Monitore arquiteturas de segurança Zero Trust (TIC 3.0) com o Microsoft Sentinel

Zero Trust é uma estratégia de segurança para projetar e implementar os seguintes conjuntos de princípios de segurança:

Verificar explicitamente	Usar acesso com privilégios mínimos	Assuma a violação
Sempre autentique e autorize com base em todos os pontos de dados disponíveis.	Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.	Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.

Este artigo descreve como usar a solução Microsoft Sentinel Zero Trust (TIC 3.0), que ajuda as equipes de governança e conformidade a monitorar e responder aos requisitos de Zero Trust de acordo com a iniciativa TRUSTED INTERNET CONNECTIONS (TIC) 3.0 .

As soluções Microsoft Sentinel são conjuntos de conteúdo agregado, pré-configurados para um conjunto específico de dados. A solução Zero Trust (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um manual, que fornecem uma visualização automatizada dos princípios do Zero Trust, cruzados com a estrutura Trust Internet Connections, ajudando as organizações a monitorar as configurações ao longo do tempo.

A solução Zero Trust e a estrutura TIC 3.0

Zero Trust e TIC 3.0 não são a mesma coisa, mas compartilham muitos temas comuns e, juntos, fornecem uma história comum. A solução Microsoft Sentinel para Zero Trust (TIC 3.0) oferece faixas de pedestres detalhadas entre o Microsoft Sentinel e o modelo Zero Trust com a estrutura TIC 3.0. Essas faixas de pedestres ajudam os usuários a entender melhor as sobreposições entre as duas.

Embora a solução Microsoft Sentinel para Zero Trust (TIC 3.0) forneça orientações de práticas recomendadas, a Microsoft não garante nem implica conformidade. Todos os requisitos, validações e controles de Conexão de Internet Confiável (TIC) são regidos pela Agência de Segurança de Infraestrutura e Cibersegurança.

A solução Zero Trust (TIC 3.0) fornece visibilidade e consciência situacional para requisitos de controle fornecidos com tecnologias Microsoft em ambientes predominantemente baseados em nuvem. A experiência do cliente varia de acordo com o usuário, e alguns painéis podem exigir configurações adicionais e modificação de consulta para operação.

As recomendações não implicam a cobertura dos respetivos controles, pois muitas vezes são um dos vários cursos de ação para abordar os requisitos, que é exclusivo para cada cliente. As recomendações devem ser consideradas um ponto de partida para o planeamento da cobertura total ou parcial dos respetivos requisitos de controlo.

A solução Microsoft Sentinel para Zero Trust (TIC 3.0) é útil para qualquer um dos seguintes usuários e casos de uso:

• Profissionais de governança de segurança, risco e conformidade, para avaliação e relatórios de postura de conformidade
• Engenheiros e arquitetos, que precisam projetar cargas de trabalho alinhadas ao Zero Trust e ao TIC 3.0
• Analistas de segurança, para alertas e automação de edifícios
• Provedores de serviços de segurança gerenciados (MSSPs) para serviços de consultoria
• Gerentes de segurança, que precisam revisar requisitos, analisar relatórios, avaliar recursos

Pré-requisitos

Antes de instalar a solução Zero Trust (TIC 3.0), certifique-se de que tem os seguintes pré-requisitos:

• Serviços Microsoft integrados: certifique-se de que tem o Microsoft Sentinel e o Microsoft Defender for Cloud ativados na sua subscrição do Azure.

• Requisitos do Microsoft Defender for Cloud: No Microsoft Defender for Cloud:

  • Adicione as normas regulamentares necessárias ao seu painel. Certifique-se de adicionar o Benchmark de Segurança do Azure e as Avaliações do NIST SP 800-53 R5 ao seu painel do Microsoft Defender for Cloud. Para obter mais informações, consulte Adicionar um padrão regulatório ao seu painel na documentação do Microsoft Defender for Cloud.

  • Exporte continuamente dados do Microsoft Defender for Cloud para o seu espaço de trabalho do Log Analytics. Para obter mais informações, consulte Exportar continuamente dados do Microsoft Defender for Cloud.

