Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como planear a sua implementação para operações de segurança unificadas no portal do Microsoft Defender. Unifique as operações de segurança para o ajudar a reduzir os riscos, evitar ataques, detetar e interromper ciberameaças em tempo real e responder mais rapidamente com capacidades de segurança melhoradas de IA, tudo a partir do portal do Microsoft Defender.
Planeie a sua implantação
O portal do Defender combina serviços como Microsoft Defender XDR, Microsoft Sentinel, Gestão da exposição de segurança da Microsoft e Microsoft Security Copilot para unified operações de segurança.
O primeiro passo para planear a implementação é selecionar os serviços que pretende utilizar.
Como pré-requisito básico, precisará de Microsoft Defender XDR e Microsoft Sentinel para monitorizar e proteger os serviços e soluções da Microsoft e não microsoft, incluindo recursos na cloud e no local.
Implemente qualquer um dos seguintes serviços para adicionar segurança aos seus pontos finais, identidades, e-mail e aplicações para fornecer proteção integrada contra ataques sofisticados.
Microsoft Defender XDR serviços incluem:
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Office 365 | Protege contra ameaças colocadas por mensagens de e-mail, ligações de URL e ferramentas de colaboração Office 365. |
| Microsoft Defender para Identidade | Identifica, deteta e investiga ameaças de identidades Active Directory no local e da cloud, como Microsoft Entra ID. |
| Microsoft Defender para Endpoint | Monitoriza e protege dispositivos de ponto final, deteta e investiga falhas de segurança de dispositivos e responde automaticamente a ameaças de segurança. |
| Microsoft Defender para IoT | Fornece a deteção de dispositivos IoT e o valor de segurança para dispositivos IoT. |
| Gestão de Vulnerabilidade do Microsoft Defender | Identifica recursos e inventário de software e avalia a postura do dispositivo para encontrar vulnerabilidades de segurança. |
| Microsoft Defender for Cloud Apps | Protege e controla o acesso a aplicações na cloud SaaS. |
Outros serviços suportados no portal do Microsoft Defender, mas não licenciados com Microsoft Defender XDR, incluem:
| Serviço | Descrição |
|---|---|
| Gestão da exposição de segurança da Microsoft | Fornece uma vista unificada da postura de segurança entre recursos e cargas de trabalho da empresa, melhorando as informações dos recursos com contexto de segurança. |
| Microsoft Security Copilot | Fornece informações e recomendações orientadas por IA para melhorar as suas operações de segurança. |
| Microsoft Defender para a Cloud | Protege ambientes multi cloud e híbridos com deteção e resposta avançadas de ameaças. |
| Informações sobre Ameaças do Microsoft Defender | Simplifica os fluxos de trabalho de informações sobre ameaças ao agregar e enriquecer origens de dados críticas para correlacionar indicadores de comprometimento (IOCs) com artigos relacionados, perfis de ator e vulnerabilidades. |
| Microsoft Entra ID Protection | Avalia os dados de risco das tentativas de início de sessão para avaliar o risco de cada início de sessão no seu ambiente. |
| Gestão do Risco Interno do Microsoft Purview | Correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. |
Rever os pré-requisitos do serviço
Antes de implementar Microsoft Defender serviços para operações de segurança unificadas, reveja os pré-requisitos de cada serviço que planeia utilizar. A tabela seguinte lista os serviços e ligações para obter mais informações:
| Serviço de segurança | Pré-requisitos |
|---|---|
| Necessário para operações de segurança unificadas | |
| Microsoft Defender XDR | pré-requisitos do Microsoft Defender XDR |
| Microsoft Sentinel | Pré-requisitos para implementar Microsoft Sentinel |
| Serviços de Microsoft Defender XDR opcionais | |
| Microsoft Defender para o Office | pré-requisitos do Microsoft Defender XDR |
| Microsoft Defender para Identidade | pré-requisitos do Microsoft Defender para Identidade |
| Microsoft Defender para Endpoint | Configurar Microsoft Defender para Endpoint implementação |
| Monitorização empresarial com Microsoft Defender para IoT | Pré-requisitos do Defender para IoT no portal do Defender |
| Gestão de Vulnerabilidade do Microsoft Defender | Pré-requisitos & Permissões para Gestão de vulnerabilidades do Microsoft Defender |
| Microsoft Defender for Cloud Apps | Introdução ao Microsoft Defender for Cloud Apps |
| Outros serviços suportados no portal do Microsoft Defender | |
| Gestão da exposição de segurança da Microsoft | Pré-requisitos e suporte |
| Microsoft Security Copilot | Requisitos mínimos |
| Microsoft Defender para a Cloud | Comece a planear a proteção multicloud e outros artigos na mesma secção. |
| Informações sobre Ameaças do Microsoft Defender | Pré-requisitos das Informações sobre Ameaças do Defender |
| Microsoft Entra ID Protection | Pré-requisitos para Microsoft Entra ID Protection |
| Gestão do Risco Interno do Microsoft Purview | Introdução a gestão de riscos internos |
Rever as práticas de privacidade e segurança de dados
Antes de implementar Microsoft Defender serviços para operações de segurança unificadas, certifique-se de que compreende as práticas de segurança e privacidade de dados para cada serviço que planeia utilizar. A tabela seguinte lista os serviços e ligações para obter mais informações. Tenha em atenção que vários serviços utilizam as práticas de segurança e retenção de dados para Microsoft Defender XDR em vez de terem práticas separadas.
Planear a arquitetura da área de trabalho do Log Analytics
Para começar a utilizar operações de segurança unificadas com Microsoft Sentinel no portal do Defender, primeiro precisa de uma área de trabalho do Log Analytics ativada para Microsoft Sentinel. Uma única área de trabalho do Log Analytics pode ser suficiente para muitos ambientes, mas muitas organizações criam várias áreas de trabalho para otimizar os custos e cumprir melhor os diferentes requisitos empresariais.
Crie a área de trabalho do Log Analytics que pretende ativar para Microsoft Sentinel. Considere parâmetros como quaisquer requisitos de conformidade que tenha para recolha e armazenamento de dados e como controlar o acesso a dados Microsoft Sentinel.
Para mais informações, consulte:
Planear Microsoft Sentinel custos e origens de dados
O portal do Defender pode ingerir nativamente dados de serviços Microsoft originais, como Microsoft Defender for Cloud Apps e Microsoft Defender para a Cloud. Recomendamos que expanda a cobertura para outras origens de dados no seu ambiente ao adicionar Microsoft Sentinel conectores de dados.
Determinar as origens de dados
Determine o conjunto completo de origens de dados a partir do qual irá ingerir dados e os requisitos de tamanho de dados para o ajudar a projetar com precisão o orçamento e a linha cronológica da implementação. Pode determinar estas informações durante a revisão do caso de utilização empresarial ou ao avaliar um SIEM atual que já tenha implementado. Se já tiver um SIEM implementado, analise os seus dados para compreender quais as origens de dados que fornecem mais valor e devem ser ingeridas em Microsoft Sentinel.
Por exemplo, poderá querer utilizar qualquer uma das seguintes origens de dados recomendadas:
Serviços do Azure: se algum dos seguintes serviços estiver implementado no Azure, utilize os seguintes conectores para enviar os Registos de Diagnóstico destes recursos para Microsoft Sentinel:
- Azure Firewall
- Gateway de Aplicação do Azure
- Cofre de Chaves
- Azure Kubernetes Service
- SQL do Azure
- Grupos de Segurança de Rede
- Servidores do Azure-Arc
Recomendamos que configure Azure Policy para exigir que os respetivos registos sejam reencaminhados para a área de trabalho subjacente do Log Analytics. Para obter mais informações, veja Criar definições de diagnóstico em escala com Azure Policy.
Máquinas virtuais: para máquinas virtuais alojadas no local ou noutras clouds que exijam a recolha dos registos, utilize os seguintes conectores de dados:
- Segurança do Windows Eventos com o AMA
- Eventos através do Defender para Endpoint (para servidor)
- Syslog
Aplicações virtuais de rede/origens no local: para aplicações virtuais de rede ou outras origens no local que gerem o Common Event Format (CEF) ou os registos SYSLOG, utilize os seguintes conectores de dados:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Para obter mais informações, veja Priorizar conectores de dados.
Planear o orçamento
Planeie o orçamento Microsoft Sentinel, tendo em conta as implicações de custos para cada cenário planeado. Certifique-se de que o orçamento abrange o custo da ingestão de dados para Microsoft Sentinel e o Azure Log Analytics, quaisquer manuais de procedimentos que serão implementados, etc. Para mais informações, consulte:
- Planos de retenção de registos no Microsoft Sentinel
- Planear os custos e compreender Microsoft Sentinel preços e faturação
Compreender os portais de segurança e os centros de administração da Microsoft
Embora o portal Microsoft Defender seja a base para monitorizar e gerir a segurança nas suas identidades, dados, dispositivos e aplicações, tem de aceder a vários portais para determinadas tarefas especializadas.
Os portais de segurança da Microsoft incluem:
| Nome do portal | Descrição | Ligação |
|---|---|---|
| Portal do Microsoft Defender | Monitorize e responda à atividade de ameaças e reforce a postura de segurança entre as suas identidades, e-mail, dados, pontos finais e aplicações com Microsoft Defender XDR |
security.microsoft.com O portal Microsoft Defender é onde pode ver e gerir alertas, incidentes, definições e muito mais. |
| Portal do Defender para Cloud | Utilize Microsoft Defender para a Cloud para reforçar a postura de segurança dos datacenters e das cargas de trabalho híbridas na cloud | portal.azure.com/#blade/Microsoft_Azure_Security |
| portal do Informações de Segurança da Microsoft | Obter atualizações de informações de segurança para Microsoft Defender para Endpoint, submeter exemplos e explorar a enciclopédia de ameaças | microsoft.com/wdsi |
A tabela seguinte descreve portais para outras cargas de trabalho que podem afetar a sua segurança. Visite estes portais para gerir identidades, permissões, definições de dispositivos e políticas de processamento de dados.
| Nome do portal | Descrição | Ligação |
|---|---|---|
| centro de administração Microsoft Entra | Aceder e administrar a família Microsoft Entra para proteger a sua empresa com identidade descentralizada, proteção de identidade, governação e muito mais, num ambiente multicloud | entra.microsoft.com |
| portal do Azure | Ver e gerir todos os recursos do Azure | portal.azure.com |
| Portal do Microsoft Purview | Gerir políticas de processamento de dados e garantir a conformidade com os regulamentos | purview.microsoft.com |
| Centro de administração do Microsoft 365 | Configurar serviços do Microsoft 365; gerir funções, licenças e controlar atualizações aos seus serviços do Microsoft 365 | admin.microsoft.com |
| centro de administração do Microsoft Intune | Utilize Microsoft Intune para gerir e proteger dispositivos. Também pode combinar capacidades de Intune e Configuration Manager. | intune.microsoft.com |
| portal do Microsoft Intune | Utilizar Microsoft Intune para implementar políticas de dispositivos e monitorizar dispositivos para conformidade | intune.microsoft.com |
Planear funções e permissões
O portal Microsoft Defender unifica os seguintes modelos de controlo de acesso baseado em funções (RBAC) para operações de segurança unificadas:
- Microsoft Entra ID RBAC, utilizado para delegar o acesso ao Defender, como grupos de dispositivos
- RBAC do Azure, utilizado pelo Microsoft Sentinel para delegar permissões
- RBAC unificado do Defender, utilizado para delegar permissões em soluções do Defender
Embora as permissões concedidas através do RBAC do Azure para Microsoft Sentinel sejam federadas durante o runtime com o RBAC unificado do Defender, o RBAC do Azure e o RBAC do Defender continuam a ser geridos separadamente.
O RBAC unificado do Defender não é necessário para que a área de trabalho seja integrada no portal do Defender e Microsoft Sentinel permissões continuam a funcionar conforme esperado no portal do Defender, mesmo sem o RBAC unificado. No entanto, a utilização do RBAC unificado simplifica a delegação de permissões em soluções do Defender. Para obter mais informações, veja Ativar Microsoft Defender XDR controlo de acesso baseado em funções (RBAC) unificado.
A permissão mínima necessária para um analista ver Microsoft Sentinel dados é delegar permissões para a função leitor de Sentinel RBAC do Azure. Estas permissões também são aplicadas ao portal unificado. Sem estas permissões, o menu de navegação Microsoft Sentinel não está disponível no portal unificado, apesar de o analista ter acesso ao portal Microsoft Defender.
Uma melhor prática é ter todos os recursos relacionados Microsoft Sentinel no mesmo grupo de recursos do Azure e, em seguida, delegar Microsoft Sentinel permissões de função (como a função leitor Sentinel) ao nível do grupo de recursos que contém a área de trabalho Microsoft Sentinel. Ao fazê-lo, a atribuição de função aplica-se a todos os recursos que suportam Microsoft Sentinel.
Para os seguintes serviços, utilize as diferentes funções disponíveis ou crie funções personalizadas para lhe dar controlo detalhado sobre o que os utilizadores podem ver e fazer. Para mais informações, consulte:
Para mais informações, consulte:
- Planear funções e permissões para Microsoft Sentinel
- Funções incorporadas do Azure
- funções de Microsoft Sentinel
- Pré-requisitos de inclusão
- Gerir o RBAC unificado no Microsoft Defender (demonstração de vídeo)
Planear atividades de Confiança Zero
As operações de segurança unificadas no portal do Defender fazem parte do modelo de segurança Confiança Zero da Microsoft, que inclui os seguintes princípios:
| Princípio de segurança | Descrição |
|---|---|
| Verificar explicitamente | Autentique e autorize sempre com base em todos os pontos de dados disponíveis. |
| Utilizar o acesso com privilégios mínimos | Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados. |
| Assumir violação | Minimizar o raio de explosão e o acesso de segmento. Verifique a encriptação ponto a ponto e utilize a análise para obter visibilidade, deteção de ameaças e melhorar as defesas. |
Confiança Zero segurança foi concebida para proteger ambientes digitais modernos ao tirar partido da segmentação de rede, impedir o movimento lateral, fornecer acesso com menos privilégios e utilizar análises avançadas para detetar e responder a ameaças.
Para obter mais informações sobre a implementação de princípios de Confiança Zero no portal do Defender, veja Confiança Zero conteúdo dos seguintes serviços:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Microsoft Defender para Endpoint
- Microsoft Defender for Cloud Apps
- Gestão da exposição de segurança da Microsoft
- Microsoft Defender para a Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection
- Microsoft Purview
Para obter mais informações, consulte o Centro de Orientação do Confiança Zero.