Compartilhar via

Integrar o Microsoft Defender para Nuvem ao Solução VMware no Azure

  • Artigo

O Microsoft Defender para Nuvem oferece proteção avançada contra ameaças para a Solução VMware no Azure e as VMs (máquinas virtuais) locais. Ela avalia a vulnerabilidade das VMs da Solução VMware no Azure e gera alertas, conforme necessário. Esses alertas de segurança podem ser encaminhados ao Azure Monitor para resolução. Você pode definir políticas de segurança no Microsoft Defender para Nuvem. Para obter mais informações, consulte Trabalhando com políticas de segurança.

O Microsoft Defender para Nuvem oferece muitos recursos, incluindo:

  • Monitoramento de integridade do arquivo
  • Detecção de ataques sem arquivos
  • Avaliação de patch do sistema operacional
  • Avaliação de configurações incorretas de segurança
  • Avaliação da proteção de ponto de extremidade

O diagrama mostra a arquitetura de monitoramento integrado de segurança integrada para VMs da Solução VMware no Azure.

Diagrama que mostra a arquitetura da Segurança Integrada do Azure.

O agente do Log Analytics coleta dados de log do Azure, da Solução VMware no Azure e de VMs locais. Os dados de log são enviados para Logs do Azure Monitor e armazenados em um Workspace do Log Analytics. Cada workspace tem o próprio repositório de dados e a própria configuração para armazenar dados. Assim que os dados são coletados, o Microsoft Defender para Nuvem avalia o status de vulnerabilidade das VMs da Solução VMware no Azure e emite um alerta para qualquer vulnerabilidade crítica. Assim que for avaliado, o Microsoft Defender para Nuvem encaminhará o status de vulnerabilidade para o Microsoft Sentinel, a fim de criar um incidente e fazer o mapeamento com outras ameaças. O Microsoft Defender para Nuvem está conectado ao Microsoft Sentinel usando o próprio conector.

Pré-requisitos

Adicionar VMs da Solução VMware no Azure ao Defender para Nuvem

  1. Na portal do Azure, procure e selecione o Azure Arc.

  2. Em Recursos, selecione Servidores e +Adicionar.

    Captura de tela mostrando a página de Servidores com Azure Arc para adição de uma VM da Solução VMware no Azure.

  3. Selecione Gerar script.

    Captura de tela da página do Azure Arc mostrando a opção de adição de um servidor usando script interativo.

  4. Na guia Pré-requisitos, selecione Avançar.

  5. Na guia Detalhes do recurso, preencha os seguintes detalhes e selecione Próximo: marcas:

    • Subscription
    • Resource group
    • Região
    • Sistema operacional
    • Detalhes do Servidor Proxy

  6. Na guia Tags, selecione Avançar.

  7. Na guia Baixar e executar script, selecione Baixar.

  8. Especifique seu sistema operacional e execute o script em sua VM da Solução VMware no Azure.

Exibir recomendações e avaliações aprovadas

Recomendações e avaliações fornecem os detalhes da integridade da segurança do recurso.

  1. No Microsoft Defender para Nuvem, selecione Inventário no painel esquerdo.

  2. Para Tipo de recurso, selecione Servidores – Azure Arc.

    Captura de tela mostrando a página de Inventário do Microsoft Defender para Nuvem com os Servidores – Azure Arc selecionado em Tipo de recurso.

  3. Selecione o nome do seu recurso. Uma página é aberta mostrando os detalhes de integridade de segurança do recurso.

  4. Em Lista de recomendação, selecione as guias Recomendações, Avaliações aprovadase Avaliações não disponíveis para exibir esses detalhes.

    Captura de tela mostrando as avaliações e recomendações de segurança do Microsoft Defender para Nuvem.

Implantar a arquitetura de workspace do Microsoft Sentinel

O Microsoft Sentinel fornece análise de segurança, detecção de alertas e resposta automatizada contra ameaças em um ambiente. É uma solução de SIEM (gerenciamento de eventos de informações de segurança) nativa de nuvem criada com base em um workspace do Log Analytics.

Como o Microsoft Sentinel foi criado com base em um workspace do Log Analytics, você só precisa selecionar o workspace que deseja usar.

  1. No portal do Azure, pesquise e selecione Microsoft Sentinel.

  2. Na página de workspaces do Microsoft Sentinel, selecione +Adicionar.

  3. Selecione o espaço de trabalho do Log Analytics e Adicionar.

Habilitar coletor de dados para eventos de segurança

  1. Na página de workspaces do Microsoft Sentinel, selecione o workspace configurado.

  2. Em Configuração, selecione Conectores de dados.

  3. Na coluna Nome do Conector, selecione Eventos de Segurança na lista, depois selecione Abrir página do conector.

  4. Na página do conector, selecione os eventos que você deseja transmitir, depois selecione Aplicar alterações.

    Captura de tela da página Eventos de Segurança no Microsoft Sentinel, onde você pode selecionar quais eventos transmitir.

Conexão Microsoft Sentinel com o Microsoft Defender para Nuvem

  1. Na página de workspace do Microsoft Sentinel, selecione o workspace configurado.

  2. Em Configuração, selecione Conectores de dados.

  3. Selecione Microsoft Defender para Nuvem na lista, depois selecione Abrir página do conector.

    Captura de tela da página Conectores de dados no Microsoft Sentinel mostrando a seleção para conectar o Microsoft Defender para Nuvem ao Microsoft Sentinel.

  4. Selecione Conectar para conectar o Microsoft Defender para Nuvem ao Microsoft Sentinel.

  5. Habilite Criar incidente para gerar um incidente para o Microsoft Defender para Nuvem.

Criar regras para identificar ameaças de segurança

Após conectar fontes de dados ao Microsoft Sentinel, você pode criar regras para gerar alertas para ameaças detectadas. No exemplo a seguir, criaremos uma regra para tentativas de entrada no Windows Server com a senha incorreta.

  1. Na página de visão geral do Microsoft Sentinel, em Configurações, selecione Análise.

  2. Em Configurações, selecione Análise.

  3. Selecione +Criar e, na lista suspensa, escolha Regra de consulta agendada.

  4. Na guia Geral, insira as informações necessárias e, em seguida, selecione Avançar: definir lógica de regra.

    • Nome
    • Descrição
    • Táticas
    • Severity
    • Status

  5. Na guia Definir lógica de regra, insira as informações necessárias, depois selecione Próximo.

    • Consulta de regra (com nossa consulta de exemplo)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Mapear entidades

    • Agendamento de consulta

    • Limite de alerta

    • Agrupamento de eventos

    • Supressão

  6. Na guia Configurações de incidente, habilite Criar incidentes de alertas disparados por esta regra de análise e selecione Avançar: resposta automatizada.

    Captura de tela mostrando o assistente de regra de análise para criar uma nova regra no Microsoft Sentinel.

  7. Selecione Avançar: Análise.

  8. Na guia Revisar e criar, revise as informações e selecione Criar.

Dica

Após falha na terceira tentativa de entrada no Windows Server, a regra criada dispara um incidente para cada tentativa malsucedida.

Exibir alertas

Você pode exibir incidentes gerados com o Microsoft Sentinel. Pode também atribuir incidentes e fechá-los após eles serem resolvidos, tudo no Microsoft Sentinel.

  1. Acesse a página de visão geral do Microsoft Sentinel.

  2. Em Gerenciamento de ameaças, selecione Incidentes.

  3. Selecione um incidente e atribua-o a uma equipe para resolução.

    Captura de tela da página incidentes do Microsoft Sentinel com o incidente selecionado e a opção de atribuição desse incidente para solução.

Dica

Após resolver o problema, você pode fechá-lo.

Busca de ameaças de segurança com consultas

Você pode criar consultas ou usar a consulta predefinida disponível no Microsoft Sentinel para identificar as ameaças no seu ambiente. As etapas a seguir executam uma consulta predefinida.

  1. Na página visão geral do Microsoft Sentinel, em Gerenciamento de ameaças, selecione Buscar. Uma lista de consultas predefinidas será exibida.

    Dica

    Você também pode criar uma nova consulta selecionando Nova Consulta.

    Captura de tela da página de Busca do Microsoft Sentinel com a opção + Nova Consulta realçada.

  2. Selecione uma consulta e Executar Consulta.

  3. Selecione Exibir Resultados para verificar os resultados.

Próximas etapas

Agora que você aprendeu a proteger suas VMs da Solução VMware no Azure, saiba mais sobre: