Integrar o Microsoft Defender para Nuvem ao Solução VMware no Azure

O Microsoft Defender para Nuvem oferece proteção avançada contra ameaças para a Solução VMware no Azure e as VMs (máquinas virtuais) locais. Ela avalia a vulnerabilidade das VMs da Solução VMware no Azure e gera alertas, conforme necessário. Esses alertas de segurança podem ser encaminhados ao Azure Monitor para resolução. Você pode definir políticas de segurança no Microsoft Defender para Nuvem. Para obter mais informações, consulte Trabalhando com políticas de segurança.

O Microsoft Defender para Nuvem oferece muitos recursos, incluindo:

• Monitoramento de integridade do arquivo
• Detecção de ataques sem arquivos
• Avaliação de patch do sistema operacional
• Avaliação de configurações incorretas de segurança
• Avaliação da proteção de ponto de extremidade

O diagrama mostra a arquitetura de monitoramento integrado de segurança integrada para VMs da Solução VMware no Azure.

O agente do Log Analytics coleta dados de log do Azure, da Solução VMware no Azure e de VMs locais. Os dados de log são enviados para Logs do Azure Monitor e armazenados em um Workspace do Log Analytics. Cada workspace tem o próprio repositório de dados e a própria configuração para armazenar dados. Assim que os dados são coletados, o Microsoft Defender para Nuvem avalia o status de vulnerabilidade das VMs da Solução VMware no Azure e emite um alerta para qualquer vulnerabilidade crítica. Assim que for avaliado, o Microsoft Defender para Nuvem encaminhará o status de vulnerabilidade para o Microsoft Sentinel, a fim de criar um incidente e fazer o mapeamento com outras ameaças. O Microsoft Defender para Nuvem está conectado ao Microsoft Sentinel usando o próprio conector.

Pré-requisitos

• Planeje o uso otimizado do Defender para Nuvem.

• Revise as plataformas com suporte no Defender para Nuvem.

• Criar um workspace do Log Analytics para coletar dados de várias fontes.

• Habilitar o Microsoft Defender para Nuvem em sua assinatura.

  Observação

  O Microsoft Defender para Nuvem é uma ferramenta pré-configurada que não requer implantação, mas será necessário habilitá-la.

• Habilitar o Microsoft Defender para Nuvem.

Adicionar VMs da Solução VMware no Azure ao Defender para Nuvem

1. Na portal do Azure, procure e selecione o Azure Arc.

2. Em Recursos, selecione Servidores e +Adicionar.

   

3. Selecione Gerar script.

   

4. Na guia Pré-requisitos, selecione Avançar.

5. Na guia Detalhes do recurso, preencha os seguintes detalhes e selecione Próximo: marcas:

   • Subscription
   • Resource group
   • Região
   • Sistema operacional
   • Detalhes do Servidor Proxy

6. Na guia Tags, selecione Avançar.

7. Na guia Baixar e executar script, selecione Baixar.

8. Especifique seu sistema operacional e execute o script em sua VM da Solução VMware no Azure.

Exibir recomendações e avaliações aprovadas

Recomendações e avaliações fornecem os detalhes da integridade da segurança do recurso.

1. No Microsoft Defender para Nuvem, selecione Inventário no painel esquerdo.

2. Para Tipo de recurso, selecione Servidores – Azure Arc.

   

3. Selecione o nome do seu recurso. Uma página é aberta mostrando os detalhes de integridade de segurança do recurso.

4. Em Lista de recomendação, selecione as guias Recomendações, Avaliações aprovadase Avaliações não disponíveis para exibir esses detalhes.

   

Implantar a arquitetura de workspace do Microsoft Sentinel

O Microsoft Sentinel fornece análise de segurança, detecção de alertas e resposta automatizada contra ameaças em um ambiente. É uma solução de SIEM (gerenciamento de eventos de informações de segurança) nativa de nuvem criada com base em um workspace do Log Analytics.

Como o Microsoft Sentinel foi criado com base em um workspace do Log Analytics, você só precisa selecionar o workspace que deseja usar.

1. No portal do Azure, pesquise e selecione Microsoft Sentinel.

2. Na página de workspaces do Microsoft Sentinel, selecione +Adicionar.

3. Selecione o espaço de trabalho do Log Analytics e Adicionar.

Habilitar coletor de dados para eventos de segurança

1. Na página de workspaces do Microsoft Sentinel, selecione o workspace configurado.

2. Em Configuração, selecione Conectores de dados.

3. Na coluna Nome do Conector, selecione Eventos de Segurança na lista, depois selecione Abrir página do conector.

4. Na página do conector, selecione os eventos que você deseja transmitir, depois selecione Aplicar alterações.

   

Conexão Microsoft Sentinel com o Microsoft Defender para Nuvem

1. Na página de workspace do Microsoft Sentinel, selecione o workspace configurado.

2. Em Configuração, selecione Conectores de dados.

3. Selecione Microsoft Defender para Nuvem na lista, depois selecione Abrir página do conector.

   

4. Selecione Conectar para conectar o Microsoft Defender para Nuvem ao Microsoft Sentinel.

5. Habilite Criar incidente para gerar um incidente para o Microsoft Defender para Nuvem.

Criar regras para identificar ameaças de segurança

Após conectar fontes de dados ao Microsoft Sentinel, você pode criar regras para gerar alertas para ameaças detectadas. No exemplo a seguir, criaremos uma regra para tentativas de entrada no Windows Server com a senha incorreta.

1. Na página de visão geral do Microsoft Sentinel, em Configurações, selecione Análise.

2. Em Configurações, selecione Análise.

3. Selecione +Criar e, na lista suspensa, escolha Regra de consulta agendada.

4. Na guia Geral, insira as informações necessárias e, em seguida, selecione Avançar: definir lógica de regra.

   • Nome
   • Descrição
   • Táticas
   • Severity
   • Status

5. Na guia Definir lógica de regra, insira as informações necessárias, depois selecione Próximo.

   • Consulta de regra (com nossa consulta de exemplo)

     SecurityEvent
     |where Activity startswith '4625'
     |summarize count () by IpAddress,Computer
     |where count_ > 3
     

   • Mapear entidades

   • Agendamento de consulta

   • Limite de alerta

   • Agrupamento de eventos

   • Supressão

6. Na guia Configurações de incidente, habilite Criar incidentes de alertas disparados por esta regra de análise e selecione Avançar: resposta automatizada.

   

7. Selecione Avançar: Análise.

8. Na guia Revisar e criar, revise as informações e selecione Criar.

Dica

Após falha na terceira tentativa de entrada no Windows Server, a regra criada dispara um incidente para cada tentativa malsucedida.

Exibir alertas

Você pode exibir incidentes gerados com o Microsoft Sentinel. Pode também atribuir incidentes e fechá-los após eles serem resolvidos, tudo no Microsoft Sentinel.

1. Acesse a página de visão geral do Microsoft Sentinel.

2. Em Gerenciamento de ameaças, selecione Incidentes.

3. Selecione um incidente e atribua-o a uma equipe para resolução.

   

Dica

Após resolver o problema, você pode fechá-lo.

Busca de ameaças de segurança com consultas

Você pode criar consultas ou usar a consulta predefinida disponível no Microsoft Sentinel para identificar as ameaças no seu ambiente. As etapas a seguir executam uma consulta predefinida.

1. Na página visão geral do Microsoft Sentinel, em Gerenciamento de ameaças, selecione Buscar. Uma lista de consultas predefinidas será exibida.

   Dica

   Você também pode criar uma nova consulta selecionando Nova Consulta.

   

2. Selecione uma consulta e Executar Consulta.

3. Selecione Exibir Resultados para verificar os resultados.

Próximas etapas

Agora que você aprendeu a proteger suas VMs da Solução VMware no Azure, saiba mais sobre:

• Usando o painel de proteção de cargas de trabalho
• Detecção avançada de ataques multiestágio no Microsoft Sentinel
• Integrando serviços nativos do Azure na Solução VMware no Azure