Operações de segurança centralizadas com identidades externas para organizações de defesa
Este artigo destina-se a organizações de defesa multilocatárias com uma equipe de operações de segurança centralizada. Ele explica como você pode gerenciar vários locatários e atender aos requisitos de confiança zero com uma única identidade e um dispositivo de acesso privilegiado. Com essa configuração, os operadores de segurança não precisam de várias contas de usuário, credenciais e estações de trabalho para proteger seu ambiente. A configuração oferece suporte a recursos de confiança zero em locatários secundários.
Compreender os componentes de configuração
Este cenário combina o Azure Lighthouse, o Entra External ID, o Entra Privileged Identity Management e o gerenciamento multilocatário no Microsoft Defender XDR.
Use o Azure Lighthouse para gerenciar o Microsoft Sentinel em locatários secundários. Você precisa usar o Azure Lighthouse para gerenciar espaços de trabalho do Microsoft Sentinel em assinaturas anexadas a locatários secundários. O Azure Lighthouse permite o gerenciamento multilocatário com escalabilidade, maior automação e governança aprimorada entre recursos.
O Azure Lighthouse permite que uma entidade de segurança (usuário, grupo ou entidade de serviço) em um locatário tenha uma função do Azure para gerenciar recursos em um locatário diferente. Com essa configuração, os operadores de segurança em um locatário principal podem gerenciar perfeitamente o Sentinel e o Defender for Cloud entre locatários.
Nota
As permissões para espaços de trabalho do Microsoft Sentinel anexados a locatários secundários podem ser atribuídas a usuários locais ao locatário secundário, usuários convidados B2B do locatário principal ou diretamente a usuários locatários primários usando o Azure Lighthouse. O Azure Lighthouse é a opção recomendada para o Sentinel porque permite estender as atividades entre espaços de trabalho entre os limites do locatário.
Use o Entra External ID para gerenciar o Microsoft Defender for Endpoint em locatários secundários. Você não pode usar o Azure Lighthouse para compartilhar o Microsoft Defender for Endpoint (MDE) entre locatários, portanto, você precisa usar identidades externas (convidados B2B). As identidades externas permitem que os operadores de segurança no locatário principal gerenciem MDE em um locatário secundário sem entrar com uma conta ou credencial diferente. O operador de segurança precisa especificar o locatário que está usando. Eles devem incluir a ID do locatário na URL do portal do Microsoft Defender para especificar o locatário. Seus operadores devem marcar os portais do Microsoft Defender para cada locatário que precisam gerenciar. Para concluir a configuração, você precisa definir as configurações de acesso entre locatários no locatário secundário. Defina as configurações de confiança de entrada para confiar na autenticação multifator (MFA) e na conformidade do dispositivo do locatário principal. Essa configuração permite que os usuários convidados gerenciem o MDE sem criar exceções para políticas de acesso condicional existentes para locatários secundários.
Quando você habilita o Defender for Server em uma assinatura vinculada ao locatário secundário, a extensão MDE é implantada automaticamente e começa a fornecer sinais de segurança para o serviço MDE. Ele usa o mesmo locatário secundário. As permissões MDE não podem usar o Azure Lighthouse. Você deve atribuí-los a usuários ou grupos na ID local (secundária) do Microsoft Entra. Você precisa integrar operadores de segurança como identidades externas (convidados B2B) no locatário secundário. Em seguida, você pode adicionar o convidado a uma função MDE usando um grupo de segurança do Microsoft Entra. Com essa configuração, um operador de segurança de locatário primário pode executar ações de resposta em servidores protegidos por MDE no locatário secundário.
Use o gerenciamento privilegiado de identidades. O Microsoft Entra Privileged Identity Management (PIM) permite a elevação de funções just-in-time para funções do Azure e do Microsoft Entra. O PIM for Groups estende essa funcionalidade à associação a grupos para grupos do Microsoft 365 e grupos de segurança do Microsoft Entra. Depois de configurar o PIM para Grupos, você precisa revisar a associação ativa e qualificada do grupo privilegiado criando uma revisão de acesso do PIM para Grupos.
Importante
Há duas maneiras de usar o Entra Privileged Identity Management com o Azure Lighthouse. Você pode usar o PIM para grupos para elevar a associação a um grupo de segurança do Entra com uma autorização permanente configurada no Azure Lighthouse, conforme descrito na seção anterior. Outra opção é configurar o Azure Lighthouse com autorizações qualificadas. Para obter mais informações, consulte Integrar um cliente ao Azure Lighthouse.
Configurar operações de segurança centralizadas
Para configurar operações de segurança centralizadas para um ambiente multilocatário, você deve configurar o Azure Lighthouse, o Entra External ID e o Entra Privileged Identity Management. Um operador de segurança no locatário principal pode usar uma única identidade para proteger vários locatários. Eles entram uma vez, elevam seu acesso com o PIM, monitoram recursos entre locatários e serviços e respondem a ameaças entre locatários (consulte a figura 1).
Figura 1. Como configurar operações de segurança em organizações de defesa multilocatário.
1. Implante o Sentinel e habilite o Defender for Cloud. Crie um espaço de trabalho do Microsoft Sentinel em assinaturas associadas a cada locatário. Configure conectores de dados relevantes e habilite regras de análise. Habilite proteções de carga de trabalho aprimoradas do Defender for Cloud para cargas de trabalho hospedadas, incluindo o Defender for Server, em todos os ambientes do Azure e conecte o Defender for Cloud ao Microsoft Sentinel.
2. Configure o PIM para operações de segurança do Azure. Crie um grupo atribuível por função (Azure SecOps na Figura 1) e atribua permanentemente o grupo às funções do Azure de que os operadores de segurança precisam. O exemplo usa o Microsoft Sentinel Contributor e o Security Reader, mas você também pode considerar o Logic App Contributor e outras funções necessárias. Configure o PIM para Grupos para atribuir Operadores de Segurança como elegíveis para o grupo SecOps do Azure. Essa abordagem permite que o Operador de Segurança eleve o acesso para todas as funções de que precisa em uma solicitação PIM. Configure atribuições de função permanentes para acesso de leitura, se necessário.
3. Configure o PIM para operações de segurança do Microsoft Defender XDR. Crie um grupo atribuível de função (Microsoft 365 Role Group na Figura 1) para atribuir permissões do Microsoft Defender XDR. Em seguida, crie uma função PIM para o Grupo de Funções do Microsoft 365 e atribua a elegibilidade para o Operador de Segurança. Se não quiser gerenciar várias funções, você pode usar o mesmo grupo (Azure SecOps) configurado na etapa 1 para atribuir permissões XDR do Microsoft Defender e funções do Azure.
4. Configure o Azure Lighthouse. Use o Azure Lighthouse para atribuir funções do Azure para assinaturas de recursos do Azure de locatário secundário. Use a ID do objeto do grupo SecOps do Azure e a ID do locatário principal. O exemplo na Figura 1 usa as funções Microsoft Sentinel Responder e Security Reader . Configure atribuições de função permanentes usando o Azure Lighthouse para fornecer acesso de leitura permanente, se necessário.
5. Configure o acesso de usuário externo no locatário secundário. Use o gerenciamento de direitos para configurar o cenário iniciado pelo usuário final ou use um convite de convidado para trazer operadores de segurança de locatário primário como identidades externas no locatário secundário. As configurações de acesso entre locatários no locatário secundário são configuradas para confiar nas declarações de conformidade de MFA e dispositivo do locatário principal. Crie um grupo atribuível de função (Grupo de Funções do Microsoft 365 na Figura 1), atribua permissões do Microsoft Defender for Endpoint e configure uma função PIM seguindo o mesmo processo da etapa 2.
Gerencie operações de segurança centralizadas
Os operadores de segurança precisam de contas e acesso elegível para proteger o ambiente e responder a ameaças. Os operadores de segurança devem saber para quais funções estão qualificados e como elevar suas permissões usando o Microsoft Entra PIM. Para o Microsoft Defender for Endpoint (MDE), eles devem saber como alternar entre locatários para caçar e responder a ameaças usando o MDE.
Os operadores de segurança usam a configuração de operações de segurança multilocatário (consulte a Figura 1) para proteger vários locatários. Eles podem monitorar, investigar e responder a ameaças no Microsoft 365 e no Azure em locatários do Microsoft Entra (consulte a figura 2).
Figura 2. Como usar uma configuração de operações de segurança multilocatário.
1. Solicite ao Sentinel e ao Defender acesso à nuvem. O operador de segurança precisa entrar no portal do Azure para solicitar e ativar a função SecOps do Azure usando o PIM. Quando sua função estiver ativa, eles poderão acessar o Microsoft Sentinel e o Defender for Cloud.
2. Use o Sentinel em espaços de trabalho e locatários. Quando sua função Azure SecOps está ativa, o operador de segurança pode navegar até o Microsoft Sentinel e executar operações entre locatários. Você configura os conectores de dados do Microsoft Defender XDR e do Defender for Cloud para as instâncias do Sentinel no locatário primário e no locatário secundário. Quando você configura o Azure Lighthouse para a função SecOps do Azure, o operador de segurança pode ver todos os alertas do Sentinel, consultar espaços de trabalho e gerenciar incidentes e investigações em todos os locatários.
3. Use o portal do Microsoft Defender no locatário principal para responder a ameaças de estação de trabalho. Quando o operador de segurança precisa de acesso ao Microsoft Defender XDR, ele usa o Microsoft Entra PIM para ativar sua função do Microsoft 365. Essa associação de grupo atribui as permissões necessárias para responder às ameaças à segurança em dispositivos de estação de trabalho gerenciados pelo Intune e integrados ao MDE no locatário principal. O operador de segurança usa o portal do Microsoft Defender para executar uma ação de resposta e isolar uma estação de trabalho.
4. Use o portal do Microsoft Defender no locatário secundário para responder a ameaças de servidor. Quando os operadores de segurança precisam responder a ameaças detetadas pelo MDE para servidores em assinaturas de locatário secundário, eles precisam usar o Microsoft Defender para o locatário secundário. O gerenciamento multilocatário no Microsoft Defender XDR simplifica esse processo e pode apresentar uma exibição combinada do Microsoft Defender XDR em todos os locatários. O operador precisa elevar seu acesso MDE no locatário secundário antes de iniciar uma ação de resposta. O operador de segurança deve entrar nos portais do Azure ou do Entra e alternar para o diretório de locatário secundário. Em seguida, o operador de segurança deve usar o PIM para ativar o Grupo de Funções do Microsoft 365. Quando a função estiver ativa, o operador poderá navegar até o portal do Microsoft Defender. A partir daqui, o operador de segurança pode iniciar uma resposta ao vivo para coletar logs do servidor ou executar outras ações de resposta MDE.
5. Use o Lighthouse para gerenciar o Defender for Cloud entre locatários. O operador de segurança deve verificar as recomendações do Defender for Cloud. O operador precisa usar o portal do Azure para alternar diretórios de volta para o locatário principal. O Azure Lighthouse permite que o operador de segurança localize recursos do Azure do locatário secundário do locatário principal. O Defender for Cloud pode mostrar várias recomendações. Essas recomendações podem estar habilitando o acesso à máquina virtual just-in-time e as portas de gerenciamento acessíveis pela Internet. Nesse cenário, o operador de segurança não tem a função do Azure para implementar as recomendações do Defender for Cloud. O operador de segurança deve entrar em contato com a equipe de gerenciamento de infraestrutura do locatário secundário para corrigir a vulnerabilidade. O operador de segurança também deve atribuir a Política do Azure para impedir a implantação de máquinas virtuais com portas de gerenciamento expostas.
Outros padrões de operações de segurança
O padrão de gerenciamento apresentado neste artigo é um dos muitos padrões possíveis usando uma combinação de identidades externas e o Azure Lighthouse. Sua organização pode decidir implementar um padrão diferente que atenda melhor às necessidades de seus operadores de segurança.