Controlo de Segurança: Segurança do ponto final
A Segurança de Ponto Final abrange controlos na deteção e resposta de pontos finais, incluindo a utilização de deteção e resposta de pontos finais (EDR) e o serviço antimalware para pontos finais em ambientes na cloud.
ES-1: Utilizar a Deteção e Resposta de Pontos Finais (EDR)
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13,7 | SC-3, SI-2, SI-3, SI-16 | 11,5 |
Princípio de segurança: ative as capacidades de Deteção e Resposta de Pontos Finais (EDR) para VMs e integre com processos de operações de SIEM e de segurança.
Orientação do Azure: Microsoft Defender para servidores (com Microsoft Defender para Endpoint integrados) fornece a capacidade EDR para impedir, detetar, investigar e responder a ameaças avançadas.
Utilize Microsoft Defender para a Cloud para implementar Microsoft Defender para servidores nos seus pontos finais e integrar os alertas na sua solução SIEM, como o Microsoft Sentinel.
Implementação do Azure e contexto adicional:
- Introdução ao Azure Defender para Servidores
- descrição geral do Microsoft Defender para Endpoint
- Microsoft Defender para a cobertura de funcionalidades da Cloud para máquinas
- Conector para integração do Defender para Servidores no SIEM
Orientação do AWS: integre a sua conta do AWS no Microsoft Defender para a Cloud e implemente Microsoft Defender para servidores (com Microsoft Defender para Endpoint integrados) nas instâncias do EC2 para fornecer capacidades EDR para impedir, detetar, investigar e responder a ameaças avançadas.
Em alternativa, utilize a capacidade de informações sobre ameaças integradas do Amazon GuardDuty para monitorizar e proteger as instâncias do EC2. O Amazon GuardDuty pode detetar atividades anómalas, como atividade que indica um compromisso de instância, como extração de criptomoedas, software maligno que utiliza algoritmos de geração de domínio (DGAs), atividade denial of service de saída, volume invulgarmente elevado de tráfego de rede, protocolos de rede invulgares, comunicação de instância de saída com um IP malicioso conhecido, credenciais temporárias do Amazon EC2 utilizadas por um endereço IP externo e exfiltração de dados através de DNS.
Implementação do AWS e contexto adicional:
Orientação do GCP: integre o projeto GCP no Microsoft Defender para a Cloud e implemente Microsoft Defender para servidores (com Microsoft Defender para Endpoint integrados) nas instâncias da máquina virtual para fornecer capacidades EDR para impedir, detetar, investigar e responder a avançadas ameaças.
Em alternativa, utilize o Centro de Comandos de Segurança da Google para obter informações sobre ameaças integradas para monitorizar e proteger as instâncias da máquina virtual. O Centro de Comandos de Segurança pode detetar atividades anómalos, como credenciais potencialmente divulgadas, extração de criptomoedas, aplicações potencialmente maliciosas, atividade de rede maliciosa e muito mais.
Implementação do GCP e contexto adicional:
- Proteja os seus pontos finais com a solução EDR integrada do Defender para Cloud:
- Descrição geral do Centro de Comandos de Segurança:
Intervenientes na segurança do cliente (Saiba mais):
- Segurança de infraestrutura e pontos finais
- Informações sobre ameaças
- Gestão de Conformidade de Segurança
- Gestão de postura
ES-2: Utilizar software antimalware moderno
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 10.1 | SC-3, SI-2, SI-3, SI-16 | 5.1 |
Princípio de segurança: utilize soluções antimalware (também conhecidas como proteção de ponto final) capazes de proteção em tempo real e análise periódica.
Orientação do Azure: o Microsoft Defender para a Cloud pode identificar automaticamente a utilização de várias soluções antimalware populares para as suas máquinas virtuais e máquinas no local com o Azure Arc configurado e comunicar o estado de execução da proteção de ponto final e fazer recomendações.
Microsoft Defender Antivírus é a solução antimalware predefinida para o Windows Server 2016 e posterior. Para o Windows Server 2012 R2, utilize Microsoft Antimalware extensão para ativar o SCEP (System Center Endpoint Protection). Para VMs do Linux, utilize Microsoft Defender para Endpoint no Linux para a funcionalidade de proteção de ponto final.
Para Windows e Linux, pode utilizar Microsoft Defender para a Cloud para detetar e avaliar o estado de funcionamento da solução antimalware.
Nota: também pode utilizar Microsoft Defender para o Cloud Defender for Storage para detetar software maligno carregado para contas de Armazenamento do Azure.
Implementação do Azure e contexto adicional:
- Soluções de proteção de pontos finais suportadas
- Como configurar Microsoft Antimalware para máquinas virtuais e Serviços Cloud
Orientação do AWS: integre a sua conta do AWS no Microsoft Defender para a Cloud para permitir que Microsoft Defender para a Cloud identifiquem automaticamente a utilização de algumas soluções antimalware populares para instâncias EC2 com o Azure Arc configurado e comuniquem o estado de execução da proteção de ponto final e façam recomendações.
Implemente Microsoft Defender Antivírus que é a solução antimalware predefinida para o Windows Server 2016 e posterior. Para instâncias EC2 com o Windows Server 2012 R2, utilize Microsoft Antimalware extensão para ativar o SCEP (System Center Endpoint Protection). Para instâncias EC2 com Linux, utilize Microsoft Defender para Endpoint no Linux para a funcionalidade de proteção de pontos finais.
Para Windows e Linux, pode utilizar Microsoft Defender para a Cloud para detetar e avaliar o estado de funcionamento da solução antimalware.
Nota: Microsoft Defender Cloud também suporta determinados produtos de proteção de ponto final de terceiros para a avaliação do estado de funcionamento e de deteção.
Implementação do AWS e contexto adicional:
- GuardDuty EC2 finding (Localização do GuardDuty EC2)
- Microsoft Defender soluções de proteção de pontos finais suportadas
- Recomendações de proteção de pontos finais no Microsoft Defender para Clouds
Orientação do GCP: integre os seus projetos GCP no Microsoft Defender para a Cloud para permitir que Microsoft Defender para a Cloud identifiquem automaticamente a utilização de soluções antimalware populares para instâncias de máquinas virtuais com o Azure Arc configurado e comuniquem o estado da proteção de ponto final e façam recomendações.
Implemente Microsoft Defender Antivírus que é a solução antimalware predefinida para o Windows Server 2016 e posterior. Para instâncias de máquina virtual com o Windows Server 2012 R2, utilize Microsoft Antimalware extensão para ativar o SCEP (System Center Endpoint Protection). Para instâncias de máquinas virtuais com Linux, utilize Microsoft Defender para Endpoint no Linux para a funcionalidade de proteção de pontos finais.
Para Windows e Linux, pode utilizar Microsoft Defender para a Cloud para detetar e avaliar o estado de funcionamento da solução antimalware.
Nota: Microsoft Defender Cloud também suporta determinados produtos de proteção de ponto final de terceiros para a avaliação do estado de funcionamento e de deteção.
Implementação do GCP e contexto adicional:
- Microsoft Defender soluções de proteção de pontos finais suportadas:
- Recomendações de proteção de pontos finais no Microsoft Defender para Clouds:
Intervenientes na segurança do cliente (Saiba mais):
- Segurança de infraestrutura e pontos finais
- Informações sobre ameaças
- Gestão de Conformidade de Segurança
- Gestão de postura
ES-3: Garantir que o software antimalware e as assinaturas são atualizados
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 10.2 | SI-2, SI-3 | 5,2 |
Princípio de segurança: certifique-se de que as assinaturas antimalware são atualizadas de forma rápida e consistente para a solução antimalware.
Orientação do Azure: siga as recomendações no Microsoft Defender para a Cloud para manter todos os pontos finais atualizados com as assinaturas mais recentes. Microsoft Antimalware (para Windows) e Microsoft Defender para Endpoint (para Linux) instalarão automaticamente as assinaturas mais recentes e as atualizações do motor por predefinição.
Para soluções de terceiros, certifique-se de que as assinaturas são atualizadas na solução antimalware de terceiros.
Implementação do Azure e contexto adicional:
- Como implementar Microsoft Antimalware para Serviços Cloud e máquinas virtuais
- Avaliação e recomendações do Endpoint Protection no Microsoft Defender para a Cloud
Orientação do AWS: com a sua conta do AWS integrada no Microsoft Defender para a Cloud, siga as recomendações no Microsoft Defender para a Cloud para manter todos os pontos finais atualizados com as assinaturas mais recentes. Microsoft Antimalware (para Windows) e Microsoft Defender para Endpoint (para Linux) instalarão automaticamente as assinaturas mais recentes e as atualizações do motor por predefinição.
Para soluções de terceiros, certifique-se de que as assinaturas são atualizadas na solução antimalware de terceiros.
Implementação do AWS e contexto adicional:
Orientação do GCP: com os seus projetos GCP integrados no Microsoft Defender para a Cloud, siga as recomendações no Microsoft Defender para a Cloud para manter todas as soluções EDR atualizadas com as assinaturas mais recentes. Microsoft Antimalware (para Windows) e Microsoft Defender para Endpoint (para Linux) instalarão automaticamente as assinaturas mais recentes e as atualizações do motor por predefinição.
Para soluções de terceiros, certifique-se de que as assinaturas são atualizadas na solução antimalware de terceiros.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):