• Permissões de usuário necessárias. Para instalar a solução Zero Trust (TIC 3.0), tem de ter acesso à área de trabalho do Microsoft Sentinel com permissões do Security Reader .

A solução Zero Trust (TIC 3.0) também é aprimorada por integrações com outros serviços da Microsoft, como:

• Microsoft Defender XDR
• Proteção de informações da Microsoft
• Microsoft Entra ID
• Microsoft Defender para Cloud
• Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para identidade
• Aplicativos do Microsoft Defender para Nuvem
• Microsoft Defender para Office 365

Instale a solução Zero Trust (TIC 3.0)

Para implantar a solução Zero Trust (TIC 3.0) do portal do Azure:

1. No Microsoft Sentinel, selecione Hub de conteúdo e localize a solução Zero Trust (TIC 3.0 ).

2. No canto inferior direito, selecione Ver detalhes e, em seguida , Criar. Selecione a subscrição, o grupo de recursos e a área de trabalho onde pretende instalar a solução e, em seguida, reveja o conteúdo de segurança relacionado que será implementado.

   Quando terminar, selecione Rever + Criar para instalar a solução.

Para obter mais informações, consulte Implantar conteúdo e soluções prontos para uso.

Exemplo de cenário de uso

As seções a seguir mostram como um analista de operações de segurança pode usar os recursos implantados com a solução Zero Trust (TIC 3.0) para revisar requisitos, explorar consultas, configurar alertas e implementar automação.

Depois de instalar a solução Zero Trust (TIC 3.0), use a pasta de trabalho, as regras de análise e o manual implantado no espaço de trabalho do Microsoft Sentinel para gerenciar o Zero Trust em sua rede.

Visualizar dados do Zero Trust

1. Navegue até a pasta de trabalho Microsoft Sentinel Workbooks>Zero Trust (TIC 3.0) e selecione Exibir pasta de trabalho salva.

   Na página da pasta de trabalho Zero Trust (TIC 3.0), selecione os recursos do TIC 3.0 que deseja exibir. Para este procedimento, selecione Deteção de intrusão.

   Gorjeta

   Use a alternância Guia na parte superior da página para exibir ou ocultar recomendações e painéis de guia. Verifique se os detalhes corretos estão selecionados nas opções Assinatura, Espaço de trabalho e Intervalo de tempo para que você possa exibir os dados específicos que deseja localizar.

2. Revise os cartões de controle exibidos. Por exemplo, role para baixo para visualizar a placa do Adaptive Access Control :

   

   Gorjeta

   Use a alternância Guias no canto superior esquerdo para exibir ou ocultar recomendações e painéis de guia. Por exemplo, eles podem ser úteis quando você acessa a pasta de trabalho pela primeira vez, mas desnecessários depois de entender os conceitos relevantes.

3. Explore consultas. Por exemplo, no canto superior direito da placa do Adaptive Access Control, selecione o botão :Mais e, em seguida, selecione a opção Abrir a última consulta de execução na visualização Logs.

   A consulta é aberta na página Logs do Microsoft Sentinel:

   

Configurar alertas relacionados ao Zero Trust

No Microsoft Sentinel, navegue até a área Analytics . Veja regras de análise prontas para uso implantadas com a solução Zero Trust (TIC 3.0) pesquisando TIC3.0.

Por padrão, a solução Zero Trust (TIC 3.0) instala um conjunto de regras de análise configuradas para monitorar a postura Zero Trust (TIC3.0) por família de controle, e você pode personalizar limites para alertar as equipes de conformidade sobre mudanças na postura.

Por exemplo, se a postura de resiliência da sua carga de trabalho cair abaixo de uma porcentagem especificada em uma semana, o Microsoft Sentinel gerará um alerta para detalhar o respetivo status da política (aprovação/reprovação), os ativos identificados, o último tempo de avaliação e fornecerá links diretos para o Microsoft Defender for Cloud para ações de correção.

Atualize as regras conforme necessário ou configure uma nova:

Para obter mais informações, consulte Criar regras de análise personalizadas para detetar ameaças.

Responda com SOAR

No Microsoft Sentinel, navegue até a guia playbooks Automation>Ative e localize o playbook Notify-GovernanceComplianceTeam.

Use este manual para monitorar automaticamente os alertas do CMMC e notificar a equipe de conformidade de governança com detalhes relevantes por e-mail e mensagens do Microsoft Teams. Modifique o manual conforme necessário:

Para obter mais informações, consulte Usar gatilhos e ações nos playbooks do Microsoft Sentinel.

Perguntas mais frequentes

Há suporte para modos de exibição e relatórios personalizados?

Sim. Você pode personalizar sua pasta de trabalho Zero Trust (TIC 3.0) para exibir dados por assinatura, espaço de trabalho, tempo, família de controle ou parâmetros de nível de maturidade, e pode exportar e imprimir sua pasta de trabalho.

Para obter mais informações, consulte Usar pastas de trabalho do Azure Monitor para visualizar e monitorar seus dados.

São necessários produtos adicionais?

O Microsoft Sentinel e o Microsoft Defender for Cloud são necessários.

Além desses serviços, cada cartão de controle é baseado em dados de vários serviços, dependendo dos tipos de dados e visualizações que estão sendo mostrados no cartão. Mais de 25 serviços da Microsoft fornecem enriquecimento para a solução Zero Trust (TIC 3.0 ).

O que devo fazer com painéis sem dados?

Painéis sem dados fornecem um ponto de partida para abordar os requisitos de controle Zero Trust e TIC 3.0, incluindo recomendações para abordar os respetivos controles.

Há suporte para várias assinaturas, nuvens e locatários?

Sim. Você pode usar parâmetros de pasta de trabalho, Azure Lighthouse e Azure Arc para aproveitar a solução Zero Trust (TIC 3.0) em todas as suas assinaturas, nuvens e locatários.

Para obter mais informações, consulte Usar pastas de trabalho do Azure Monitor para visualizar e monitorar seus dados e Gerenciar vários locatários no Microsoft Sentinel como um MSSP.

A integração de parceiros é suportada?

Sim. Tanto as pastas de trabalho quanto as regras de análise são personalizáveis para integrações com serviços de parceiros.

Para obter mais informações, consulte Usar pastas de trabalho do Azure Monitor para visualizar e monitorar seus dados e detalhes de eventos personalizados do Surface em alertas.

Está disponível nas regiões governamentais?

Sim. A solução Zero Trust (TIC 3.0) está em visualização pública e pode ser implantada em regiões comerciais/governamentais. Para obter mais informações, consulte Disponibilidade de recursos de nuvem para clientes comerciais e do governo dos EUA.

Que permissões são necessárias para utilizar este conteúdo?

• Os usuários do Microsoft Sentinel Contributor podem criar e editar pastas de trabalho, regras de análise e outros recursos do Microsoft Sentinel.

• Os usuários do Microsoft Sentinel Reader podem exibir dados, incidentes, pastas de trabalho e outros recursos do Microsoft Sentinel.

Para obter mais informações, consulte Permissões no Microsoft Sentinel.

Próximos passos

Para obter mais informações, consulte:

• Introdução ao Microsoft Sentinel
• Visualize e monitore seus dados com pastas de trabalho
• Modelo Microsoft Zero Trust
• Centro de Implementação Zero Trust

Veja os nossos vídeos:

• Demonstração: Solução Microsoft Sentinel Zero Trust (TIC 3.0)
• Demonstração da pasta de trabalho do Microsoft Sentinel: Zero Trust (TIC 3.0)

Leia os nossos blogues!

• Anunciando a solução Microsoft Sentinel: Zero Trust (TIC3.0)
• Criação e monitoramento de cargas de trabalho Zero Trust (TIC 3.0) para sistemas de informação federais com o Microsoft Sentinel
• Zero Trust: 7 estratégias de adoção de líderes de segurança
• Implementando o Zero Trust com o Microsoft Azure: Gerenciamento de Identidade e Acesso (6 Part Series)