Implementar o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust
Este guia de solução percorre o processo de configuração das ferramentas de deteção e resposta estendidas (XDR) da Microsoft em conjunto com o Microsoft Sentinel para acelerar a capacidade da sua organização de responder e remediar ataques de segurança cibernética.
O Microsoft Defender XDR é uma solução XDR que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o ambiente Microsoft 365.
O Microsoft Sentinel é uma solução nativa da nuvem que fornece recursos de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Juntos, o Microsoft Sentinel e o Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a se defenderem contra ataques modernos.
Esta orientação ajuda você a amadurecer sua arquitetura Zero Trust mapeando os princípios do Zero Trust das seguintes maneiras.
| Princípio da Confiança Zero | Cumprido por |
|---|---|
| Verificar explicitamente | O Microsoft Sentinel coleta dados de todo o ambiente e analisa ameaças e anomalias para que sua organização e qualquer automação implementada possam agir com base em todos os pontos de dados disponíveis e verificados. O Microsoft Defender XDR oferece deteção e resposta estendidas entre usuários, identidades, dispositivos, aplicativos e e-mails. Configure a automação do Microsoft Sentinel para usar os sinais baseados em risco capturados pelo Microsoft Defender XDR para tomar medidas, como bloquear ou autorizar tráfego com base no nível de risco. |
| Use o acesso menos privilegiado | O Microsoft Sentinel deteta atividades anômalas por meio de seu mecanismo de Análise Comportamental de Entidade do Usuário (UEBA). Como os cenários de segurança podem mudar ao longo do tempo e, muitas vezes, muito rapidamente, a inteligência de ameaças do Microsoft Sentinel também importa dados da Microsoft ou de provedores terceirizados para detetar ameaças novas e emergentes e fornecer contexto extra para investigações. O Microsoft Defender XDR tem a Proteção de ID do Microsoft Entra, que pode bloquear usuários com base no nível de risco com a identidade. Alimente todos os dados relacionados no Microsoft Sentinel para análise e automação adicionais. |
| Assuma a violação | O Microsoft Defender XDR verifica continuamente o ambiente em busca de ameaças e vulnerabilidades. O Microsoft Sentinel analisa os dados coletados e as tendências comportamentais de cada entidade para detetar atividades suspeitas, anomalias e ameaças em vários estágios em toda a empresa. O Microsoft Defender XDR e o Microsoft Sentinel podem implementar tarefas de correção automatizadas, incluindo investigações automatizadas, isolamento de dispositivos e quarentena de dados. O risco do dispositivo pode ser usado como um sinal para alimentar o Acesso Condicional do Microsoft Entra. |
Arquitetura Microsoft Sentinel e XDR
Os clientes do Microsoft Sentinel podem usar um dos seguintes métodos para integrar o Microsoft Sentinel aos serviços do Microsoft Defender XDR:
Use os conectores de dados do Microsoft Sentinel para ingerir dados do serviço Microsoft Defender XDR no Microsoft Sentinel. Nesse caso, exiba os dados do Microsoft Sentinel no portal do Azure.
Integre o Microsoft Sentinel e o Microsoft Defender XDR em uma única plataforma unificada de operações de segurança no portal do Microsoft Defender. Nesse caso, exiba os dados do Microsoft Sentinel diretamente no portal do Microsoft Defender com o restante dos incidentes, alertas, vulnerabilidades e outros dados de segurança do Defender.
Este guia de solução fornece informações para ambos os métodos. Ao longo deste guia de solução, selecione a guia relevante para seu espaço de trabalho. Se você integrou seu espaço de trabalho à plataforma unificada de operações de segurança, trabalhe no portal do Defender. Se você não tiver integrado seu espaço de trabalho, trabalhe no portal do Azure, salvo indicação em contrário.
A ilustração a seguir mostra como a solução XDR da Microsoft se integra perfeitamente ao Microsoft Sentinel com a plataforma unificada de operações de segurança.
Neste diagrama:
- Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
- O Microsoft Sentinel fornece suporte para ambientes multicloud e integra-se com aplicativos e parceiros de terceiros.
- Os dados do Microsoft Sentinel são ingeridos juntamente com os dados da sua organização no portal do Microsoft Defender.
- As equipes do SecOps podem analisar e responder a ameaças identificadas pelo Microsoft Sentinel e pelo Microsoft Defender XDR no portal do Microsoft Defender.
Implementando o Microsoft Sentinel e o Microsoft Defender XDR para Zero Trust
O Microsoft Defender XDR é uma solução XDR que complementa o Microsoft Sentinel. Um XDR extrai dados brutos de telemetria de vários serviços, como aplicativos em nuvem, segurança de e-mail, identidade e gerenciamento de acesso.
Usando inteligência artificial (IA) e aprendizado de máquina, o XDR realiza análise, investigação e resposta automáticas em tempo real. A solução XDR também correlaciona alertas de segurança em incidentes maiores, fornecendo às equipes de segurança maior visibilidade sobre ataques, e fornece priorização de incidentes, ajudando os analistas a entender o nível de risco da ameaça.
Com o Microsoft Sentinel, você pode se conectar a muitas fontes de segurança usando conectores internos e padrões do setor. Com sua IA, você pode correlacionar vários sinais de baixa fidelidade abrangendo várias fontes para criar uma visão completa da cadeia de destruição de ransomware e alertas priorizados.
Aplicando recursos SIEM e XDR
Nesta seção, examinamos um cenário de ataque típico envolvendo um ataque de phishing e, em seguida, prosseguimos com como responder ao incidente com o Microsoft Sentinel e o Microsoft Defender XDR.
Ordem de ataque comum
O diagrama a seguir mostra uma ordem de ataque comum de um cenário de phishing.
O diagrama também mostra os produtos de segurança da Microsoft em vigor para detetar cada etapa de ataque e como os sinais de ataque e os dados SIEM fluem para o Microsoft Defender XDR e o Microsoft Sentinel.
Aqui está um resumo do ataque.
| Etapa de ataque | Serviço de deteção e fonte de sinal | Defesas em vigor |
|---|---|---|
| 1. Invasor envia e-mail de phishing | Microsoft Defender para Office 365 | Protege as caixas de correio com recursos antiphishing avançados que podem proteger contra ataques de phishing baseados em representação mal-intencionada. |
| 2. O usuário abre o anexo | Microsoft Defender para Office 365 | O recurso Anexos Seguros do Microsoft Defender para Office 365 abre anexos em um ambiente isolado para mais verificação de ameaças (detonação). |
| 3. O anexo instala malware | Microsoft Defender para Ponto Final | Protege os endpoints contra malware com seus recursos de proteção de última geração, como proteção entregue na nuvem e proteção antivírus baseada em comportamento/heurística/em tempo real. |
| 4. Malware rouba credenciais do usuário | Proteção de ID do Microsoft Entra e ID do Microsoft Entra | Protege as identidades monitorando o comportamento e as atividades do usuário, detetando movimentos laterais e alertando sobre atividades anômalas. |
| 5. O invasor se move lateralmente entre aplicativos e dados do Microsoft 365 | Microsoft Defender for Cloud Apps | Pode detetar atividades anômalas de usuários que acessam aplicativos em nuvem. |
| 6. O invasor baixa arquivos confidenciais de uma pasta do SharePoint | Microsoft Defender for Cloud Apps | Pode detetar e responder a eventos de download em massa de arquivos do SharePoint. |
Se você integrou seu espaço de trabalho do Microsoft Sentinel à plataforma unificada de operações de segurança, os dados do SIEM estarão disponíveis com o Microsoft Sentinel diretamente no portal do Microsoft Defender.
Resposta a incidentes usando o Microsoft Sentinel e o Microsoft Defender XDR
Agora que vimos como um ataque comum ocorre, vamos analisar o uso da integração do Microsoft Sentinel e do Microsoft Defender XDR para resposta a incidentes.
Selecione a guia relevante para seu espaço de trabalho, dependendo se você integrou seu espaço de trabalho à plataforma unificada de operações de segurança.
Depois de integrar o Microsoft Sentinel e o Microsoft Defender XDR integrando seu espaço de trabalho à plataforma unificada de operações de segurança, conclua todas as etapas de resposta a incidentes diretamente no portal do Microsoft Defender, assim como faria para outros incidentes do Microsoft Defender XDR. As etapas suportadas incluem tudo, desde a triagem até a investigação e resolução.
Use a área Microsoft Sentinel no portal do Microsoft Defender para recursos indisponíveis apenas com o portal do Defender.
Para obter mais informações, consulte Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR.
Capacidades chave
Para implementar uma abordagem de confiança zero no gerenciamento de incidentes, use esses recursos Microsoft Sentinel e XDR.
| Capacidade ou recurso | Description | Produto |
|---|---|---|
| Investigação automatizada e resposta (AIR) | Os recursos do AIR são projetados para examinar alertas e tomar medidas imediatas para resolver violações. Os recursos do AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. | Microsoft Defender XDR |
| Caça avançada | A caça avançada é uma ferramenta de caça a ameaças baseada em consultas que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores e entidades de ameaça. O acesso flexível aos dados permite a busca sem restrições de ameaças conhecidas e potenciais. | Microsoft Defender XDR |
| Indicadores de arquivo personalizados | Impeça a propagação de um ataque na sua organização banindo ficheiros potencialmente maliciosos ou suspeitas de malware. | Microsoft Defender XDR |
| Descoberta na nuvem | O Cloud Discovery analisa os logs de tráfego coletados pelo Defender for Endpoint e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. | Microsoft Defender for Cloud Apps |
| Indicadores de rede personalizados | Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. | Microsoft Defender XDR |
| Bloco de deteção e resposta de pontos finais (EDR) | Fornece proteção adicional contra artefatos mal-intencionados quando o Microsoft Defender Antivirus (MDAV) não é o produto antivírus principal e está sendo executado no modo passivo. O EDR no modo de bloco funciona nos bastidores para remediar artefatos mal-intencionados que foram detetados pelos recursos do EDR. | Microsoft Defender XDR |
| Recursos de resposta do dispositivo | Responda rapidamente a ataques detetados isolando dispositivos ou coletando um pacote de investigação | Microsoft Defender XDR |
| Resposta ao vivo | A resposta ao vivo dá às equipes de operações de segurança acesso instantâneo a um dispositivo (também conhecido como máquina) usando uma conexão de shell remota. Isso lhe dá o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediata para conter prontamente as ameaças identificadas em tempo real. | Microsoft Defender XDR |
| Aplicações na nuvem seguras | Uma solução de operações de segurança de desenvolvimento (DevSecOps) que unifica o gerenciamento de segurança no nível de código em ambientes multicloud e de vários pipelines. | Microsoft Defender para a Cloud |
| Melhore a sua postura de segurança | Uma solução de gerenciamento de postura de segurança na nuvem (CSPM) que apresenta ações que você pode tomar para evitar violações. | Microsoft Defender para a Cloud |
| Proteja cargas de trabalho na nuvem | Uma plataforma de proteção de carga de trabalho na nuvem (CWPP) com proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho. | Microsoft Defender para a Cloud |
| Análise Comportamental de Usuários e Entidades (UEBA) | Analisa o comportamento de entidades da organização, como usuários, hosts, endereços IP e aplicativos) | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Fusão | Um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina. Deteta automaticamente ataques em vários estágios, também conhecidos como ameaças persistentes avançadas (APT), identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de morte. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Inteligência de ameaças | Use provedores de terceiros da Microsoft para enriquecer dados e fornecer contexto extra sobre atividades, alertas e logs em seu ambiente. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Automatização | As regras de automação são uma maneira de gerenciar centralmente a automação com o Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Regras de anomalia | Os modelos de regras de anomalia usam aprendizado de máquina para detetar tipos específicos de comportamento anômalo. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Consultas agendadas | Regras incorporadas escritas por especialistas em segurança da Microsoft que pesquisam através de registos recolhidos pelo Sentinel em busca de cadeias de atividades suspeitas, ameaças conhecidas. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Regras quase em tempo real (NRT) | As regras NRT são um conjunto limitado de regras programadas, projetadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais atualizadas possível. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Caça | Para ajudar os analistas de segurança a procurar proativamente novas anomalias que não foram detetadas pelas suas aplicações de segurança ou mesmo pelas suas regras de análise agendadas, as consultas de caça incorporadas do Microsoft Sentinel orientam-no a fazer as perguntas certas para encontrar problemas nos dados que já tem na sua rede. | Sentinela da Microsoft Para espaços de trabalho integrados, use a funcionalidade avançada de busca do portal Microsoft Defender. |
| Conector XDR do Microsoft Defender | O conector XDR do Microsoft Defender sincroniza logs e incidentes com o Microsoft Sentinel. | Microsoft Defender XDR e Microsoft Sentinel br> Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Conectores de dados | Permite a ingestão de dados para análise no Microsoft Sentinel. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Solução de hub de conteúdo -Zero Trust (TIC 3.0) | O Zero Trust (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um manual, que fornecem uma visualização automatizada dos princípios do Zero Trust, cruzados com a estrutura Trust Internet Connections, ajudando as organizações a monitorar as configurações ao longo do tempo. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Orquestração, automação e resposta de segurança (SOAR) | O uso de regras de automação e playbooks em resposta a ameaças à segurança aumenta a eficácia do seu SOC e economiza tempo e recursos. | Sentinela da Microsoft Para espaços de trabalho integrados, o Microsoft Sentinel na plataforma unificada de operações de segurança |
| Otimizações SOC | Preencha lacunas de cobertura contra ameaças específicas e reduza suas taxas de ingestão em relação a dados que não fornecem valor de segurança. |
O que contém esta solução
Esta solução orienta você na implementação do Microsoft Sentinel e XDR para que sua equipe de operações de segurança possa remediar incidentes de forma eficaz usando uma abordagem Zero Trust.
Formação recomendada
Atualmente, o conteúdo de treinamento não abrange a plataforma unificada de operações de segurança.
| Formação | Conectar o Microsoft Defender XDR ao Microsoft Sentinel |
|---|---|
|
Saiba mais sobre as opções de configuração e os dados fornecidos pelos conectores do Microsoft Sentinel para o Microsoft Defender XDR. |
Próximos passos
Use estas etapas para implementar o Microsoft Sentinel e o XDR para uma abordagem Zero Trust:
- Configurar suas ferramentas XDR
- Arquitete seu espaço de trabalho do Microsoft Sentinel
- Ingerir fontes de dados
- Responder a um incidente
Consulte também estes artigos para aplicar os princípios de Zero Trust ao Azure:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários