Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust
Este guia de solução percorre o processo de configuração das ferramentas de deteção e resposta (XDR) do Microsoft eXtended em conjunto com o Microsoft Sentinel para acelerar a capacidade da sua organização de responder e remediar ataques de cibersegurança.
O Microsoft Defender XDR é uma solução XDR que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o ambiente Microsoft 365.
O Microsoft Sentinel é uma solução nativa da nuvem que fornece recursos de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Juntos, o Microsoft Sentinel e o Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a se defenderem contra ataques modernos.
Esta orientação ajuda você a amadurecer sua arquitetura Zero Trust mapeando os princípios do Zero Trust das seguintes maneiras.
| Princípio da Confiança Zero | Cumprido por |
|---|---|
| Verificar explicitamente | O Microsoft Sentinel coleta dados de todo o ambiente, realiza análises de ameaças e anomalias e pode responder com automação. O Microsoft Defender XDR oferece deteção e resposta estendidas entre usuários, identidades, dispositivos, aplicativos e e-mails. Os sinais baseados em risco capturados pelo Microsoft Defender XDR podem ser usados pelo Microsoft Sentinel para executar ações. |
| Use o acesso menos privilegiado | O Microsoft Sentinel pode detetar atividades anômalas por meio de seu mecanismo de Análise Comportamental de Entidade do Usuário (UEBA). O Threat Intelligence com o Microsoft Sentinel pode importar dados de inteligência de ameaças da Microsoft ou de provedores terceirizados para detetar ameaças novas e emergentes e fornecer contexto extra para investigações. O Microsoft Defender XDR tem a Proteção de ID do Microsoft Entra, que pode bloquear usuários com base no nível de risco com a identidade. Os dados podem ser alimentados no Microsoft Sentinel para análise e automação adicionais. |
| Assuma a violação | O Microsoft Defender XDR verifica continuamente o ambiente em busca de ameaças e vulnerabilidades. O Microsoft Sentinel analisa os dados coletados, a tendência comportamental das entidades para detetar atividades suspeitas, anomalias e ameaças em vários estágios em toda a empresa. O Microsoft Sentinel tem visualizações de pasta de trabalho que podem ajudar as organizações a proteger o ambiente, como a pasta de trabalho Zero Trust. O Microsoft Defender XDR e o Sentinel podem implementar tarefas de correção automatizadas, incluindo investigações automatizadas, isolamento de dispositivos e quarentena de dados. O risco do dispositivo pode ser usado como um sinal para alimentar o Acesso Condicional do Microsoft Entra. |
Arquitetura Microsoft Sentinel e XDR
A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.
Neste diagrama:
- Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
- O Microsoft Defender XDR e o Microsoft Defender for Cloud enviam dados de log SIEM por meio de conectores do Microsoft Sentinel.
- As equipes do SecOps podem analisar e responder às ameaças identificadas nos portais Microsoft Sentinel e Microsoft Defender.
- O Microsoft Sentinel fornece suporte para ambientes multinuvem e integra-se com aplicativos e parceiros de terceiros.
Implementando o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust
O Microsoft Defender XDR é uma solução XDR que complementa o Microsoft Sentinel. Um XDR extrai dados brutos de telemetria de vários serviços, como aplicativos em nuvem, segurança de e-mail, identidade e gerenciamento de acesso.
Usando inteligência artificial (IA) e aprendizado de máquina, o XDR realiza análise, investigação e resposta automáticas em tempo real. A solução XDR também correlaciona alertas de segurança em incidentes maiores, fornecendo às equipes de segurança maior visibilidade sobre ataques, e fornece priorização de incidentes, ajudando os analistas a entender o nível de risco da ameaça.
Com o Microsoft Sentinel, você pode se conectar a muitas fontes de segurança usando conectores internos e padrões do setor. Com sua IA, você pode correlacionar vários sinais de baixa fidelidade abrangendo várias fontes para criar uma visão completa da cadeia de destruição de ransomware e alertas priorizados.
Aproveitando os recursos SIEM e XDR
Nesta seção, examinaremos um cenário típico de ataque envolvendo um ataque de phishing e, em seguida, prosseguiremos com como responder ao incidente com o Microsoft Sentinel e o Microsoft Defender XDR.
Ordem de ataque comum
O diagrama a seguir mostra uma ordem de ataque comum de um cenário de phishing.
O diagrama também mostra os produtos de segurança da Microsoft em vigor para detetar cada etapa de ataque e como os sinais de ataque e os dados SIEM fluem para o Microsoft Defender XDR e o Microsoft Sentinel.
Aqui está um resumo do ataque.
| Etapa de ataque | Serviço de deteção e fonte de sinal | Defesas em vigor |
|---|---|---|
| 1. Invasor envia e-mail de phishing | Microsoft Defender para Office 365 | Protege as caixas de correio com recursos antiphishing avançados que podem proteger contra ataques de phishing baseados em representação mal-intencionada. |
| 2. O usuário abre o anexo | Microsoft Defender para Office 365 | O recurso Anexos Seguros do Microsoft Defender para Office 365 abre anexos em um ambiente isolado para verificação adicional de ameaças (detonação). |
| 3. O anexo instala malware | Microsoft Defender para Ponto Final | Protege os endpoints contra malware com seus recursos de proteção de última geração, como proteção entregue na nuvem e proteção antivírus baseada em comportamento/heurística/em tempo real. |
| 4. Malware rouba credenciais do usuário | Proteção de ID do Microsoft Entra e ID do Microsoft Entra | Protege as identidades monitorando o comportamento e as atividades do usuário, detetando movimentos laterais e alertando sobre atividades anômalas. |
| 5. O invasor se move lateralmente entre aplicativos e dados do Microsoft 365 | Microsoft Defender for Cloud Apps | Pode detetar atividades anômalas de usuários que acessam aplicativos em nuvem. |
| 6. O invasor baixa arquivos confidenciais de uma pasta do SharePoint | Microsoft Defender for Cloud Apps | Pode detetar e responder a eventos de download em massa de arquivos do SharePoint. |
Resposta a incidentes usando o Microsoft Sentinel e o Microsoft Defender XDR
Agora que vimos como um ataque comum ocorre, vamos aproveitar a integração do Microsoft Sentinel e do Microsoft Defender XDR para resposta a incidentes.
Aqui está o processo de resposta a um incidente com o Microsoft Defender XDR e o Microsoft Sentinel:
- Faça a triagem do incidente no portal Microsoft Sentinel.
- Vá para o portal do Microsoft Defender para iniciar sua investigação.
- Quando necessário, continue a investigação no portal Microsoft Sentinel.
- Resolva o incidente no portal Microsoft Sentinel.
O diagrama a seguir mostra o processo, começando com descoberta e triagem no Microsoft Sentinel.
Para obter mais informações, consulte Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR.
Capacidades chave
Para implementar uma abordagem de confiança zero no gerenciamento de incidentes, use esses recursos Microsoft Sentinel e XDR.
| Capacidade ou recurso | Description | Produto |
|---|---|---|
| Investigação automatizada e resposta (AIR) | Os recursos do AIR são projetados para examinar alertas e tomar medidas imediatas para resolver violações. Os recursos do AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. | Microsoft Defender XDR |
| Caça avançada | A caça avançada é uma ferramenta de caça a ameaças baseada em consultas que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores e entidades de ameaça. O acesso flexível aos dados permite a busca sem restrições de ameaças conhecidas e potenciais. | Microsoft Defender XDR |
| Indicadores de arquivo personalizados | Impeça a propagação de um ataque na sua organização banindo ficheiros potencialmente maliciosos ou suspeitas de malware. | Microsoft Defender XDR |
| Descoberta na nuvem | O Cloud Discovery analisa os logs de tráfego coletados pelo Defender for Endpoint e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. | Microsoft Defender for Cloud Apps |
| Indicadores de rede personalizados | Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. | Microsoft Defender XDR |
| Bloco de deteção e resposta de pontos finais (EDR) | Fornece proteção adicional contra artefatos mal-intencionados quando o Microsoft Defender Antivirus (MDAV) não é o produto antivírus principal e está sendo executado no modo passivo. O EDR no modo de bloco funciona nos bastidores para remediar artefatos mal-intencionados que foram detetados pelos recursos do EDR. | Microsoft Defender XDR |
| Recursos de resposta do dispositivo | Responda rapidamente a ataques detetados isolando dispositivos ou coletando um pacote de investigação | Microsoft Defender XDR |
| Resposta ao vivo | A resposta ao vivo dá às equipes de operações de segurança acesso instantâneo a um dispositivo (também conhecido como máquina) usando uma conexão de shell remota. Isso lhe dá o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediata para conter prontamente as ameaças identificadas em tempo real. | Microsoft Defender XDR |
| Aplicações na nuvem seguras | Uma solução de operações de segurança de desenvolvimento (DevSecOps) que unifica o gerenciamento de segurança no nível de código em ambientes multicloud e de vários pipelines. | Microsoft Defender para a Cloud |
| Melhore a sua postura de segurança | Uma solução de gerenciamento de postura de segurança na nuvem (CSPM) que apresenta ações que você pode tomar para evitar violações. | Microsoft Defender para a Cloud |
| Proteja cargas de trabalho na nuvem | Uma plataforma de proteção de carga de trabalho na nuvem (CWPP) com proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho. | Microsoft Defender para a Cloud |
| Análise Comportamental de Usuários e Entidades (UEBA) | Analisa o comportamento de entidades da organização, como usuários, hosts, endereços IP e aplicativos) | Microsoft Sentinel |
| Fusão | Um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina. Deteta automaticamente ataques em vários estágios, também conhecidos como ameaças persistentes avançadas (APT), identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de morte. | Microsoft Sentinel |
| Inteligência de ameaças | Use provedores de terceiros da Microsoft para enriquecer dados e fornecer contexto extra sobre atividades, alertas e logs em seu ambiente. | Microsoft Sentinel |
| Automatização | As regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. | Microsoft Sentinel |
| Regras de anomalia | Os modelos de regras de anomalia usam aprendizado de máquina para detetar tipos específicos de comportamento anômalo. | Microsoft Sentinel |
| Consultas agendadas | Regras incorporadas escritas por especialistas em segurança da Microsoft que pesquisam através de registos recolhidos pelo Sentinel em busca de cadeias de atividades suspeitas, ameaças conhecidas. | Microsoft Sentinel |
| Regras quase em tempo real (NRT) | As regras NRT são um conjunto limitado de regras programadas, projetadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais atualizadas possível. | Microsoft Sentinel |
| Caça | Para ajudar os analistas de segurança a procurar proativamente novas anomalias que não foram detetadas pelas suas aplicações de segurança ou mesmo pelas suas regras de análise agendadas, as consultas de caça incorporadas do Microsoft Sentinel orientam-no a fazer as perguntas certas para encontrar problemas nos dados que já tem na sua rede. | Microsoft Sentinel |
| Conector XDR do Microsoft Defender | O Microsoft Defender XDR Connector sincroniza logs e incidentes com o Microsoft Sentinel. | Microsoft Defender XDR e Microsoft Sentinel |
| Conectores de dados | Permite a ingestão de dados para análise no Microsoft Sentinel. | Microsoft Sentinel |
| Solução de hub de conteúdo -Zero Trust (TIC 3.0) | O Zero Trust (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um manual, que fornecem uma visualização automatizada dos princípios do Zero Trust, cruzados com a estrutura Trust Internet Connections, ajudando as organizações a monitorar as configurações ao longo do tempo. | Microsoft Sentinel |
| Orquestração, automação e resposta de segurança (SOAR) | Aproveitar as regras de automação e os playbooks em resposta a ameaças à segurança aumenta a eficácia do seu SOC e economiza tempo e recursos. | Microsoft Sentinel |
O que contém esta solução
Esta solução orienta você na implementação do Microsoft Sentinel e XDR para que sua equipe de operações de segurança possa remediar incidentes de forma eficaz usando uma abordagem Zero Trust.
Formação recomendada
| Formação | Conectar o Microsoft Defender XDR ao Microsoft Sentinel |
|---|---|
|
Saiba mais sobre as opções de configuração e os dados fornecidos pelos conectores do Microsoft Sentinel para o Microsoft Defender XDR. |
Próximos passos
Use estas etapas para implementar o Microsoft Sentinel e o XDR para uma abordagem Zero Trust:
- Configurar suas ferramentas XDR
- Arquitete seu espaço de trabalho do Microsoft Sentinel
- Ingerir fontes de dados
- Responder a um incidente
Consulte também estes artigos adicionais para aplicar os princípios de Confiança Zero ao Azure:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários