Integrações de endpoint
Os pontos de extremidade são dispositivos que acessam os recursos e aplicativos de uma organização. Os locais de trabalho modernos incluem uma variedade de dispositivos que solicitam acesso dentro e fora da rede corporativa.
As soluções Zero Trust para terminais consistem em verificar a segurança dos dispositivos que acedem aos dados de trabalho, incluindo as aplicações que estão a ser executadas nos dispositivos. Os parceiros podem integrar-se com as soluções de terminais da Microsoft para verificar a segurança de dispositivos e aplicações, aplicar políticas de privilégios mínimos e preparar-se antecipadamente para violações.
Estas orientações destinam-se a fornecedores de software e parceiros tecnológicos que pretendam melhorar as suas soluções de segurança de terminais através da integração com produtos Microsoft.
Guia de integração Zero Trust para Endpoints
Este guia de integração inclui instruções para integração com os seguintes produtos:
- Microsoft Defender for Endpoint, que ajuda as redes empresariais a prevenir, detetar, investigar e responder a ameaças avançadas.
- Microsoft Endpoint Manager, que fornece proteção e segurança para os dispositivos que os funcionários usam e os aplicativos que são executados nesses dispositivos.
- Microsoft Defender para IoT, que fornece segurança em suas redes de tecnologia operacional (OT).
Microsoft Defender para Ponto Final
O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detetar, investigar e responder a ameaças avançadas. Ele usa uma combinação de sensores comportamentais de endpoint, análise de segurança na nuvem e inteligência de ameaças.
O Defender for Endpoint suporta aplicativos de terceiros para ajudar a aprimorar os recursos de deteção, investigação e inteligência de ameaças da plataforma. Além disso, os parceiros podem estender suas ofertas de segurança existentes sobre a estrutura aberta e um conjunto rico e completo de APIs para criar extensões e integrações com o Defender for Endpoint.
A página de oportunidades e cenários de parceiros do Microsoft Defender for Endpoint descreve várias categorias de integrações suportadas. Além disso, outras ideias para cenários de integração podem incluir:
- Simplificando a correção de ameaças: o Microsoft Defender for Endpoint pode obter respostas imediatas ou assistidas pelo operador para lidar com alertas. Os parceiros podem aproveitar as ações de resposta do ponto de extremidade, como isolamento da máquina, quarentena de arquivos para bloquear a IoC no endpoint gerenciado.
- Combine o controle de acesso à rede com a segurança do dispositivo: as pontuações de risco ou exposição podem ser usadas para implementar e aplicar políticas de acesso à rede e aos aplicativos.
Para se tornar um parceiro de solução do Defender for Endpoint, você precisará seguir e concluir as etapas encontradas em Torne-se um parceiro do Microsoft Defender for Endpoint.
Microsoft Endpoint Manager
O Microsoft Endpoint Manager, que inclui o Microsoft Intune e o Microsoft Configuration Manager, fornece proteção e segurança para os dispositivos que os funcionários usam e os aplicativos executados nesses dispositivos. O Endpoint Manager inclui políticas de conformidade de dispositivos que garantem que os funcionários estejam acessando aplicativos e dados de dispositivos que atendem às políticas de segurança da empresa. Ele também inclui políticas de proteção de aplicativos que fornecem controles de segurança baseados em aplicativos para dispositivos totalmente gerenciados e de propriedade dos funcionários.
Para integrar com o Microsoft Endpoint Manager, os ISVs usarão o Microsoft Graph e o SDK de gerenciamento de aplicativos do Microsoft Endpoint Manager. A integração do Endpoint Manager com a Graph API permite qualquer uma das mesmas funcionalidades oferecidas pelo console do administrador para o Endpoint Manager (Intune). Informações como estado de conformidade do dispositivo, configuração da política de conformidade, configurações da política de proteção de aplicativos e muito mais podem ser encontradas por meio da Graph API. Além disso, você pode automatizar tarefas no Endpoint Manager que aprimoram ainda mais a história de Zero Trust do seu cliente. As orientações gerais para trabalhar com o Intune no Microsoft Graph estão disponíveis no repositório de documentação do Microsoft Graph. Aqui, focamo-nos em cenários relacionados com o Zero Trust.
Verifique se os dispositivos seguem os padrões de segurança e conformidade
As soluções ISV podem aproveitar a conformidade do dispositivo e as informações de política do Endpoint Manager para dar suporte ao princípio Zero Trust de Verificar Explicitamente. Os dados de conformidade sobre usuários e dispositivos do Endpoint Manager permitem que o aplicativo do ISV determine a postura de risco de um dispositivo em relação ao uso do aplicativo. Ao fazer essas verificações, o ISV garante que os dispositivos que usam o serviço estejam em conformidade com os padrões e políticas de segurança e conformidade dos clientes.
A API do Microsoft Graph permite que ISVs se integrem ao Endpoint Manager (Intune) por meio de um conjunto de APIs RESTful. Essas APIs são as mesmas usadas pelo console do Endpoint Manager para exibir, criar, gerenciar, implantar e relatar todas as ações, dados e atividades no Intune. Os itens de interesse específico para ISVs que suportam iniciativas Zero Trust são a capacidade de visualizar o estado de conformidade do dispositivo e configurar regras e políticas de conformidade. Consulte as recomendações da Microsoft para usar o Microsoft Entra ID e o Endpoint Manager para configuração e conformidade do Zero Trust: Secure endpoints with Zero Trust. As regras de conformidade do Endpoint Manager são fundamentais para o suporte ao Acesso Condicional baseado em dispositivo por meio do Microsoft Entra ID. Os ISVs também devem exibir o recurso Acesso Condicional e as APIs para entender como concluir cenários de conformidade de usuários e dispositivos e Acesso Condicional.
Idealmente como um ISV, seu aplicativo se conecta às APIs do Microsoft Graph como um aplicativo de nuvem e estabelece uma conexão de serviço a serviço. Os aplicativos multilocatários fornecem aos ISVs definição e controle centralizados de aplicativos e permitem que os clientes consintam individualmente que o aplicativo ISV opere em relação aos dados do locatário. Revise as informações sobre locação no Microsoft Entra ID para registrar e criar aplicativos Microsoft Entra de um ou vários locatários. A autenticação do seu aplicativo pode aproveitar o Microsoft Entra ID para logon único.
Depois de criar seu aplicativo, você precisará acessar o dispositivo e as informações de conformidade usando a API do Microsoft Graph. A documentação para usar o Microsoft Graph pode ser encontrada no centro de desenvolvimento do Microsoft Graph. A Graph API é um conjunto RESTful de APIs que seguem os padrões ODATA para acesso e consulta de dados.
Obtendo o estado de conformidade do dispositivo
Este diagrama mostra como as informações de conformidade do dispositivo fluem do dispositivo para sua solução ISV. Os dispositivos de utilizador final recebem políticas do Intune, de um parceiro de defesa contra ameaças móveis (MTD) ou de um parceiro de conformidade de gestão de dispositivos móveis (MDM). Depois que as informações de conformidade são coletadas dos dispositivos, o Intune calcula o estado geral de conformidade de cada dispositivo e armazena isso na ID do Microsoft Entra. Usando a API do Microsoft Graph, sua solução pode ler e responder ao estado de conformidade do dispositivo, aplicando os princípios do Zero Trust.
Quando inscrito no Intune, é criado um registo de dispositivo no Intune com detalhes adicionais do dispositivo, incluindo o estado de conformidade do dispositivo. O Intune encaminha o estado de conformidade do dispositivo para o Microsoft Entra ID, onde o Microsoft Entra ID também armazena o estado de conformidade com cada dispositivo. Ao fazer um GET ativado https://graph.microsoft.com/v1.0/deviceManagement/managedDevices , você pode ver todos os dispositivos registrados para um locatário e seu estado de conformidade. Ou você pode consultar https://graph.microsoft.com/v1.0/devices para obter uma lista dos dispositivos registrados e registrados do Microsoft Entra e seu estado de conformidade.
Por exemplo, este pedido:
GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId}
Retornará:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095
{
"value": {
"@odata.type": "#microsoft.graph.managedDevice",
"id": "705c034c-034c-705c-4c03-5c704c035c70",
"userId": "User Id value",
"deviceName": "Device Name value",
"managedDeviceOwnerType": "company",
"enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
"lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
"complianceState": "compliant",
...
}
Você também pode recuperar uma lista de políticas de conformidade, suas implantações e status de usuários e dispositivos para essas políticas de conformidade. As informações para chamar o Graph para obter informações sobre a política de conformidade começam aqui: Get deviceCompliancePolicy - Microsoft Graph v1.0. Um bom histórico sobre políticas de conformidade de dispositivos e como elas são usadas está aqui: Políticas de conformidade de dispositivos no Microsoft Intune - Azure.
Depois de identificar uma política específica, você pode consultar para obter o estado de um dispositivo para uma configuração de política de conformidade específica. Por exemplo, supondo que uma política de conformidade tenha sido implantada para exigir uma senha no bloqueio, consulte Get deviceComplianceSettingState para obter o estado específico dessa configuração. Isso indica se o dispositivo é compatível ou não com a configuração de bloqueio de senha. Essa mesma abordagem pode ser usada para outras políticas de conformidade de dispositivos implantadas pelos clientes.
As informações de conformidade são fundamentais para o recurso de Acesso Condicional do Microsoft Entra ID. O Intune determina a conformidade do dispositivo com base em políticas de conformidade e grava o estado de conformidade na ID do Microsoft Entra. Em seguida, os clientes usam políticas de Acesso Condicional para determinar se alguma ação é tomada por não conformidade, incluindo o bloqueio do acesso dos usuários aos dados corporativos de um dispositivo não compatível.
Consulte Políticas de conformidade de dispositivos no Microsoft Intune para obter informações adicionais sobre como integrar a conformidade do dispositivo com o acesso condicional.
Siga o princípio de acesso com privilégios mínimos
Um ISV integrado ao Endpoint Manager também desejará garantir que seu aplicativo suporte o princípio Zero Trust para Aplicar Acesso com Privilégios Mínimos. A integração do Endpoint Manager suporta dois métodos importantes de controle de acesso – permissões delegadas ou permissões de aplicativos. O aplicativo do ISV deve usar um dos modelos de permissão. As permissões delegadas oferecem controle refinado sobre os objetos específicos no Endpoint Manager aos quais o aplicativo tem acesso, mas exigem que um administrador faça login com suas credenciais. Em comparação, as permissões do aplicativo permitem que o aplicativo do ISV acesse ou controle classes de dados e objetos, em vez de objetos individuais específicos, mas não exige que um usuário faça login.
Além de criar seu aplicativo como um aplicativo de locatário único ou multilocatário (preferencial), você deve declarar as permissões delegadas ou de aplicativo exigidas pelo seu aplicativo para acessar as informações do Endpoint Manager e executar ações no Endpoint Manager. Veja informações sobre como começar a usar permissões aqui: Guia de início rápido: configurar um aplicativo para acessar uma API da Web.
Microsoft Defender para a IoT
As arquiteturas de rede de tecnologia operacional (OT) geralmente diferem da infraestrutura de TI tradicional, usando tecnologia exclusiva com protocolos proprietários. Os dispositivos OT também podem ter plataformas antigas com conectividade e potência limitadas, ou requisitos de segurança específicos e exposições exclusivas a ataques físicos.
Implante o Microsoft Defender para IoT para aplicar princípios de confiança zero à sua rede OT, monitorando o tráfego em busca de comportamento anômalo ou não autorizado à medida que o tráfego atravessa sites e zonas. Esteja atento às ameaças e vulnerabilidades específicas dos dispositivos OT, mitigando os riscos à medida que são detetados.
Acelere as operações compartilhando dados do Defender for IoT em seu centro de operações de segurança (SOC) e em outras partes da sua organização. Integre com serviços da Microsoft, como Microsoft Sentinel e Defender for Endpoint, ou outros serviços de parceiros, incluindo SIEM e sistemas de emissão de tíquetes. Por exemplo:
Encaminhe dados de alerta locais diretamente para SIEMs como Splunk, IBM QRadar e muito mais. O Splunk e o IBM QRadar também suportam a ingestão do Event Hub, que pode ser usado para encaminhar alertas de nuvem do Defender for IoT.
Integre-se com o Gerente de Tecnologia Operacional da ServiceNow para importar dados do Defender for IoT para a ServiceNow e ações baseadas em risco com o contexto do processo de produção.
Para obter mais informações, consulte:
- Introdução ao monitoramento de segurança OT
- Zero Trust e as suas redes OT
- Monitore com Zero Trust
- Catálogo de integração do Defender for IoT
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários