Criar a segunda camada de defesa com serviços de Segurança do Microsoft Defender XDR

Muitas organizações operam em um ambiente híbrido, com recursos hospedados no Azure e no local. A maioria dos recursos do Azure, como máquinas virtuais (VMs), aplicativos do Azure e Microsoft Entra ID, podem ser protegidos usando os serviços de segurança integrados do Azure.

Além disso, as organizações frequentemente assinam o Microsoft 365 para fornecer aos usuários aplicativos como Word, Excel, PowerPoint e Exchange Online. O Microsoft 365 também oferece serviços de segurança que podem ser usados ​​para adicionar uma camada extra de proteção a alguns dos recursos do Azure mais utilizados.

Para utilizar de maneira eficaz os serviços de segurança do Microsoft 365, é importante entender a terminologia principal e a estrutura dos serviços do Microsoft 365. Este é o quarto artigo de uma série de cinco e explora esses tópicos com mais detalhes, com base nos conceitos abordados em artigos anteriores, especificamente:

• Mapear ameaças ao seu ambiente de TI
• Criar a primeira camada de defesa com os serviços de Segurança do Azure

O Microsoft 365 e o Office 365 são serviços baseados em nuvem projetados para atender às necessidades da sua organização em termos de segurança forte, confiabilidade e maior produtividade do usuário. O Microsoft 365 abrange serviços como Power Automate, Forms, Stream, Sway e Office 365. O Office 365 inclui especificamente o conjunto familiar de aplicativos de produtividade. Para saber mais sobre opções de assinatura para esses dois serviços, confira Opções de plano do Microsoft 365 e do Office 365.

De acordo com a licença adquirida para o Microsoft 365, também é possível obter os serviços de segurança para o Microsoft 365. Esses serviços de segurança são denominados Microsoft Defender XDR, que fornece vários serviços:

• MDE (Microsoft Defender para Ponto de Extremidade)
• MDI (Microsoft Defender para Identidade)
• Microsoft Defender para Office (MDO)
• MDA (Microsoft Defender para Aplicativos de Nuvem)

• O "Microsoft Defender for Cloud Apps" acessado em "security.microsoft.com" é diferente do "Microsoft Defender para Nuvem", que é outra solução de segurança acessada em "portal.azure.com".

O diagrama a seguir ilustra a relação de soluções e serviços básicos oferecidos pelo Microsoft 365, embora a lista não inclua todos os serviços.

Possível caso de uso

As pessoas costumam ficar confusas sobre os serviços de segurança do Microsoft 365 e a papel na segurança cibernética de TI. Uma das principais causas dessa confusão decorre da semelhança dos nomes, incluindo alguns serviços de segurança do Azure, como o Microsoft Defender para Nuvem (anteriormente chamado de Central de Segurança do Azure) e o Defender for Cloud Apps (anteriormente chamado de Microsoft Cloud App Security).

No entanto, a confusão vai além da terminologia. Alguns serviços fornecem proteções semelhantes, mas para recursos diferentes. Por exemplo, o Defender para Identidade e o Azure Identity Protection protegem os serviços de identidade, mas o Defender para Identidade protege identidades locais (por meio do Active Directory Domain Services e da autenticação Kerberos), enquanto o Azure Identity Protection protege identidades de nuvem (por meio do Microsoft Entra ID e da autenticação OAuth).

Esses exemplos destacam a importância de entender como os serviços de segurança do Microsoft 365 são diferentes dos serviços de segurança do Azure. Ao obter esse entendimento, você pode planejar com mais eficiência sua estratégia de segurança na nuvem da Microsoft, mantendo uma postura de segurança forte para seu ambiente de TI. O objetivo deste artigo é ajudar você a alcançar isso.

O diagrama a seguir apresenta um caso de uso real dos serviços de segurança do Microsoft Defender XDR. Ele mostra os recursos que precisam de proteção, os serviços em execução no ambiente e algumas possíveis ameaças. Os serviços do Microsoft Defender XDR são posicionados no meio, defendendo os recursos da organização dessas ameaças.

Arquitetura

A solução Detecção e Resposta Estendidas (XDR) da Microsoft, conhecida como Microsoft Defender XDR, integra várias ferramentas e serviços de segurança para fornecer proteção, detecção e resposta unificadas em pontos de extremidade, identidades, email, aplicativos e ambientes de nuvem. Ele combina inteligência avançada de ameaças, automação e análise baseada em IA para detectar e responder a ameaças cibernéticas sofisticadas em tempo real, permitindo que as equipes de segurança mitiguem rapidamente os riscos e reduzam o impacto dos ataques. Ao consolidar dados de segurança de diversas fontes, o Microsoft Defender XDR ajuda as organizações a obter uma defesa abrangente e simplificada em toda a infraestrutura de TI.

O diagrama a seguir mostra uma camada, rotulada como DEFENDER, que representa os serviços de segurança Microsoft Defender XDR. Adicionar esses serviços ao ambiente de TI ajuda você a criar uma defesa melhor para o ambiente. Os serviços na camada Defender podem operar com serviços de segurança do Azure.

Baixe um Arquivo Visio dessa arquitetura.

©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

Workflow

1. Microsoft Defender para Ponto de Extremidade

   O Defender para Ponto de Extremidade protege pontos de extremidade da sua empresa e foi criado para ajudar redes a prevenir, detectar, investigar e responder a ameaças avançadas. Ele cria uma camada de proteção para VMs que são executadas no Azure e no local. Para obter mais informações sobre o que pode ser protegido, confira Microsoft Defender para Ponto de Extremidade.

2. Microsoft Defender for Cloud Apps

   Antes conhecido como Microsoft Cloud Application Security, o Defender para Aplicativos de Nuvem é um agente de segurança de acesso à nuvem (CASB) que oferece suporte a vários modos de implantação. Esses modos incluem coleta de logs, conectores de API e proxy reverso. Ele fornece visibilidade avançada, controle sobre o percurso de dados e uma análise sofisticada para identificar e combater ameaças cibernéticas em todos os serviços de nuvem da Microsoft e de terceiros. Ele fornece proteção e mitigação de riscos para aplicativos de nuvem e até mesmo para alguns aplicativos com execução local. Ele também fornece uma camada de proteção para os usuários que acessam esses aplicativos. Para saber mais, confira a Visão geral do Microsoft Defender para Aplicativos de Nuvem.

   É importante não confundir o Defender para Aplicativos de Nuvem com o Microsoft Defender para Nuvem, que fornece recomendações e uma pontuação da postura de segurança de servidores, aplicativos, contas de armazenamento e outros recursos em execução no Azure, no local e em outras nuvens. O Defender para Nuvem consolida dois serviços anteriores, a Central de Segurança do Azure e o Azure Defender.

3. Microsoft Defender para Office

   O Defender para Office 365 protege sua organização contra ameaças maliciosas representadas por mensagens de email, links (URLs) e ferramentas de colaboração. Ele fornece proteção para email e colaboração. De acordo com a licença, você pode adicionar investigação, busca e resposta pós-violação, bem como automação e simulação (para treinamento). Para saber mais sobre opções de licenciamento, confira Visão geral da segurança do Microsoft Defender para Office 365.

4. Microsoft Defender para Identidade

   O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que usa os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização. Ele protege Serviços de Domínio do Active Directory (AD DS) executados no local. Apesar de o serviço ser executado na nuvem, ele protege identidades locais. O Defender para Identidade antes era chamado de Proteção Avançada contra Ameaças do Azure. Para obter mais informações, confira O que é o Microsoft Defender para Identidade?

   Se você precisar de proteção para identidades fornecidas pelo Microsoft Entra ID e executadas de forma nativa na nuvem, considere a proteção do Microsoft Entra ID.

5. Intune (anteriormente parte do Microsoft Endpoint Manager

O Microsoft Intune é um serviço baseado em nuvem que ajuda as organizações a gerenciar e proteger seus dispositivos, aplicativos e dados. Ele permite que os administradores de TI controlem a forma como os dispositivos da empresa, como laptops, smartphones e tablets, são usados, garantindo a conformidade com as políticas de segurança. Com o Intune, você pode impor configurações de dispositivo, implantar software, gerenciar aplicativos móveis e proteger dados corporativos usando recursos como acesso condicional e apagamento remoto. Ele especialmente útil para permitir o trabalho remoto seguro, gerenciar dispositivos corporativos e pessoais (BYOD) e garantir a segurança dos dados em diversas plataformas, como Windows, iOS, Android e macOS.

Outro serviço que fazia parte do Endpoint Manager é o Configuration Manager, uma solução de gerenciamento local que possibilita gerenciar computadores cliente e servidor presentes na rede, conectados diretamente ou pela Internet. Você pode habilitar a funcionalidade de nuvem para integrar o Configuration Manager ao Intune, ao Microsoft Entra ID, ao Defender para Ponto de Extremidade e a outros serviços de nuvem. Use-o para implantar aplicativos, atualizações de software e sistemas operacionais. Você também pode monitorar a conformidade, consultar objetos, agir com relação aos clientes em tempo real e muito mais. Para conhecer melhor todos os serviços disponíveis, confira Visão geral do Microsoft Endpoint Manager.

Ordem de ataque de exemplos de ameaças

As ameaças nomeadas no diagrama seguem uma ordem de ataque comum:

1. Um invasor envia um email de phishing com malware anexado a ele.

2. Um usuário final abre o malware anexado.

3. O malware é instalado no back-end e o usuário não percebe.

4. O malware instalado rouba as credenciais de alguns usuários.

5. O invasor usa as credenciais para obter acesso a contas confidenciais.

6. Se as credenciais fornecerem acesso a uma conta com privilégios elevados, o invasor comprometerá sistemas adicionais.

O diagrama também mostra na camada rotulada como DEFENDER os serviços do Microsoft Defender XDR que podem monitorar e mitigar esses ataques. Este é um exemplo de como o Defender fornece uma camada adicional de segurança que opera com serviços de segurança do Azure para oferecer proteção adicional dos recursos mostrados no diagrama. Para saber como possíveis ataques ameaçam o ambiente de TI, confira o segundo artigo desta série, Mapear ameaças ao ambiente de TI. Para saber mais sobre o Microsoft Defender XDR, confira Microsoft Defender XDR.

Acessar e gerenciar serviços de segurança do Microsoft Defender XDR

O diagrama a seguir apresenta os portais que se encontram disponíveis e as relações entre eles. No momento da atualização deste artigo, alguns desses portais podem já estar obsoletos.

Security.microsoft.com atualmente é o portal mais importante disponível porque traz funcionalidades do Microsoft Defender para Office 365 (1), do Defender para Ponto de Extremidade (2), do Defender para Office (3), Defender para Identidade (5), Defender para Aplicativos (4) e também para o Microsoft Sentinel.

É importante mencionar que o Microsoft Sentinel possui alguns recursos que ainda rodam apenas no Portal do Azure (portal.azure.com).

Por fim, o endpoint.microsoft.com fornece funcionalidade em especial para o Intune e o Gerenciador de Configurações, mas também para outros serviços que fazem parte do Endpoint Manager. Como o security.microsoft.com e o endpoint.microsoft.com oferecem proteção de segurança para pontos de extremidade, eles têm muitas interações entre si (9) para oferecer uma ótima postura de segurança para os pontos de extremidade.

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

• Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.

• A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.

• O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.

• As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.

• O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.

• A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.

• Aplicativos Web é um serviço baseado em HTTP para hospedar aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

• O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.

• O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Rudnei Oliveira | Engenheiro Sênior de Clientes

Outros colaboradores:

• Gary Moore | Programador/escritor
• Andrew Nathan | Gerente Sênior de Engenharia de Clientes

Próximas etapas

• Proteger-se contra ameaças com o Microsoft 365
• Detectar e responder a ataques cibernéticos com o Microsoft Defender XDR
• Introdução ao Microsoft Defender XDR
• Implementar a inteligência contra ameaças no Microsoft 365
• Gerenciar a segurança com o Microsoft 365
• Proteção contra ameaças mal-intencionadas com o Microsoft Defender para Office 365
• Proteja identidades locais com o Microsoft Defender para Nuvem para Identidade

Recursos relacionados

Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série:

• Parte 1: Usar o monitoramento do Azure para integrar componentes de segurança
• Parte 2: Mapear ameaças ao seu ambiente de TI
• Parte 3: Criar a primeira camada de defesa com serviços de Segurança do Azure
• Parte 5: Integração entre serviços de segurança do Azure e do Microsoft Defender XDR