Pilote e implemente o Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Esta série de artigos orienta-o ao longo de todo o processo de pilotagem dos componentes do Microsoft Defender XDR no seu inquilino de produção para que possa avaliar as respetivas funcionalidades e capacidades e, em seguida, concluir a implementação na sua organização.
Uma solução de deteção e resposta eXtended (XDR) é um passo em frente na cibersegurança porque retira os dados de ameaças de sistemas que outrora foram isolados e unifica-os para que possa ver padrões e agir sobre ciberataques suspeitos mais rapidamente.
Microsoft Defender XDR:
É uma solução XDR que combina as informações sobre ciberataques para identidades, pontos finais, e-mail e aplicações na cloud num único local. Tira partido da inteligência artificial (IA) e da automatização para parar automaticamente alguns tipos de ataques e remediar os recursos afetados para um estado seguro.
É um conjunto de defesa empresarial com base na cloud, unificado, pré e pós-falha. Coordena a prevenção, deteção, investigação e resposta entre identidades, pontos finais, e-mail, aplicações na cloud e respetivos dados.
Contribui para uma arquitetura de Confiança Zero forte ao fornecer proteção e deteção de ameaças. Ajuda a evitar ou reduzir os danos comerciais causados por uma falha de segurança. Para obter mais informações, veja Implementar a proteção contra ameaças e o cenário empresarial XDR na arquitetura de adoção do Microsoft Zero Trust.
Componentes e arquitetura XDR do Microsoft Defender
Esta tabela lista os componentes do Microsoft Defender XDR.
| Componente | Descrição | Para obter mais informações |
|---|---|---|
| Microsoft Defender para Identidade | Utiliza sinais dos Serviços de Domínio do Active Directory (AD DS) no local e dos Serviços de Federação do Active Directory (AD FS) para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. | O que é o Microsoft Defender para Identidade? |
| Proteção do Exchange Online | O serviço de reencaminhamento e filtragem SMTP baseado na cloud nativo que ajuda a proteger a sua organização contra spam e software maligno. | Descrição geral da Proteção do Exchange Online (EOP) – Office 365 |
| Microsoft Defender para Office 365 | Protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. | Microsoft Defender para Office 365 – Office 365 |
| Microsoft Defender para Endpoint | Uma plataforma unificada para proteção de dispositivos, deteção pós-falha, investigação automatizada e resposta recomendada. | Microsoft Defender para Endpoint - Segurança do Windows |
| Microsoft Defender for Cloud Apps | Uma solução abrangente entre SaaS que dá visibilidade profunda, controlos de dados fortes e proteção contra ameaças melhorada às suas aplicações na cloud. | O que é o Defender para Cloud Apps? |
| Proteção do Microsoft Entra ID | Avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu inquilino. Estes dados são utilizados pelo ID do Microsoft Entra para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. O Microsoft Entra ID Protection é separado do Microsoft Defender XDR e está incluído nas licenças do Microsoft Entra ID P2. | O que é o Identity Protection? |
Esta ilustração mostra a arquitetura e a integração dos componentes XDR do Microsoft Defender.
Nesta ilustração:
- O Microsoft Defender XDR combina os sinais de todos os componentes do Defender para fornecer XDR entre domínios. Isto inclui uma fila de incidentes unificada, resposta automatizada para parar ataques, autorrecuperação (para dispositivos comprometidos, identidades de utilizador e caixas de correio), investigação de ameaças cruzadas e análise de ameaças.
- O Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Partilha sinais resultantes destas atividades com o Microsoft Defender XDR. A Proteção do Exchange Online (EOP) está integrada para fornecer proteção ponto a ponto para e-mails e anexos recebidos.
- O Microsoft Defender para Identidade recolhe sinais de controladores de domínio e servidores do AD DS com o AD FS e o AD CS. Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
- O Microsoft Defender para Endpoint recolhe sinais de e protege dispositivos geridos pela sua organização.
- O Microsoft Defender para Cloud Apps recolhe sinais da utilização de aplicações na cloud pela sua organização e protege os dados que fluem entre o seu ambiente de TI e estas aplicações, incluindo aplicações na cloud aprovadas e não aprovadas.
- O Microsoft Entra ID Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu inquilino. Estes dados são utilizados pelo ID do Microsoft Entra para permitir ou impedir o acesso à conta com base nas condições e restrições das suas políticas de Acesso Condicional. O Microsoft Entra ID Protection é separado do Microsoft Defender XDR e está incluído nas licenças do Microsoft Entra ID P2.
Componentes XDR do Microsoft Defender e integração SIEM
Pode integrar componentes do Microsoft Defender XDR no Microsoft Sentinel ou num serviço genérico de gestão de informações e eventos de segurança (SIEM) para permitir a monitorização centralizada de alertas e atividades de aplicações ligadas.
O Microsoft Sentinel é uma solução nativa da cloud que fornece capacidades DE SIEM e orquestração de segurança, automatização e resposta (SOAR). Em conjunto, os componentes do Microsoft Sentinel e do Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a defenderem-se contra ataques modernos.
O Microsoft Sentinel inclui conectores para componentes do Microsoft Defender. Isto permite-lhe não só obter visibilidade sobre as suas aplicações na cloud, mas também obter análises sofisticadas para identificar e combater ciberameaças e controlar o modo de deslocação dos seus dados. Para obter mais informações, veja Descrição geral do Microsoft Defender XDR epassos de integração e Integração do Microsoft Sentinel para o Microsoft Sentinel e o Microsoft Defender XDR.
Para obter mais informações sobre o SOAR no Microsoft Sentinel (incluindo ligações para manuais de procedimentos no Repositório gitHub do Microsoft Sentinel), veja Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel.
Para obter informações sobre a integração com sistemas SIEM de terceiros, veja Integração genérica do SIEM.
Microsoft Defender XDR e um exemplo de ataque de cibersegurança
Este diagrama mostra um ciberataque comum e os componentes do Microsoft Defender XDR que ajudam a detetar e remediar o mesmo.
O ciberataque começa com um e-mail de phishing que chega à Caixa de Entrada de um funcionário da sua organização, que abre sem saber o anexo de e-mail. Este anexo instala software maligno, o que pode levar a uma cadeia de tentativas de ataque que pode resultar no roubo de dados confidenciais.
Na ilustração:
- A Proteção do Exchange Online, que faz parte do Microsoft Defender para Office 365, pode detetar o e-mail de phishing e utilizar regras de fluxo de correio (também conhecidas como regras de transporte) para garantir que nunca chega à Caixa de Entrada de um utilizador.
- O Defender para Office 365 utiliza Anexos Seguros para testar o anexo e determinar que é prejudicial, para que o e-mail recebido não seja acionável pelo utilizador ou as políticas impeçam que o correio chegue.
- O Defender para Endpoint deteta vulnerabilidades de dispositivos e de rede que, de outra forma, poderiam ser exploradas para dispositivos geridos pela sua organização.
- O Defender para Identidade toma nota de alterações repentinas na conta de utilizador no local, como escalamento de privilégios ou movimento lateral de alto risco. Também comunica problemas de identidade facilmente explorados, como a delegação kerberos sem restrições, para correção por parte da sua equipa de segurança.
- O Microsoft Defender para Cloud Apps deteta comportamentos anómalos, como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e comunica-os à sua equipa de segurança.
O processo piloto e de implementação do Microsoft Defender XDR
A Microsoft recomenda a ativação dos componentes do Microsoft 365 Defender pela seguinte ordem.
| Fase | Ligação |
|---|---|
| Um. Iniciar o piloto | Iniciar o piloto |
| B. Pilote e implemente componentes XDR do Microsoft Defender | - Pilote e implemente o Defender para Identidade - Pilote e implemente o Defender para Office 365 - Pilote e implemente o Defender para Endpoint - Pilote e implemente o Microsoft Defender para Aplicações na Cloud |
| C. Investigar e lidar com ameaças | Praticar a investigação e resposta a incidentes |
Esta ordem foi concebida para tirar partido do valor das capacidades rapidamente com base na quantidade de esforço normalmente necessário para implementar e configurar as capacidades. Por exemplo, o Defender para Office 365 pode ser configurado em menos tempo do que o necessário para inscrever dispositivos no Defender para Endpoint. Priorize os componentes para satisfazer as suas necessidades empresariais.
Iniciar o piloto
A Microsoft recomenda que inicie o seu piloto na sua subscrição de produção existente do Microsoft 365 para obter informações do mundo real imediatamente e pode ajustar as definições para trabalhar contra ameaças atuais no seu inquilino do Microsoft 365. Depois de ganhar experiência e se sentir confortável com a plataforma, basta expandir a utilização de cada componente, um de cada vez, para a implementação completa.
Uma alternativa é Configurar o seu ambiente de laboratório de avaliação XDR do Microsoft Defender. No entanto, este ambiente não mostrará informações reais sobre cibersegurança, tais como ameaças ou ataques ao seu inquilino de produção do Microsoft 365 enquanto estiver a fazer o piloto e não poderá mover as definições de segurança deste ambiente para o seu inquilino de produção.
Utilizar licenças de avaliação do Microsoft 365 E5
Se não tiver o Microsoft 365 E5 e quiser tirar partido das licenças de avaliação do Microsoft 365 E5 para o seu piloto:
Inicie sessão no portal de administração de inquilinos do Microsoft 365 existente.
Selecione Comprar Serviços no menu de navegação.
Na secção Office 365, selecione Detalhes em Licença do Office 365 E5.
Selecione Iniciar avaliação gratuita.
Confirme o seu pedido e selecione Experimentar agora.
O piloto que utiliza licenças de avaliação do Microsoft 365 E5 no inquilino de produção existente irá permitir-lhe manter quaisquer definições e métodos de segurança quando a versão de avaliação expirar e comprar licenças equivalentes.
Passo seguinte
Veja Piloto e implementar o Microsoft Defender para Identidade.
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários