Partilhar via


Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust

Este guia de solução percorre o processo de configuração das ferramentas de deteção e resposta (XDR) do Microsoft eXtended em conjunto com o Microsoft Sentinel para acelerar a capacidade da sua organização de responder e remediar ataques de cibersegurança.

O Microsoft Defender XDR é uma solução XDR que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o ambiente Microsoft 365.

O Microsoft Sentinel é uma solução nativa da nuvem que fornece recursos de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Juntos, o Microsoft Sentinel e o Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a se defenderem contra ataques modernos.

Esta orientação ajuda você a amadurecer sua arquitetura Zero Trust mapeando os princípios do Zero Trust das seguintes maneiras.

Princípio da Confiança Zero Cumprido por
Verificar explicitamente O Microsoft Sentinel coleta dados de todo o ambiente, realiza análises de ameaças e anomalias e pode responder com automação.

 O Microsoft Defender XDR oferece deteção e resposta estendidas entre usuários, identidades, dispositivos, aplicativos e e-mails. Os sinais baseados em risco capturados pelo Microsoft Defender XDR podem ser usados pelo Microsoft Sentinel para executar ações.
Use o acesso menos privilegiado O Microsoft Sentinel pode detetar atividades anômalas por meio de seu mecanismo de Análise Comportamental de Entidade do Usuário (UEBA).

O Threat Intelligence com o Microsoft Sentinel pode importar dados de inteligência de ameaças da Microsoft ou de provedores terceirizados para detetar ameaças novas e emergentes e fornecer contexto extra para investigações.

 O Microsoft Defender XDR tem a Proteção de ID do Microsoft Entra, que pode bloquear usuários com base no nível de risco com a identidade. Os dados podem ser alimentados no Microsoft Sentinel para análise e automação adicionais.
Assuma a violação O Microsoft Defender XDR verifica continuamente o ambiente em busca de ameaças e vulnerabilidades. O Microsoft Sentinel analisa os dados coletados, a tendência comportamental das entidades para detetar atividades suspeitas, anomalias e ameaças em vários estágios em toda a empresa.

O Microsoft Sentinel tem visualizações de pasta de trabalho que podem ajudar as organizações a proteger o ambiente, como a pasta de trabalho Zero Trust.

O Microsoft Defender XDR e o Sentinel podem implementar tarefas de correção automatizadas, incluindo investigações automatizadas, isolamento de dispositivos e quarentena de dados. O risco do dispositivo pode ser usado como um sinal para alimentar o Acesso Condicional do Microsoft Entra.

Arquitetura Microsoft Sentinel e XDR

A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel.

Diagrama da integração do Microsoft Sentinel e Microsoft XDR.

Neste diagrama:

  • Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
  • O Microsoft Defender XDR e o Microsoft Defender for Cloud enviam dados de log SIEM por meio de conectores do Microsoft Sentinel.
  • As equipes do SecOps podem analisar e responder às ameaças identificadas nos portais Microsoft Sentinel e Microsoft Defender.
  • O Microsoft Sentinel fornece suporte para ambientes multinuvem e integra-se com aplicativos e parceiros de terceiros.

Implementando o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust

O Microsoft Defender XDR é uma solução XDR que complementa o Microsoft Sentinel. Um XDR extrai dados brutos de telemetria de vários serviços, como aplicativos em nuvem, segurança de e-mail, identidade e gerenciamento de acesso.

Usando inteligência artificial (IA) e aprendizado de máquina, o XDR realiza análise, investigação e resposta automáticas em tempo real. A solução XDR também correlaciona alertas de segurança em incidentes maiores, fornecendo às equipes de segurança maior visibilidade sobre ataques, e fornece priorização de incidentes, ajudando os analistas a entender o nível de risco da ameaça.

Com o Microsoft Sentinel, você pode se conectar a muitas fontes de segurança usando conectores internos e padrões do setor. Com sua IA, você pode correlacionar vários sinais de baixa fidelidade abrangendo várias fontes para criar uma visão completa da cadeia de destruição de ransomware e alertas priorizados.

Aproveitando os recursos SIEM e XDR

Nesta seção, examinaremos um cenário típico de ataque envolvendo um ataque de phishing e, em seguida, prosseguiremos com como responder ao incidente com o Microsoft Sentinel e o Microsoft Defender XDR.

Ordem de ataque comum

O diagrama a seguir mostra uma ordem de ataque comum de um cenário de phishing.

Diagrama de um cenário de ataque comum e defesas fornecidas pelos produtos de segurança da Microsoft.

O diagrama também mostra os produtos de segurança da Microsoft em vigor para detetar cada etapa de ataque e como os sinais de ataque e os dados SIEM fluem para o Microsoft Defender XDR e o Microsoft Sentinel.

Aqui está um resumo do ataque.

Etapa de ataque Serviço de deteção e fonte de sinal Defesas em vigor
1. Invasor envia e-mail de phishing Microsoft Defender para Office 365 Protege as caixas de correio com recursos antiphishing avançados que podem proteger contra ataques de phishing baseados em representação mal-intencionada.
2. O usuário abre o anexo Microsoft Defender para Office 365 O recurso Anexos Seguros do Microsoft Defender para Office 365 abre anexos em um ambiente isolado para verificação adicional de ameaças (detonação).
3. O anexo instala malware Microsoft Defender para Ponto Final Protege os endpoints contra malware com seus recursos de proteção de última geração, como proteção entregue na nuvem e proteção antivírus baseada em comportamento/heurística/em tempo real.
4. Malware rouba credenciais do usuário Proteção de ID do Microsoft Entra e ID do Microsoft Entra Protege as identidades monitorando o comportamento e as atividades do usuário, detetando movimentos laterais e alertando sobre atividades anômalas.
5. O invasor se move lateralmente entre aplicativos e dados do Microsoft 365 Microsoft Defender for Cloud Apps Pode detetar atividades anômalas de usuários que acessam aplicativos em nuvem.
6. O invasor baixa arquivos confidenciais de uma pasta do SharePoint Microsoft Defender for Cloud Apps Pode detetar e responder a eventos de download em massa de arquivos do SharePoint.

Resposta a incidentes usando o Microsoft Sentinel e o Microsoft Defender XDR

Agora que vimos como um ataque comum ocorre, vamos aproveitar a integração do Microsoft Sentinel e do Microsoft Defender XDR para resposta a incidentes.

Aqui está o processo de resposta a um incidente com o Microsoft Defender XDR e o Microsoft Sentinel:

  1. Faça a triagem do incidente no portal Microsoft Sentinel.
  2. Vá para o portal do Microsoft Defender para iniciar sua investigação.
  3. Quando necessário, continue a investigação no portal Microsoft Sentinel.
  4. Resolva o incidente no portal Microsoft Sentinel.

O diagrama a seguir mostra o processo, começando com descoberta e triagem no Microsoft Sentinel.

Diagrama de realização de investigação de incidentes utilizando Sentinel e Microsoft Defender XDR.

Para obter mais informações, consulte Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR.

Capacidades chave

Para implementar uma abordagem de confiança zero no gerenciamento de incidentes, use esses recursos Microsoft Sentinel e XDR.

Capacidade ou recurso Description Produto
Investigação automatizada e resposta (AIR) Os recursos do AIR são projetados para examinar alertas e tomar medidas imediatas para resolver violações. Os recursos do AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. Microsoft Defender XDR
Caça avançada A caça avançada é uma ferramenta de caça a ameaças baseada em consultas que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores e entidades de ameaça. O acesso flexível aos dados permite a busca sem restrições de ameaças conhecidas e potenciais. Microsoft Defender XDR
Indicadores de arquivo personalizados Impeça a propagação de um ataque na sua organização banindo ficheiros potencialmente maliciosos ou suspeitas de malware. Microsoft Defender XDR
Descoberta na nuvem O Cloud Discovery analisa os logs de tráfego coletados pelo Defender for Endpoint e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. Microsoft Defender for Cloud Apps
Indicadores de rede personalizados Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. Microsoft Defender XDR
Bloco de deteção e resposta de pontos finais (EDR) Fornece proteção adicional contra artefatos mal-intencionados quando o Microsoft Defender Antivirus (MDAV) não é o produto antivírus principal e está sendo executado no modo passivo. O EDR no modo de bloco funciona nos bastidores para remediar artefatos mal-intencionados que foram detetados pelos recursos do EDR. Microsoft Defender XDR
Recursos de resposta do dispositivo Responda rapidamente a ataques detetados isolando dispositivos ou coletando um pacote de investigação Microsoft Defender XDR
Resposta ao vivo A resposta ao vivo dá às equipes de operações de segurança acesso instantâneo a um dispositivo (também conhecido como máquina) usando uma conexão de shell remota. Isso lhe dá o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediata para conter prontamente as ameaças identificadas em tempo real. Microsoft Defender XDR
Aplicações na nuvem seguras Uma solução de operações de segurança de desenvolvimento (DevSecOps) que unifica o gerenciamento de segurança no nível de código em ambientes multicloud e de vários pipelines. Microsoft Defender para a Cloud
Melhore a sua postura de segurança Uma solução de gerenciamento de postura de segurança na nuvem (CSPM) que apresenta ações que você pode tomar para evitar violações. Microsoft Defender para a Cloud
Proteja cargas de trabalho na nuvem Uma plataforma de proteção de carga de trabalho na nuvem (CWPP) com proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho. Microsoft Defender para a Cloud
Análise Comportamental de Usuários e Entidades (UEBA) Analisa o comportamento de entidades da organização, como usuários, hosts, endereços IP e aplicativos) Microsoft Sentinel
Fusão Um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina. Deteta automaticamente ataques em vários estágios, também conhecidos como ameaças persistentes avançadas (APT), identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de morte. Microsoft Sentinel
Inteligência de ameaças Use provedores de terceiros da Microsoft para enriquecer dados e fornecer contexto extra sobre atividades, alertas e logs em seu ambiente. Microsoft Sentinel
Automatização  As regras de automação são uma maneira de gerenciar centralmente a automação no Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. Microsoft Sentinel
Regras de anomalia Os modelos de regras de anomalia usam aprendizado de máquina para detetar tipos específicos de comportamento anômalo. Microsoft Sentinel
Consultas agendadas Regras incorporadas escritas por especialistas em segurança da Microsoft que pesquisam através de registos recolhidos pelo Sentinel em busca de cadeias de atividades suspeitas, ameaças conhecidas. Microsoft Sentinel
Regras quase em tempo real (NRT) As regras NRT são um conjunto limitado de regras programadas, projetadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais atualizadas possível.  Microsoft Sentinel
Caça Para ajudar os analistas de segurança a procurar proativamente novas anomalias que não foram detetadas pelas suas aplicações de segurança ou mesmo pelas suas regras de análise agendadas, as consultas de caça incorporadas do Microsoft Sentinel orientam-no a fazer as perguntas certas para encontrar problemas nos dados que já tem na sua rede. Microsoft Sentinel
Conector XDR do Microsoft Defender O Microsoft Defender XDR Connector sincroniza logs e incidentes com o Microsoft Sentinel. Microsoft Defender XDR e Microsoft Sentinel
Conectores de dados Permite a ingestão de dados para análise no Microsoft Sentinel. Microsoft Sentinel
Solução de hub de conteúdo -Zero Trust (TIC 3.0) O Zero Trust (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um manual, que fornecem uma visualização automatizada dos princípios do Zero Trust, cruzados com a estrutura Trust Internet Connections, ajudando as organizações a monitorar as configurações ao longo do tempo. Microsoft Sentinel
Orquestração, automação e resposta de segurança (SOAR) Aproveitar as regras de automação e os playbooks em resposta a ameaças à segurança aumenta a eficácia do seu SOC e economiza tempo e recursos. Microsoft Sentinel

O que contém esta solução

Esta solução orienta você na implementação do Microsoft Sentinel e XDR para que sua equipe de operações de segurança possa remediar incidentes de forma eficaz usando uma abordagem Zero Trust.

Imagem das etapas da solução Microsoft Sentinel e XDR

Formação Conectar o Microsoft Defender XDR ao Microsoft Sentinel
Saiba mais sobre as opções de configuração e os dados fornecidos pelos conectores do Microsoft Sentinel para o Microsoft Defender XDR.

Próximos passos

Use estas etapas para implementar o Microsoft Sentinel e o XDR para uma abordagem Zero Trust:

  1. Configurar suas ferramentas XDR
  2. Arquitete seu espaço de trabalho do Microsoft Sentinel
  3. Ingerir fontes de dados
  4. Responder a um incidente

Consulte também estes artigos adicionais para aplicar os princípios de Confiança Zero ao Azure: