Criar a segunda camada de defesa com serviços de Segurança do Microsoft Defender XDR

Muitas organizações usam um ambiente híbrido, com recursos executados no Azure e no local. É possível proteger a maior parte dos recursos do Azure, como máquinas virtuais (VMs), aplicativos do Azure e ID do Microsoft Entra, por meio de serviços de segurança executados no Azure.

Em geral, as organizações também assinam o Microsoft 365 para fornecer aos usuários aplicativos como o Word, o Excel, o PowerPoint e o Exchange online. O Microsoft 365 também oferece serviços de segurança a serem usados para criar uma camada adicional de segurança para alguns dos recursos mais usados do Azure.

Para considerar o uso de serviços de segurança do Microsoft 365, é útil conhecer algumas terminologias e entender a estrutura dos serviços do Microsoft 365. Este quarto artigo de uma série de cinco pode ser útil. Este artigo se baseia em tópicos abordados nos artigos anteriores, em especial:

• Mapear ameaças ao seu ambiente de TI
• Criar a primeira camada de defesa com os serviços de Segurança do Azure

O Microsoft 365 e o Office 365 são serviços baseados em nuvem criados para ajudá-lo a atender às necessidades da organização relativas à segurança, à confiabilidade e à produtividade dos usuários. O Microsoft 365 inclui serviços como Power Automate, Forms, Stream, Sway e Office 365. O Office 365 inclui o conjunto de aplicativos de produtividade conhecido. Para saber mais sobre opções de assinatura para esses dois serviços, confira Opções de plano do Microsoft 365 e do Office 365.

De acordo com a licença adquirida para o Microsoft 365, também é possível obter os serviços de segurança para o Microsoft 365. Esses serviços de segurança são denominados Microsoft Defender XDR, que fornece vários serviços:

• Microsoft Defender para ponto de extremidade
• Microsoft Defender para Identidade
• Microsoft Defender para Office 365
• Microsoft Defender for Cloud Apps

O diagrama a seguir ilustra a relação de soluções e serviços básicos oferecidos pelo Microsoft 365, embora a lista não inclua todos os serviços.

Possível caso de uso

Algumas pessoas ficam confusas sobre os serviços de segurança do Microsoft 365 e a papel na segurança cibernética de TI. Isso é causado pela semelhança entre nomes, incluindo alguns serviços de segurança executados no Azure, como o Microsoft Defender for Cloud (antes conhecido como Central de Segurança do Azure) e o Defender for Cloud Apps (antes conhecido como Microsoft Cloud Application Security).

Mas não é só a terminologia que gera dúvidas. Alguns serviços oferecem proteções parecidas, mas para recursos distintos, como o Defender for Identity e o Azure Identity Protection. Ambos os serviços oferecem proteção para serviços de identidade, mas o Defender for Identity protege a identidade local (usando Serviços de Domínio Active Directory, com base na autenticação Kerberos). Já o Azure Identity Protection protege a identidade na nuvem (usando a ID do Microsoft Entra, com base na autenticação OAuth).

Esses exemplos mostram que, se você entender como os serviços de segurança do Microsoft 365 operam e as distinções em comparação aos serviços de segurança do Azure, poderá planejar sua estratégia de segurança na nuvem da Microsoft com eficácia e apresentar uma ótima postura de segurança para seu ambiente de TI. Essa é a finalidade deste artigo.

O diagrama a seguir ilustra um caso de uso real em que é possível considerar o uso de serviços de segurança do Microsoft Defender XDR. O diagrama mostra os recursos que precisam ser protegidos. Os serviços executados no ambiente aparecem na parte superior. Algumas ameaças em potencial aparecem na parte inferior. Os serviços do Microsoft Defender XDR são como mediadores, defendendo os recursos da organização de possíveis ameaças.

Arquitetura

O diagrama a seguir mostra uma camada, rotulada como DEFENDER,, que representa os serviços de segurança do Microsoft Defender XDR. Adicionar esses serviços ao ambiente de TI ajuda você a criar uma defesa melhor para o ambiente. Os serviços na camada Defender podem operar com serviços de segurança do Azure.

Baixe um Arquivo Visio dessa arquitetura.

©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

Workflow

1. Microsoft Defender para ponto de extremidade

   O Defender para Ponto de Extremidade protege pontos de extremidade da sua empresa e foi criado para ajudar redes a prevenir, detectar, investigar e responder a ameaças avançadas. Ele cria uma camada de proteção para VMs que são executadas no Azure e no local. Para obter mais informações sobre o que pode ser protegido, confira Microsoft Defender para Ponto de Extremidade.

2. Microsoft Defender for Cloud Apps

   Antes conhecido como Microsoft Cloud Application Security, o Defender para Aplicativos de Nuvem é um agente de segurança de acesso à nuvem (CASB) que oferece suporte a vários modos de implantação. Esses modos incluem coleta de logs, conectores de API e proxy reverso. Ele fornece visibilidade avançada, controle sobre o percurso de dados e uma análise sofisticada para identificar e combater ameaças cibernéticas em todos os serviços de nuvem da Microsoft e de terceiros. Ele fornece proteção e mitigação de riscos para aplicativos de nuvem e até mesmo para alguns aplicativos com execução local. Ele também fornece uma camada de proteção para os usuários que acessam esses aplicativos. Para saber mais, confira a Visão geral do Microsoft Defender para Aplicativos de Nuvem.

   É importante não confundir o Defender para Aplicativos de Nuvem com o Microsoft Defender para Nuvem, que fornece recomendações e uma pontuação da postura de segurança de servidores, aplicativos, contas de armazenamento e outros recursos em execução no Azure, no local e em outras nuvens. O Defender para Nuvem consolida dois serviços anteriores, a Central de Segurança do Azure e o Azure Defender.

3. Microsoft Defender para Office 365

   O Defender para Office 365 protege sua organização contra ameaças maliciosas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. Ele fornece proteção para email e colaboração. De acordo com a licença, você pode adicionar investigação, busca e resposta pós-violação, bem como automação e simulação (para treinamento). Para saber mais sobre opções de licenciamento, confira Visão geral da segurança do Microsoft Defender para Office 365.

4. Microsoft Defender para Identidade

   O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que usa os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização. Ele protege Serviços de Domínio do Active Directory (AD DS) executados no local. Apesar de o serviço ser executado na nuvem, ele protege identidades locais. O Defender para Identidade antes era chamado de Proteção Avançada contra Ameaças do Azure. Para obter mais informações, confira O que é o Microsoft Defender para Identidade?

   Se você precisar de proteção para identidades fornecidas pelo Microsoft Entra ID e executadas de forma nativa na nuvem, considere a proteção do Microsoft Entra ID.

5. Microsoft Endpoint Manager

   O Endpoint Manager fornece serviços para serviços de nuvem, serviços locais e para o Microsoft Intune, permitindo controlar recursos e configurações em dispositivos Android, Android Enterprise, iOS, iPadOS, macOS, Windows 10 e Windows 11. Ele é integrado a outros serviços, incluindo:

   • Microsoft Entra ID.
   • Defensores de ameaças móveis.
   • Modelos administrativos (ADMX).
   • Aplicativos Win32.
   • Aplicativos personalizados de linha de negócios.

   Outro serviço que agora faz parte do Endpoint Manager é o Configuration Manager, uma solução de gerenciamento local que permite gerenciar computadores cliente e servidor presentes na rede, conectados diretamente ou pela Internet. Você pode habilitar a funcionalidade de nuvem para integrar o Configuration Manager ao Intune, ao Microsoft Entra ID, ao Defender para Ponto de Extremidade e a outros serviços de nuvem. Use-o para implantar aplicativos, atualizações de software e sistemas operacionais. Você também pode monitorar a conformidade, consultar objetos, agir com relação aos clientes em tempo real e muito mais. Para conhecer melhor todos os serviços disponíveis, confira Visão geral do Microsoft Endpoint Manager.

Ordem de ataque de exemplos de ameaças

As ameaças nomeadas no diagrama seguem uma ordem de ataque comum:

1. Um invasor envia um email de phishing com malware anexado a ele.

2. Um usuário final abre o malware anexado.

3. O malware é instalado no back-end e o usuário não percebe.

4. O malware instalado rouba as credenciais de alguns usuários.

5. O invasor usa as credenciais para obter acesso a contas confidenciais.

6. Se as credenciais fornecerem acesso a uma conta com privilégios elevados, o invasor comprometerá sistemas adicionais.

O diagrama também mostra na camada rotulada como DEFENDER os serviços do Microsoft Defender XDR que podem monitorar e mitigar esses ataques. Este é um exemplo de como o Defender fornece uma camada adicional de segurança que opera com serviços de segurança do Azure para oferecer proteção adicional dos recursos mostrados no diagrama. Para saber como possíveis ataques ameaçam o ambiente de TI, confira o segundo artigo desta série, Mapear ameaças ao ambiente de TI. Para saber mais sobre o Microsoft Defender XDR, confira Microsoft Defender XDR.

Acessar e gerenciar serviços de segurança do Microsoft Defender XDR

No momento, talvez você precise usar vários portais para gerenciar serviços do Microsoft Defender XDR. Mas, a Microsoft está trabalhando para centralizar ao máximo a funcionalidade. O diagrama a seguir apresenta os portais que se encontram disponíveis e as relações entre eles.

Security.microsoft.com no momento é o portal mais relevante disponível porque inclui funcionalidades do Microsoft Defender para Office 365 (1) e do Defender para Ponto de Extremidade (2). Contudo, a partir de março de 2022, você ainda tem acesso ao protection.office.com para funcionalidades de segurança relativas ao Office 365 (3). Em relação ao Defender para Ponto de Extremidade, se você tentar acessar o portal antigo, securitycenter.windows.com, será redirecionado para o novo portal em security.microsoft.com (7).

O principal uso do portal.cloudappsecurity.com é para gerenciar o (4) Defender para Aplicativos de Nuvem. Ele permite gerenciar aplicativos na nuvem e alguns aplicativos que são executados no local, gerenciar aplicativos não autorizados (shadow IT) e revisar sinais do usuário da Proteção de Identidade. Também é possível usar esse portal para gerenciar muitos sinais e recursos da (5) Proteção de identidade local, que permite consolidar várias funções do (6) portal.atp.azure.com no (4) portal do Defender para Aplicativos de Nuvem. No entanto, você ainda pode acessar o (6) portal.atp.azure.com se precisar.

Por fim, o endpoint.microsoft.com fornece funcionalidade em especial para o Intune e o Gerenciador de Configurações, mas também para outros serviços que fazem parte do Endpoint Manager. Como o security.microsoft.com e o endpoint.microsoft.com oferecem proteção de segurança para pontos de extremidade, eles têm muitas interações entre si (9) para oferecer uma ótima postura de segurança para os pontos de extremidade.

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

• Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.

• A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.

• O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.

• As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.

• O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.

• A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.

• Aplicativos Web é um serviço baseado em HTTP para hospedar aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

• O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.

• O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Rudnei Oliveira | Engenheiro Sênior de Clientes

Outros colaboradores:

• Gary Moore | Programador/escritor
• Andrew Nathan | Gerente Sênior de Engenharia de Clientes

Próximas etapas

• Proteger-se contra ameaças com o Microsoft 365
• Detectar e responder a ataques cibernéticos com o Microsoft Defender XDR
• Introdução ao Microsoft Defender XDR
• Implementar a inteligência contra ameaças no Microsoft 365
• Gerenciar a segurança com o Microsoft 365
• Proteção contra ameaças mal-intencionadas com o Microsoft Defender para Office 365
• Proteja identidades locais com o Microsoft Defender para Nuvem para Identidade

Recursos relacionados

Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série:

• Parte 1: Usar o monitoramento do Azure para integrar componentes de segurança
• Parte 2: Mapear ameaças ao seu ambiente de TI
• Parte 3: Criar a primeira camada de defesa com serviços de Segurança do Azure
• Parte 5: Integração entre serviços de segurança do Azure e do Microsoft Defender XDR