Integrar os serviços de segurança do Azure e Microsoft Defender XDR

Você pode fortalecer a postura de segurança de TI da sua organização aproveitando os recursos de segurança disponíveis no Microsoft 365 e no Azure. Este é o quinto e último artigo da série e explica como integrar esses recursos de segurança usando o Microsoft Defender XDR e os serviços de monitoramento do Azure.

Este artigo baseia-se nos artigos anteriores da série:

1. Usar o monitoramento do Azure para integrar componentes de segurança fornece uma visão geral de como integrar os serviços de segurança do Azure e do Microsoft Defender XDR.

2. Mapear ameaças ao seu ambiente de TI descreve métodos para mapear exemplos de ameaças, táticas e técnicas comuns em relação a um exemplo de um ambiente de TI híbrido que usa serviços de nuvem locais e da Microsoft.

3. Criar a primeira camada de defesa com os serviços de Segurança do Azure mapeia um exemplo de alguns serviços de segurança do Azure que criam a primeira camada de defesa para proteger seu ambiente do Azure segundo o Benchmark de Segurança do Azure versão 3.

4. Criar a segunda camada de defesa com os serviços de segurança do Microsoft Defender XDR descreve um exemplo de uma série de ataques contra seu ambiente de TI e como adicionar outra camada de proteção usando o Microsoft Defender XDR.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

Este diagrama mostra uma referência de arquitetura completa. Ele inclui um exemplo de um ambiente de TI, um conjunto de exemplos de ameaças que são descritas de acordo com suas táticas (em azul) e suas técnicas (na caixa de texto) de acordo com a matriz MITRE ATT&CK. A matriz MITRE ATT&CK é abordada em Mapear ameaças ao seu ambiente de TI.

O diagrama destaca vários serviços importantes. Alguns, como o Observador de Rede e o Application Insights, concentram-se na captura de dados de serviços específicos, enquanto outros, como o Log Analytics (também conhecido como Azure Monitor Logs) e o Microsoft Sentinel, agem como serviços principais porque podem coletar, armazenar e analisar dados de uma ampla gama de serviços, sejam eles relacionados a redes, computação ou aplicativos.

No centro do diagrama, você verá duas camadas de serviços de segurança, juntamente com uma camada dedicada a serviços de monitoramento específicos do Azure, todos integrados por meio do Azure Monitor (mostrado ao lado esquerdo do diagrama). O componente-chave dessa integração é o Microsoft Sentinel.

O diagrama mostra os seguintes serviços no Core Monitoring Services e na camada Monitor:

• Azure Monitor
• Log Analytics
• Microsoft Defender para Nuvem
• Microsoft Sentinel
• Observador de Rede
• Análise de Tráfego (parte do Observador de Rede)
• Application Insights
• Análise de Armazenamento

Workflow

1. O Azure Monitor é a proteção de muitos serviços de monitoramento do Azure. Ele inclui gerenciamento de logs, métricas e Application Insights, entre outros. Ele também fornece uma coleção de painéis que estão prontos para uso e gerenciamento de alertas. Para saber mais, confira Visão geral do Azure Monitor.

2. O Microsoft Defender para Nuvem fornece recomendações para máquinas virtuais (VMs), armazenamento, aplicativos e outros recursos, que ajudam um ambiente de TI a ser compatível com vários padrões normativos, como ISO e PCI. Ao mesmo tempo, o Defender para Nuvem oferece uma pontuação para a postura de segurança de sistemas que podem ajudá-lo a rastrear a segurança do seu ambiente. O Defender para Nuvem também oferece alertas automáticos baseados nos logs que ele coleta e analisa. O Defender para Nuvem antes era conhecido como Central de Segurança do Azure. Para saber mais, confira Microsoft Defender para Nuvem.

3. O Log Analytics é um dos serviços mais relevantes. Ele é responsável por armazenar todos os logs e alertas que são usados para criar alertas, insights e incidentes. O Microsoft Sentinel funciona com base no Log Analytics. Basicamente, todos os dados ingeridos pelo Log Analytics estão disponíveis automaticamente para o Microsoft Sentinel. O Log Analytics também é conhecido como Logs do Azure Monitor. Para saber mais, consulte Visão geral do Log Analytics no Azure Monitor.

4. O Microsoft Sentinel funciona como uma fachada para o Log Analytics. Enquanto o Log Analytics armazena logs e alertas de várias fontes, o Microsoft Sentinel oferece APIs que ajudam na ingestão de logs de várias fontes. Essas fontes incluem VMs locais, VMs do Azure, alertas do Microsoft Defender XDR e outros serviços. O Microsoft Sentinel correlaciona os logs para fornecer insights sobre o que está acontecendo em seu ambiente de TI, evitando falsos positivos. O Microsoft Sentinel é o núcleo de segurança e monitoramento dos serviços de nuvem da Microsoft. Para saber mais sobre o Microsoft Sentinel, consulte O que é Microsoft Sentinel?.

Os serviços anteriores nesta lista são os principais serviços que operam no Azure, no Office 365 e em ambientes locais. Os seguintes serviços focam recursos específicos:

5. O Observador de Rede fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar os logs de recursos em uma rede virtual do Azure. Para obter mais informações, consulte O que é o Observador de Rede do Azure?

6. A Análise de Tráfego faz parte do Observador de Rede e opera com base em logs de NSGs (grupos de segurança de rede). A Análise de Tráfego oferece muitos painéis capazes de agregar métricas de conexão de saída e entrada na Rede Virtual do Azure. Para obter mais informações, confira Análise de Tráfego.

7. O Application Insights se concentra em aplicativos e fornece gerenciamento e monitoramento de desempenho extensíveis para aplicativos Web em tempo real, incluindo suporte para uma ampla variedade de plataformas, como .NET, Node.js, Java e Python. O Application Insights é um recurso do Azure Monitor. Para obter mais informações, consulte visão geral do Application Insights.

8. O Azure Storage Analytics executa o registro em log e fornece dados de métrica para uma conta de armazenamento. Você pode usar os dados dele para rastrear solicitações, analisar tendências de uso e diagnosticar problemas com sua conta de armazenamento. Para saber mais, confira Usar a análise de Armazenamento do Azure para coletar logs e dados de métricas.

9. Como essa referência de arquitetura se baseia na Confiança Zero da Microsoft, os serviços e componentes em Infraestrutura e Ponto de Extremidade não têm serviços de monitoramento específicos. Os logs do Azure Monitor e o Defender para Nuvem são os principais serviços para coletar, armazenar e analisar logs de VMs e outros serviços de computação.

O componente central desta arquitetura é o Microsoft Sentinel, pois consolida todos os logs e alertas gerados pelos serviços de segurança do Azure, Microsoft Defender XDR e Azure Monitor. Depois que o Microsoft Sentinel for implementado e receber logs e alertas das fontes descritas neste artigo, a próxima etapa será mapear consultas para esses logs para coletar insights e detectar IOCs (indicadores de comprometimento). Quando o Microsoft Sentinel captura essas informações, você pode investigá-las manualmente ou acionar respostas automatizadas configuradas para mitigar ou resolver incidentes. As respostas automáticas podem incluir ações como bloquear um usuário no Microsoft Entra ID ou bloquear um endereço IP por meio do firewall.

Para saber mais sobre o Microsoft Sentinel, consulte Documentação do Microsoft Sentinel.

Como acessar serviços de segurança e monitoramento

A seguinte lista fornece informações sobre como acessar cada um dos serviços apresentados neste artigo:

• Serviços de segurança do Azure. Você pode acessar todos os serviços de segurança do Azure mencionados nos diagramas desta série de artigos usando o portal do Azure. No portal, use a função de pesquisa para localizar os serviços do seu interesse e acessá-los.

• Azure Monitor. O Azure Monitor está disponível em todas as assinaturas do Azure. Você pode acessá-lo a partir de uma pesquisa por monitor no portal do Azure.

• Defender para Nuvem, O Defender para Nuvem está disponível para qualquer pessoa que acesse o portal do Azure. No portal, procure Defender para Nuvem.

• Log Analytics. Para acessar o Log Analytics, primeiro crie o serviço no portal porque ele não existe por padrão. No portal do Azure, procure espaço de trabalho do Log Analytics e, depois, selecione Criar. Após a criação, você poderá acessar o serviço.

• Microsoft Sentinel. Como o Microsoft Sentinel funciona com base no Log Analytics, primeiro crie um espaço de trabalho do Log Analytics. Em seguida, pesquise o sentinel no portal do Azure. Para criar o serviço, escolha o espaço de trabalho que você deseja ter por trás do Microsoft Sentinel.

• Microsoft Defender para Ponto de Extremidade. O Defender para Ponto de Extremidade faz parte do Microsoft Defender XDR. Acesse o serviço pelo https://security.microsoft.com. Esta é uma alteração do URL anterior, securitycenter.windows.com.

• Microsoft Defender para aplicativos de nuvem. Os aplicativos Defender para Nuvem fazem parte do Microsoft 365. Acesse o serviço pelo https://portal.cloudappsecurity.com.

• O Microsoft Defender para Office 365. O Defender para Office 365 faz parte do Microsoft 365. Acesse o serviço por meio do https://security.microsoft.com, o mesmo portal usado para o Defender para Ponto de Extremidade. (Esta é uma alteração do URL anterior, protection.office.com.)

• Microsoft Defender para Identidade. O Defender para Identidade faz parte do Microsoft 365. Você acessa o serviço por meio do https://portal.atp.azure.com. Embora seja um serviço de nuvem, o Defender para Identidade também é responsável por proteger a identidade em sistemas locais.

• Microsoft Endpoint Manager. O Endpoint Manager é o novo nome para Intune, Configuration Manager e outros serviços. Acesse-o por meio do https://endpoint.microsoft.com. Para saber mais sobre como acessar os serviços fornecidos pelo Microsoft Defender XDR e a relação com cada portal, confira Criar a segunda camada de defesa com os serviços de segurança do Microsoft Defender XDR.

• Observador de Rede do Azure. Para acessar o Observador de Rede do Azure, procure o observador no portal do Azure.

• Análise de Tráfego. A Análise de Tráfego faz parte do Observador de Rede. Você pode acessá-la no menu do lado esquerdo no Observador de Rede. Ela é um monitor de rede avançado que opera com base em seus NSGs que são implementados em interfaces de rede e sub-redes individuais. O Observador de Rede exige a coleta de informações dos NSGs. Para obter instruções sobre como coletar essas informações, confira Tutorial: Registrar o tráfego de rede de e para uma máquina virtual por meio do portal do Azure.

• Application Insights. O Application Insights faz parte do Azure Monitor. Mas, você deve primeiro criá-lo para o aplicativo a ser monitorado. Para alguns aplicativos criados no Azure, como Aplicativos Web, você pode criar o Application Insights diretamente do provisionamento de Aplicativos Web. Para acessá-lo, procure monitor no portal do Azure. Na página Monitor, selecione Aplicativos no menu à esquerda.

• Análise de Armazenamento. O Armazenamento do Azure oferece vários tipos de armazenamento na mesma tecnologia de conta de armazenamento. Você pode encontrar blobs, arquivos, tabelas e filas com base em contas de armazenamento. A Análise de Armazenamento oferece uma várias métricas para usar com esses serviços de armazenamento. Acesse a Análise de Armazenamento na conta de Armazenamento no portal do Azure e selecione Configurações de diagnóstico no menu à esquerda. Escolha um espaço de trabalho de análise de log para enviar essas informações. Você pode acessar um painel do Insights. Tudo na sua conta de armazenamento que é monitorado tem uma representação no menu.

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

• Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.

• A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.

• O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.

• As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.

• O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.

• A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.

• Aplicativos Web é um serviço baseado em HTTP para hospedar aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

• O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.

• O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.

Detalhes da solução

No início, as soluções de monitoramento no Azure podem parecer confusas porque o Azure oferece vários serviços de monitoramento. No entanto, cada serviço de monitoramento do Azure é relevante na estratégia de segurança e monitoramento descrita nesta série. Os artigos desta série descrevem os diversos serviços e como planejar uma segurança eficaz para seu ambiente de TI.

1. Usar o monitoramento do Azure para integrar componentes de segurança
2. Mapear ameaças ao seu ambiente de TI
3. Criar a primeira camada de defesa com os serviços de Segurança do Azure
4. Criar a segunda camada de defesa com serviços de Segurança do Microsoft Defender XDR

Possíveis casos de uso

Essa arquitetura de referência fornece uma visão abrangente dos serviços de segurança do Microsoft Cloud e demonstra como integrá-los para obter uma postura de segurança ideal.

Embora não seja necessário implementar todos os serviços de segurança demonstrados, este exemplo e o mapa de ameaças ilustrado no diagrama de arquitetura podem orientar você na criação de seu próprio mapa de ameaças e no planejamento de sua estratégia de segurança. Escolha os serviços de segurança do Azure e os serviços do Microsoft Defender XDR que melhor atendem às suas necessidades, garantindo que seu ambiente de TI esteja devidamente protegido.

Otimização de custo

Os preços dos serviços do Azure apresentados nesta série de artigos são calculados de várias formas. Alguns serviços são gratuitos, alguns têm uma taxa para cada uso, e outros têm uma taxa baseada no licenciamento. A melhor forma de estimar o preço de um dos serviços de segurança do Azure é usar a Calculadora de preços. Na calculadora, procure um serviço do seu interesse e selecione-o para obter todas as variáveis que determinam o preço do serviço.

Os serviços de segurança do Microsoft Defender XDR funcionam com licenças. Para saber mais sobre os requisitos de licenciamento, confira Pré-requisitos do Microsoft Defender XDR.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Rudnei Oliveira | Engenheiro Sênior de Segurança do Azure

Outros colaboradores:

• Gary Moore | Programador/escritor
• Andrew Nathan | Gerente Sênior de Engenharia de Clientes

Próximas etapas

• Proteger-se contra ameaças com o Microsoft 365
• Detectar e responder a ataques cibernéticos com o Microsoft Defender XDR
• Introdução ao Microsoft Defender XDR
• Gerenciar a segurança com o Microsoft 365
• Proteção contra ameaças mal-intencionadas com o Microsoft Defender para Office 365
• Proteja identidades locais com o Microsoft Defender para Nuvem para Identidade

Recursos relacionados

Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série:

• Parte 1: Usar o monitoramento do Azure para integrar componentes de segurança
• Parte 2: Mapear ameaças ao seu ambiente de TI
• Parte 3: Criar a primeira camada de defesa com serviços de Segurança do Azure
• Parte 4: Criar a segunda camada de defesa com serviços de Segurança do Microsoft Defender XDR

Para obter arquiteturas relacionadas no Centro de Arquitetura do Azure, consulte os seguintes artigos:

• Implementar uma rede híbrida segura
• Monitorar a segurança híbrida usando o Microsoft Defender para Nuvem e o Microsoft Sentinel