão de Vulnerabilidades do Defender ajuda-o a concentrar-se nas fraquezas que representam o risco mais urgente e mais elevado para a organização. No dashboard, obtenha uma vista de alto nível da classificação de exposição da organização, Classificação de Segurança da Microsoft para Dispositivos, distribuição de exposição de dispositivos, recomendações de segurança principais, software vulnerável de topo, atividades de remediação principais e dados de dispositivos mais expostos.
Executar uma simulação
O Microsoft Defender para Endpoint inclui cenários de ataque "Do It Yourself" que pode executar nos seus dispositivos piloto. Cada documento inclui os requisitos do SO e da aplicação, bem como instruções detalhadas específicas de um cenário de ataque. Estes scripts são seguros, documentados e fáceis de utilizar. Estes cenários refletirão as capacidades do Defender para Endpoint e irão guiá-lo através da experiência de investigação.
Para executar qualquer uma das simulações fornecidas, precisa de, pelo menos, um dispositivo integrado.
Em Simulações de Ajuda>& tutoriais, selecione qual dos cenários de ataque disponíveis pretende simular:
Cenário 1: O documento cai pela porta dos fundos - simula a entrega de um documento de atração socialmente projetado. O documento inicia uma backdoor especialmente concebida que dá aos atacantes o controlo.
Cenário 2: script do PowerShell em ataque sem ficheiros - simula um ataque sem ficheiros que depende do PowerShell, que mostra a redução da superfície de ataque e a deteção de aprendizagem de dispositivos de atividade de memória maliciosa.
Cenário 3: Resposta a incidentes automatizada – aciona a investigação automatizada, que procura e corrija automaticamente artefactos de falha de segurança para dimensionar a capacidade de resposta a incidentes.
Transfira e leia o documento de instruções correspondente fornecido com o seu cenário selecionado.
Transfira o ficheiro de simulação ou copie o script de simulação ao navegar para Simulações de Ajuda>& tutoriais. Pode optar por transferir o ficheiro ou script no dispositivo de teste, mas não é obrigatório.
Execute o ficheiro ou script de simulação no dispositivo de teste, conforme indicado no documento de instruções.
Observação
Os ficheiros de simulação ou os scripts imitam a atividade de ataque, mas na verdade são benignos e não prejudicam nem comprometem o dispositivo de teste.
Integração SIEM
Pode integrar o Defender para Endpoint com o Microsoft Sentinel ou um serviço genérico de gestão de informações e eventos de segurança (SIEM) para ativar a monitorização centralizada de alertas e atividades de aplicações ligadas. Com o Microsoft Sentinel, pode analisar eventos de segurança em toda a sua organização de forma mais abrangente e criar manuais de procedimentos para obter uma resposta eficaz e imediata.
O Microsoft Sentinel inclui um conector do Defender para Endpoint. Para obter mais informações, consulte Conector do Microsoft Defender para Endpoint para o Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM genéricos, veja Ativar a integração do SIEM no Microsoft Defender para Endpoint.
Próxima etapa
Incorpore as informações no Guia de Operações de Segurança do Defender para Endpoint nos seus processos secOps.
Passo seguinte para a implementação ponto a ponto do Microsoft Defender XDR
Continue a sua implementação ponto a ponto do Microsoft Defender XDR com Piloto e implemente o Microsoft Defender para Cloud Apps.
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de