Avaliar e pilotar o Microsoft 365 Defender

Aplica-se a:

  • Microsoft 365 Defender

Como funciona esta série de artigos

Esta série de artigos foi concebida para o ajudar durante todo o processo de configuração de um ambiente XDR de avaliação, ponto a ponto, para que possa avaliar as funcionalidades e capacidades do Microsoft 365 Defender e até promover o ambiente de avaliação diretamente para produção quando e se estiver pronto.

Se não estiver familiarizado com o XDR, pode digitalizar estes 7 artigos ligados para compreender o quão abrangente é a solução.

Microsoft 365 Defender é uma solução de segurança cibernética XDR Microsoft

Microsoft 365 Defender é uma solução de deteção e resposta eXtended (XDR) que recolhe, correlaciona e analisa automaticamente dados de sinalização, ameaças e alertas de todo o ambiente do Microsoft 365, incluindo pontos finais, e-mail, aplicações e identidades. Tira partido da inteligência artificial (IA) e da automatização para parar automaticamente os ataques e remediar os recursos afetados num estado seguro.

Pense no XDR como o próximo passo na segurança, unificando o ponto final (deteção e resposta de pontos finais ou EDR), o e-mail, a aplicação e a segurança de identidade num único local.

Microsoft recomendações para avaliar Microsoft 365 Defender

Microsoft recomenda que crie a avaliação numa subscrição de produção existente do Office 365. Desta forma, irá obter informações do mundo real imediatamente e pode ajustar as definições para trabalhar contra ameaças atuais no seu ambiente. Depois de ganhar experiência e se sentir confortável com a plataforma, promova cada componente, um de cada vez, para produção.

A anatomia de um ataque de cibersegurança

Microsoft 365 Defender é um conjunto de defesa empresarial baseado na cloud, unificado, pré e pós-falha. Coordena a prevenção, deteção, investigação e resposta entre pontos finais, identidades, aplicações, e-mail, aplicações colaborativas e todos os respetivos dados.

Nesta ilustração, está em curso um ataque. O e-mail de phishing chega à Caixa de Entrada de um funcionário da sua organização, que abre o anexo de e-mail sem saber. Esta ação instala software maligno, o que leva a uma cadeia de eventos que pode terminar com o roubo de dados confidenciais. Mas neste caso, Defender para Office 365 está em funcionamento.

As várias tentativas de ataque

Na ilustração:

  • Proteção do Exchange Online, parte do Microsoft Defender para Office 365, consegue detetar o e-mail de phishing e utilizar regras de fluxo de correio (também conhecidas como regras de transporte) para garantir que nunca chega à Caixa de Entrada.
  • Defender para Office 365 utiliza Anexos Seguros para testar o anexo e determinar se é prejudicial, para que o e-mail recebido não seja acionável pelo utilizador ou as políticas impeçam que o correio chegue.
  • O Defender para Endpoint gere dispositivos que se ligam à rede empresarial e detetam vulnerabilidades de dispositivos e de rede que, de outra forma, poderiam ser exploradas.
  • O Defender para Identidade toma nota de alterações repentinas da conta, como escalamento de privilégios ou movimento lateral de alto risco. Também comunica problemas de identidade facilmente explorados, como a delegação kerberos sem restrições, para correção por parte da equipa de segurança.
  • Microsoft Defender for Cloud Apps nota um comportamento anómalo, como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e comunica-os à equipa de segurança.

Microsoft 365 Defender componentes protegem dispositivos, identidade, dados e aplicações

Microsoft 365 Defender é constituído por estas tecnologias de segurança, operando em conjunto. Não precisa que todos estes componentes beneficiem das capacidades de XDR e Microsoft 365 Defender. Também irá perceber ganhos e eficiências através da utilização de um ou dois.

Componente Descrição Material de referência
Microsoft Defender para Identidade Microsoft Defender para Identidade utiliza sinais do Active Directory para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. O que é o Microsoft Defender para Identidade?
Proteção do Exchange Online Proteção do Exchange Online é o serviço de reencaminhamento e filtragem SMTP baseado na cloud nativo que ajuda a proteger a sua organização contra spam e software maligno. descrição geral do Proteção do Exchange Online (EOP) – Office 365
Microsoft Defender para Office 365 Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Microsoft Defender para Office 365 - Office 365
Microsoft Defender para Endpoint Microsoft Defender para Endpoint é uma plataforma unificada para proteção de dispositivos, deteção pós-falha, investigação automatizada e resposta recomendada. Microsoft Defender para Endpoint - Segurança do Windows
Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps é uma solução abrangente entre SaaS que dá visibilidade profunda, controlos de dados fortes e proteção contra ameaças melhorada às suas aplicações na cloud. O que é o Defender para Cloud Apps?
Azure AD Identity Protection Azure AD Identity Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu ambiente. Estes dados são utilizados por Azure AD para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. Azure AD Identity Protection é licenciado separadamente do Microsoft 365 Defender. Está incluído com Azure Active Directory Premium P2. O que é o Identity Protection?

arquitetura de Microsoft 365 Defender

O diagrama abaixo ilustra a arquitetura de alto nível para componentes chave Microsoft 365 Defender e integrações. A arquitetura detalhada para cada componente do Defender e cenários de casos de utilização é fornecida ao longo desta série de artigos.

Uma arquitetura de alto nível do portal do Microsoft 365 Defender

Nesta ilustração:

  • Microsoft 365 Defender combina os sinais de todos os componentes do Defender para fornecer deteção e resposta alargadas (XDR) entre domínios. Isto inclui uma fila de incidentes unificada, resposta automatizada para parar ataques, autorrecuperação (para dispositivos comprometidos, identidades de utilizador e caixas de correio), investigação de ameaças cruzadas e análise de ameaças.
  • Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Partilha sinais resultantes destas atividades com Microsoft 365 Defender. Proteção do Exchange Online (EOP) está integrado para fornecer proteção ponto a ponto para e-mails e anexos recebidos.
  • Microsoft Defender para Identidade recolhe sinais de servidores que executam os Serviços Federados do Active Directory (AD FS) e Active Directory no local Domain Services (AD DS). Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
  • Microsoft Defender para Endpoint recolhe sinais de e protege os dispositivos utilizados pela sua organização.
  • Microsoft Defender for Cloud Apps recolhe sinais da utilização de aplicações na cloud pela sua organização e protege os dados que fluem entre o seu ambiente e estas aplicações, incluindo aplicações na cloud aprovadas e não aprovadas.
  • Azure AD Identity Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu ambiente. Estes dados são utilizados por Azure AD para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. Azure AD Identity Protection é licenciado separadamente do Microsoft 365 Defender. Está incluído com Azure Active Directory Premium P2.

Microsoft SIEM e SOAR podem utilizar dados de Microsoft 365 Defender

Componentes de arquitetura opcionais adicionais não incluídos nesta ilustração:

  • Os dados de sinal detalhados de todos os componentes Microsoft 365 Defender podem ser integrados no Microsoft Sentinel e combinados com outras origens de registo para oferecer capacidades e informações COMPLETAs do SIEM e SOAR.
  • Para obter mais informações sobre como utilizar o Microsoft Sentinel, um SIEM do Azure, com Microsoft 365 Defender como um XDR, veja este artigo Descrição Geral e os passos de integração Microsoft Sentinel e Microsoft 365 Defender.
  • Para obter mais informações sobre SOAR no Microsoft Sentinel (incluindo ligações para manuais de procedimentos no Repositório do GitHub do Microsoft Sentinel), leia este artigo.

O processo de avaliação para Microsoft 365 Defender cibersegurança

Microsoft recomenda a ativação dos componentes do Microsoft 365 pela ordem ilustrada:

Um processo de avaliação de alto nível no portal do Microsoft 365 Defender

A tabela seguinte descreve esta ilustração.

Número de Série Passo Descrição
1 Criar o ambiente de avaliação Este passo garante que tem a licença de avaliação para Microsoft 365 Defender.
2 Ativar o Defender para Identidade Reveja os requisitos de arquitetura, ative a avaliação e veja tutoriais para identificar e remediar diferentes tipos de ataque.
3 Ativar Defender para Office 365 Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. Este componente inclui Proteção do Exchange Online e, por isso, irá realmente avaliar ambos aqui.
4 Ativar o Defender para Ponto Final Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto.
5 Ativar Microsoft Defender for Cloud Apps Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto.
6 Investigar e lidar com ameaças Simular um ataque e começar a utilizar as capacidades de resposta a incidentes.
7 Promover a avaliação para produção Promova o Microsoft 365 componentes para produção um a um.

Esta ordem é geralmente recomendada e concebida para tirar partido do valor das capacidades rapidamente com base na quantidade de esforço normalmente necessário para implementar e configurar as capacidades. Por exemplo, Defender para Office 365 pode ser configurado em menos tempo do que o necessário para inscrever dispositivos no Defender para Endpoint. É claro que deve priorizar os componentes para satisfazer as suas necessidades empresariais e pode ativá-los por uma ordem diferente.

Ir para o Passo Seguinte

Saiba mais e/ou crie o Ambiente de Avaliação do Microsoft 365 Defender