Avaliar e pilotar o Microsoft 365 Defender
Aplica-se a:
- Microsoft 365 Defender
Como funciona esta série de artigos
Esta série de artigos foi concebida para o ajudar durante todo o processo de configuração de um ambiente XDR de avaliação, ponto a ponto, para que possa avaliar as funcionalidades e capacidades do Microsoft 365 Defender e até promover o ambiente de avaliação diretamente para produção quando e se estiver pronto.
Se não estiver familiarizado com o XDR, pode digitalizar estes 7 artigos ligados para compreender o quão abrangente é a solução.
- Como criar o ambiente
- Configurar ou saber mais sobre cada tecnologia deste Microsoft XDR
- Como investigar e responder com este XDR
- Promover o ambiente de avaliação para produção
Microsoft 365 Defender é uma solução de cibersegurança XDR da Microsoft
Microsoft 365 Defender é uma solução de deteção e resposta eXtended (XDR) que recolhe, correlaciona e analisa automaticamente dados de sinalização, ameaças e alertas de todo o seu ambiente do Microsoft 365, incluindo pontos finais, e-mail, aplicações e identidades. Tira partido da inteligência artificial (IA) e da automatização para parar automaticamente os ataques e remediar os recursos afetados num estado seguro.
Pense no XDR como o próximo passo na segurança, unificando o ponto final (deteção e resposta de pontos finais ou EDR), o e-mail, a aplicação e a segurança de identidade num único local.
Recomendações da Microsoft para avaliar Microsoft 365 Defender
A Microsoft recomenda que crie a sua avaliação numa subscrição de produção existente do Office 365. Desta forma, irá obter informações do mundo real imediatamente e pode ajustar as definições para trabalhar contra ameaças atuais no seu ambiente. Depois de ganhar experiência e se sentir confortável com a plataforma, promova cada componente, um de cada vez, para produção.
A anatomia de um ataque de cibersegurança
Microsoft 365 Defender é um conjunto de defesa empresarial baseado na cloud, unificado, pré e pós-falha. Coordena a prevenção, deteção, investigação e resposta entre pontos finais, identidades, aplicações, e-mail, aplicações colaborativas e todos os respetivos dados.
Nesta ilustração, está em curso um ataque. O e-mail de phishing chega à Caixa de Entrada de um funcionário da sua organização, que abre o anexo de e-mail sem saber. Esta ação instala software maligno, o que leva a uma cadeia de eventos que pode terminar com o roubo de dados confidenciais. Mas neste caso, Defender para Office 365 está em funcionamento.
Na ilustração:
- Proteção do Exchange Online, parte do Microsoft Defender para Office 365, consegue detetar o e-mail de phishing e utilizar regras de fluxo de correio (também conhecidas como regras de transporte) para garantir que nunca chega à Caixa de Entrada.
- Defender para Office 365 utiliza Anexos Seguros para testar o anexo e determinar se é prejudicial, para que o e-mail recebido não seja acionável pelo utilizador ou as políticas impeçam que o correio chegue.
- O Defender para Endpoint gere dispositivos que se ligam à rede empresarial e detetam vulnerabilidades de dispositivos e de rede que, de outra forma, poderiam ser exploradas.
- O Defender para Identidade toma nota de alterações repentinas da conta, como escalamento de privilégios ou movimento lateral de alto risco. Também comunica problemas de identidade facilmente explorados, como a delegação kerberos sem restrições, para correção por parte da equipa de segurança.
- Microsoft Defender for Cloud Apps nota um comportamento anómalo, como viagens impossíveis, acesso a credenciais e transferência invulgar, partilha de ficheiros ou atividade de reencaminhamento de correio e comunica-os à equipa de segurança.
Microsoft 365 Defender componentes protegem dispositivos, identidade, dados e aplicações
Microsoft 365 Defender é constituído por estas tecnologias de segurança, operando em conjunto. Não precisa que todos estes componentes beneficiem das capacidades de XDR e Microsoft 365 Defender. Também irá perceber ganhos e eficiências através da utilização de um ou dois.
| Componente | Descrição | Material de referência |
|---|---|---|
| Microsoft Defender para Identidade | Microsoft Defender para Identidade utiliza sinais do Active Directory para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. | O que é o Microsoft Defender para Identidade? |
| Proteção do Exchange Online | Proteção do Exchange Online é o serviço de reencaminhamento e filtragem SMTP baseado na cloud nativo que ajuda a proteger a sua organização contra spam e software maligno. | descrição geral do Proteção do Exchange Online (EOP) – Office 365 |
| Microsoft Defender para Office 365 | Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. | Microsoft Defender para Office 365 - Office 365 |
| Microsoft Defender para Endpoint | Microsoft Defender para Endpoint é uma plataforma unificada para proteção de dispositivos, deteção pós-falha, investigação automatizada e resposta recomendada. | Microsoft Defender para Endpoint - Segurança do Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps é uma solução abrangente entre SaaS que dá visibilidade profunda, controlos de dados fortes e proteção contra ameaças melhorada às suas aplicações na cloud. | O que é o Defender para Cloud Apps? |
| Azure AD Identity Protection | Azure AD Identity Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu ambiente. Estes dados são utilizados por Azure AD para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. Azure AD Identity Protection é licenciado separadamente do Microsoft 365 Defender. Está incluído com Azure Active Directory Premium P2. | O que é o Identity Protection? |
arquitetura de Microsoft 365 Defender
O diagrama abaixo ilustra a arquitetura de alto nível para componentes chave Microsoft 365 Defender e integrações. A arquitetura detalhada para cada componente do Defender e cenários de casos de utilização é fornecida ao longo desta série de artigos.
Nesta ilustração:
- Microsoft 365 Defender combina os sinais de todos os componentes do Defender para fornecer deteção e resposta alargadas (XDR) entre domínios. Isto inclui uma fila de incidentes unificada, resposta automatizada para parar ataques, autorrecuperação (para dispositivos comprometidos, identidades de utilizador e caixas de correio), investigação de ameaças cruzadas e análise de ameaças.
- Microsoft Defender para Office 365 protege a sua organização contra ameaças maliciosas colocadas por mensagens de e-mail, ligações (URLs) e ferramentas de colaboração. Partilha sinais resultantes destas atividades com Microsoft 365 Defender. Proteção do Exchange Online (EOP) está integrado para fornecer proteção ponto a ponto para e-mails e anexos recebidos.
- Microsoft Defender para Identidade recolhe sinais de servidores que executam os Serviços Federados do Active Directory (AD FS) e Active Directory no local Domain Services (AD DS). Utiliza estes sinais para proteger o seu ambiente de identidade híbrida, incluindo a proteção contra hackers que utilizam contas comprometidas para se moverem lateralmente entre estações de trabalho no ambiente no local.
- Microsoft Defender para Endpoint recolhe sinais de e protege os dispositivos utilizados pela sua organização.
- Microsoft Defender for Cloud Apps recolhe sinais da utilização de aplicações na cloud pela sua organização e protege os dados que fluem entre o seu ambiente e estas aplicações, incluindo aplicações na cloud aprovadas e não aprovadas.
- Azure AD Identity Protection avalia os dados de risco de milhares de milhões de tentativas de início de sessão e utiliza estes dados para avaliar o risco de cada início de sessão no seu ambiente. Estes dados são utilizados por Azure AD para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas. Azure AD Identity Protection é licenciado separadamente do Microsoft 365 Defender. Está incluído com Azure Active Directory Premium P2.
O Microsoft SIEM e o SOAR podem utilizar dados de Microsoft 365 Defender
Componentes de arquitetura opcionais adicionais não incluídos nesta ilustração:
- Os dados de sinal detalhados de todos os componentes Microsoft 365 Defender podem ser integrados no Microsoft Sentinel e combinados com outras origens de registo para oferecer capacidades e informações completas de SIEM e SOAR.
- Para obter mais informações sobre como utilizar o Microsoft Sentinel, um SIEM do Azure, com Microsoft 365 Defender como um XDR, veja este artigo Descrição geral e os passos de integração do Microsoft Sentinel e Microsoft 365 Defender.
- Para obter mais informações sobre SOAR no Microsoft Sentinel (incluindo ligações para manuais de procedimentos no Repositório do GitHub do Microsoft Sentinel), leia este artigo.
O processo de avaliação para Microsoft 365 Defender cibersegurança
A Microsoft recomenda a ativação dos componentes do Microsoft 365 pela ordem ilustrada:
A tabela seguinte descreve esta ilustração.
| Número de Série | Passo | Descrição |
|---|---|---|
| 1 | Criar o ambiente de avaliação | Este passo garante que tem a licença de avaliação para Microsoft 365 Defender. |
| 2 | Ativar o Defender para Identidade | Reveja os requisitos de arquitetura, ative a avaliação e veja tutoriais para identificar e remediar diferentes tipos de ataque. |
| 3 | Ativar Defender para Office 365 | Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. Este componente inclui Proteção do Exchange Online e, por isso, irá realmente avaliar ambos aqui. |
| 4 | Ativar o Defender para Ponto Final | Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. |
| 5 | Ativar Microsoft Defender for Cloud Apps | Certifique-se de que cumpre os requisitos de arquitetura, ative a avaliação e, em seguida, crie o ambiente piloto. |
| 6 | Investigar e lidar com ameaças | Simular um ataque e começar a utilizar as capacidades de resposta a incidentes. |
| 7 | Promover a avaliação para produção | Promova os componentes do Microsoft 365 para produção um a um. |
Esta ordem é geralmente recomendada e concebida para tirar partido do valor das capacidades rapidamente com base na quantidade de esforço normalmente necessário para implementar e configurar as capacidades. Por exemplo, Defender para Office 365 pode ser configurado em menos tempo do que o necessário para inscrever dispositivos no Defender para Endpoint. É claro que deve priorizar os componentes para satisfazer as suas necessidades empresariais e pode ativá-los por uma ordem diferente.
Ir para o Passo Seguinte
Saiba mais e/ou crie o Ambiente de Avaliação do Microsoft 365 Defender