Confiança zero e Defender para Nuvem
Este artigo fornece estratégia e instruções para integrar soluções de infraestrutura de confiança zero ao Microsoft Defender para Nuvem. As diretrizes incluem integrações com outras soluções, incluindo as soluções de SIEM (gerenciamento de eventos e informações de segurança), de SOAR (orquestração, automação e resposta de segurança), de EDR (detecção e resposta de ponto de extremidade) e de ITSM (gerenciamento de serviços de TI).
A infraestrutura compreende o hardware, o software, os microsserviços, a infraestrutura de rede e as instalações necessárias para dar suporte aos serviços de TI de uma organização. Seja local ou multinuvem, a infraestrutura representa um vetor de ameaça crítico.
As soluções de infraestrutura de Confiança Zero avaliam, monitoram e impedem ameaças de segurança à sua infraestrutura. As soluções dão suporte aos princípios de confiança zero, garantindo que o acesso aos recursos de infraestrutura seja verificado explicitamente e concedido usando princípios de acesso de privilégios mínimos. Os mecanismos pressupõem violação e procuram e corrigem ameaças à segurança na infraestrutura.
O que é confiança zero?
Confiança Zero é uma estratégia de segurança para projetar e implementar os seguintes conjuntos de princípios de segurança:
| Verificação explícita | Usar o acesso com privilégios mínimos | Pressupor a violação |
|---|---|---|
| Sempre autentique e autorize com base em todos os pontos de dados disponíveis. | Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados. | Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, impulsionar a detecção de ameaças e melhorar as defesas. |
Confiança Zero e Defender para Nuvem
As diretrizes de implantação de infraestrutura de Confiança Zero fornecem os principais estágios da estratégia de infraestrutura de confiança zero:
- Avaliar a conformidade com padrões e políticas escolhidos.
- Proteger a configuração sempre que lacunas forem encontradas.
- Empregar outras ferramentas de proteção, como acesso à VM JIT (Just-In-Time).
- Configurar a proteção contra ameaças.
- O bloqueio e a sinalização automática de comportamentos arriscados e a adoção de ações de proteção.
Veja como esses estágios são mapeados para o Defender para Nuvem.
| Meta | Defender para Nuvem |
|---|---|
| Avaliar a conformidade | No Defender para Nuvem, cada assinatura tem automaticamente a iniciativa de segurança de MCSB (parâmetro de comparação de segurança de nuvem da Microsoft) atribuída. Usando as ferramentas de pontuação segura e o painel de conformidade regulamentar, é possível compreender profundamente a postura de segurança. |
| Proteger a configuração | As configurações de infraestrutura e ambiente são avaliadas em relação ao padrão de conformidade e as recomendações são emitidas com base nessas avaliações. É possível examinar e corrigir recomendações de segurança e [acompanhar melhorias de pontuação segura] (secure-score-access-and-track.md) ao longo do tempo. É possível priorizar quais recomendações corrigir com base em possíveis caminhos de ataque. |
| Empregar mecanismos de proteção | O acesso a privilégios mínimos é um princípio de confiança zero. O Defender para Nuvem pode ajudar você a proteger as VMs e as configurações de rede usando esse princípio com recursos como: Acesso à VM JIT (just-in-time). |
| Configurar a proteção contra ameaças | O Defender para Nuvem é uma CWPP (plataforma de proteção de carga de trabalho na nuvem), fornecendo proteção avançada e inteligente de recursos e cargas de trabalho híbridas e do Azure. Saiba mais. |
| Bloquear automaticamente o comportamento de risco | Muitas das recomendações de proteção no Defender para Nuvem oferecem uma opção de negação, para impedir a criação de recursos que não atendam aos critérios de proteção definidos. Saiba mais. |
| Sinalizar comportamento suspeito automaticamente | Os alertas de segurança do Defenders para Nuvem são disparados por detecções de ameaças. O Defender para Nuvem prioriza e lista alertas, com informações para ajudar você a investigar. Ele também fornece etapas detalhadas para ajudar você a corrigir ataques. Examine a lista completa de alertas de segurança. |
Aplicar a confiança zero a cenários híbridos e multinuvem
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo. O Defender para Nuvem protege cargas de trabalho onde quer que estejam em execução. No Azure, local, AWS ou GCP.
- AWS: para proteger computadores da AWS, você integra contas da AWS no Defender para Nuvem. Essa integração fornece uma exibição unificada das recomendações do Defender para Nuvem e das descobertas do Hub de Segurança da AWS. Saiba mais sobre como conectar as contas da AWS ao Microsoft Defender para Nuvem.
- GCP: para proteger computadores da GCP, você integra contas do GCP no Defender para Nuvem. Essa integração fornece uma exibição unificada das recomendações do Defender para Nuvem e das descobertas da Central de Comandos de Segurança do GCP. Saiba mais sobre como conectar suas contas do GCP ao Microsoft Defender para Nuvem.
- Computadores locais. É possível estender a proteção do Defender para Nuvem conectando computadores locais a servidores habilitados para Azure Arc. Saiba mais sobre como conectar computadores locais ao Defender para Nuvem.
Proteger os serviços de PaaS do Azure
Quando o Defender para Nuvem está disponível em uma assinatura do Azure e os planos do Microsoft Defender para Nuvem habilitados para todos os tipos de recursos disponíveis, uma camada de proteção contra ameaças inteligente que foi desenvolvida pela Inteligência contra Ameaças da Microsoft, protege os recursos nos serviços Azure PaaS, incluindo Azure Key Vault, no Armazenamento do Microsoft Azure, no DNS do Azure e outros. Saiba mais sobre os tipos de recursos que o Defender para Nuvem pode proteger.
Automatizar respostas com os Aplicativos Lógicos do Azure
Use os Aplicativos Lógicos do Azure para criar fluxos de trabalho escalonáveis automatizados, processos empresariais e orquestrações corporativas para integrar os seus aplicativos e dados em serviços de nuvem e sistemas locais.
O recurso de automação de fluxo de trabalho do Defender para Nuvem permite automatizar as respostas aos gatilhos do Defender para Nuvem.
Essa é uma ótima maneira de definir e responder de maneira automatizada e consistente às descobertas de ameaças. Por exemplo, para notificar os stakeholders relevantes, inicie um processo de gerenciamento de alterações e aplique etapas de correção específicas quando uma ameaça for detectada.
Integrar com soluções do SIEM, SOAR e ITSM
O Defender para Nuvem pode transmitir seus alertas de segurança para as soluções do SIEM, SOAR e ITSM mais populares. Existem ferramentas nativas do Azure para garantir que você possa visualizar dados de alerta em todas as soluções mais populares em uso hoje, incluindo:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar da IBM
- ServiceNow
- ArcSight
- Power BI
- Redes Palo Alto
Integrar com o Microsoft Sentinel
O Defender para Nuvem integra-se nativamente ao Microsoft Sentinel, a solução de SIEM/SOAR da Microsoft.
Há duas abordagens para garantir que os dados do Defender para Nuvem sejam representados no Microsoft Sentinel:
Conectores do Sentinel – O Microsoft Sentinel inclui conectores internos para o Microsoft Defender para Nuvem nos níveis da assinatura e do locatário:
- Transmitir alertas para o Microsoft Sentinel no nível da assinatura
- Conectar todas as assinaturas em seu locatário ao Microsoft Sentinel
Dica
Saiba mais em Conectar alertas de segurança do Microsoft Defender para Nuvem.
Streaming de logs de auditoria – Uma maneira alternativa de investigar os alertas do Defender para Nuvem no Microsoft Sentinel é transmitir para ele seus logs de auditoria:
Transmitir alertas com a API de Segurança do Microsoft Graph
O Defender para Nuvem tem integração imediata à API de Segurança do Microsoft Graph. Nenhuma configuração é necessária e não há custos adicionais.
É possível usar essa API para transmitir alertas de todo o locatário e dados de muitos outros produtos da Segurança da Microsoft para os SIEMs de terceiros e outras plataformas populares:
- Splunk Enterprise e Splunk Cloud – Usar o Complemento da a API de Segurança do Microsoft Graph para o Splunk
- Power BI – Conectar-se à API de Segurança do Microsoft Graph no Power BI Desktop
- ServiceNow – Seguir as instruções para instalar e configurar o aplicativo da a API de Segurança do Microsoft Graph na ServiceNow Store
- QRadar - Use o Módulo de Suporte do Dispositivo da IBM para o Defender para Nuvem via API do Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark e muito mais. Saiba mais sobre a API de Segurança do Microsoft Graph.
Transmitir alertas com o Azure Monitor
Use o recurso de exportação contínua do Defender para Nuvem para se conectar ao Azure Monitor por meio dos Hubs de Eventos do Azure e transmitir alertas para o ArcSight, o SumoLogic, os servidores syslog, o LogRhythm, a plataforma de observabilidade em nuvem do Logz.io e outras soluções de monitoramento.
- Isso também pode ser feito no nível do Grupo de Gerenciamento usando o Azure Policy. Saiba mais sobre como criar configurações de automação de exportação contínua em escala.
- Para ver os esquemas de eventos dos tipos de dados exportados, examine os esquemas de eventos do Hub de Eventos.
Saiba mais sobre alertas de streaming para soluções de monitoramento.
Integrar com soluções de EDR
Microsoft Defender para ponto de extremidade
O Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística entregue pela nuvem. O plano de carga de trabalho dos servidores do Defender para Nuvem, Defender para Servidores, inclui uma licença integrada para o Defender para Ponto de Extremidade. Juntos, eles fornecem recursos de EDR abrangentes. Saiba mais sobre como proteger os pontos de extremidade.
Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem. No Defender para Nuvem, é possível fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.
Outras soluções de EDR
O Defender para Nuvem fornece avaliação de integridade de versões com suporte de soluções de EDR.
O Defender para Nuvem fornece recomendações com base no parâmetro de comparação de segurança da Microsoft. Um dos controles no benchmark está relacionado à segurança de ponto de extremidade: ES-1: Usar o EDR (detecção e resposta de ponto de extremidade). Há duas recomendações para garantir que você habilitou a proteção de ponto de extremidade e ela está funcionando bem. Saiba mais sobre a avaliação de soluções de EDR com suporte no Defender para Nuvem.
Próximas etapas
Comece a planejar a proteção multinuvem.