Guia de planejamento e operações
Este guia destina-se a profissionais de TI (tecnologia da informação), arquitetos de TI, analistas de segurança da informação e administradores de nuvem que pretendem usar o Defender para Nuvem.
Guia de planejamento
Este guia fornece as informações de como o Defender para Nuvem se encaixa nos requisitos de segurança da sua organização e no modelo de gerenciamento de nuvem. É importante entender como as pessoas ou equipes diferentes em sua organização usam o serviço para atender às necessidades de desenvolvimento e operações seguras, monitoramento, governança e resposta a incidentes. As principais áreas a considerar ao planejar o uso do Defender para Nuvem são:
- Funções de segurança e controles de acesso
- Políticas de segurança e recomendações
- Coleta de dados e armazenamento
- Integração de recursos não Azure
- Monitoramento contínuo de segurança
- Resposta a incidentes
Na próxima seção, você saberá como planejar cada uma dessas áreas e aplicar essas recomendações com base em suas necessidades.
Observação
Leia Perguntas comuns do Defender para Nuvem para obter uma lista de perguntas comuns que também podem ser úteis durante a fase de projeto e planejamento.
Funções de segurança e controles de acesso
Dependendo do tamanho e da estrutura da sua organização, vários indivíduos e equipes podem usar o Defender para Nuvem para executar diferentes tarefas relacionadas à segurança. No diagrama a seguir, você tem um exemplo de pessoas fictícias e suas respectivas funções e responsabilidades de segurança:
O Defender para Nuvem permite que essas pessoas atendam a várias responsabilidades. Por exemplo:
Matheus (proprietário da carga de trabalho)
Gerenciar uma carga de trabalho de nuvem e seus recursos relacionados.
Responsável pela implementação e manutenção das proteções de acordo com a política de segurança da empresa.
Ellen (CISO/CIO)
Responsável por todos os aspectos de segurança da empresa.
Deseja entender a postura de segurança da empresa nas cargas de trabalho de nuvem.
Precisa ser informado dos riscos e principais ataques.
David (segurança de TI)
Define as políticas de segurança da empresa para garantir as devidas proteções no local.
Monitora a conformidade com as políticas.
Gera relatórios de liderança ou para auditores.
Judy (Operações de Segurança)
Monitora e responde a alertas de segurança 24/7.
Encaminha direto ao Proprietário da Carga de Trabalho de Nuvem ou Analista de Segurança de TI.
Sam (Analista de Segurança)
Investigar ataques.
Trabalhar com o Proprietário da Carga de Trabalho de Nuvem para aplicar a correção.
O Defender para Nuvem usa o Controle de acesso baseado em função do Azure ( RBAC do Azure), que fornece funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure. Quando um usuário abre o Defender para Nuvem, ele vê apenas as informações relacionadas aos recursos aos quais tem acesso. Isso significa que o usuário recebe a função de Leitor, Colaborador ou Proprietário para a assinatura ou grupo de recursos ao qual o recurso pertence. Além dessas funções, há duas funções específicas para o Defender para Nuvem:
Leitor de segurança: um usuário com esta essa função consegue ver somente as configurações do Defender para Nuvem, que inclui recomendações, alertas, política e integridade, mas não consegue fazer alterações.
Administrador de segurança: o mesmo que o leitor de segurança, mas ele também pode atualizar a política de segurança, ignorar as recomendações e alertas.
As personas explicadas no diagrama anterior precisam dessas funções de controle de acesso baseado em função do Azure:
Matheus (proprietário da carga de trabalho)
- Proprietário/Colaborador do Grupo de Recursos.
Ellen (CISO/CIO)
- Proprietário/Colaborador ou Administrador de Segurança da Assinatura.
David (segurança de TI)
- Proprietário/Colaborador ou Administrador de Segurança da Assinatura.
Judy (Operações de Segurança)
Leitor de Assinatura ou o Leitor de Segurança para exibir alertas.
Proprietário/Colaborador ou Administrador de Segurança da Assinatura necessário para ignorar alertas.
Sam (Analista de Segurança)
Leitor de Assinatura para exibir alertas.
Proprietário/Colaborador da Assinatura necessário para ignorar alertas.
O acesso ao espaço de trabalho pode ser obrigatório.
Algumas informações importantes a serem consideradas:
Somente os Proprietários/Colaboradores da assinatura e Administradores de segurança podem editar uma política de segurança.
Somente os Proprietários e os Colaboradores da assinatura e do grupo de recursos podem aplicar recomendações de segurança para um recurso.
Ao planejar o controle de acesso usando o RBAC do Azure para Defender para Nuvem, verifique se você sabe quem em sua organização precisa acessar o Defender para Nuvem para as tarefas que eles executarão. Em seguida, você pode configurar corretamente o controle de acesso baseado em função do Azure.
Observação
Recomendamos que você atribua a função menos permissiva necessária para os usuários realizarem suas tarefas. Por exemplo, os usuários que precisarem apenas exibir informações sobre o estado de segurança dos recursos, mas não precisarem executar ações, por exemplo, aplicar recomendações ou editar políticas, deverão receber a função de Leitor.
Políticas de segurança e recomendações
Uma política de segurança define a configuração desejada de suas cargas de trabalho e ajuda a garantir a conformidade com requisitos de regulamentação de segurança ou da empresa. No Defender para Nuvem, você pode definir políticas para suas assinaturas do Azure, que podem ser adaptadas para o tipo de carga de trabalho ou a confidencialidade dos dados.
As políticas do Defender para Nuvem contêm os seguintes componentes:
Coleta de dados: configurações de provisionamento de agente e de coleta de dados.
Política de segurança: uma Azure Policy que determina quais controles são monitorados e recomendados pelo Defender para Nuvem. Também é possível usar o Azure Policy para criar novas definições, definir mais políticas e atribuir políticas entre grupos de gerenciamento.
Notificações por email: configurações de contatos de segurança e de notificação.
Nível de preços: com ou sem os planos Defender do Microsoft Defender para Nuvem, que determinam quais recursos do Defender para Nuvem estão disponíveis para recursos no escopo (podem ser especificados para assinaturas e espaços de trabalho usando a API).
Observação
A especificação de um contato de segurança garante que o Azure possa falar com a pessoa certa na sua organização caso ocorra um incidente de segurança. Leia Fornecer detalhes de contato da segurança no Defender para Nuvem para obter mais informações sobre como habilitar essa recomendação.
Recomendações e definições de políticas de segurança
O Defender para Nuvem cria automaticamente uma política de segurança padrão para cada uma de suas assinaturas do Azure. Você pode editar a política no Defender para Nuvem ou usar o Azure Policy para criar novas definições, definir mais políticas e atribuir políticas entre grupos de gerenciamento. Grupos de gerenciamento podem representar a organização inteira ou uma unidade de negócios na organização. Você pode monitorar a conformidade da política entre esses grupos de gerenciamento.
Antes de configurar as políticas de segurança, revise cada uma das recomendações de segurança:
Confira se essas políticas são apropriadas para suas várias assinaturas e grupos de recursos.
Compreenda quais ações abordam as recomendações de segurança.
Determine quem em sua organização é responsável por monitorar e corrigir novas recomendações.
Coleta de dados e armazenamento
O Defender para Nuvem usa o agente do Log Analytics e o agente do Azure Monitor para coletar dados de segurança das máquinas virtuais. Os dados coletados desse agente são armazenados nos workspaces do Log Analytics.
Agente
Quando o provisionamento automático é habilitado na política de segurança, o agente de coleta de dados é instalado em todas as VMs do Azure com suporte e naquelas que são criadas com suporte. Se a VM ou o computador já tiver o agente do Log Analytics instalado, o Defender para Nuvem usará o agente atual instalado. O processo do agente foi criado para não ser invasivo e ter um impacto mínimo no desempenho da VM.
Se em algum momento você quiser desabilitar a Coleta de dados, desative-a na política de segurança. Entretanto, como o agente do Log Analytics pode ser usado por outros serviços de gerenciamento e monitoramento do Azure, o agente não será desinstalado automaticamente quando você desativar a coleta de dados no Defender para Nuvem. Você pode desinstalar o agente manualmente, se necessário.
Observação
Para encontrar uma lista de VMs com suporte, leia as perguntas comuns do Defender para Nuvem.
Workspace
Um workspace é um recurso do Azure que funciona como um contêiner para os dados. Você ou outros membros de sua organização podem usar vários workspaces para gerenciar diferentes conjuntos de dados que são coletados de todos ou de partes da sua infraestrutura de TI.
Os dados coletados do agente Log Analytics podem ser armazenados no workspace do Log Analytics existente associado à sua assinatura do Azure ou a novos workspaces.
No portal do Azure, você pode navegar para ver uma lista de workspaces do Log Analytics, incluindo aqueles criados pelo Defender para Nuvem. Um grupo de recursos relacionados é criado para novos workspaces. Os recursos são criados de acordo com esta convenção de nomenclatura:
Workspace: DefaultWorkspace-[subscription-ID]-[geo]
Grupo de recursos: DefaultResourceGroup- [geo]
Para workspaces criados pelo Defender para Nuvem, os dados são retidos por 30 dias. No caso dos workspaces existentes, a retenção ocorre com base no tipo de preço do workspace. Se desejar, você também pode usar um workspace existente.
Se seu agente relatar um espaço de trabalho diferente do espaço de trabalho padrão, qualquer Plano do Defender habilitado na assinatura do Microsoft Defender para Nuvem também deverá ser habilitado no espaço de trabalho.
Observação
A Microsoft está comprometida com a proteção da privacidade e da segurança dos dados. A Microsoft obedece às diretrizes rígidas de conformidade e segurança — da codificação à operação de um serviço. Para saber mais sobre manipulação de dados e privacidade, leia Segurança de dados do Defender para Nuvem.
Integrar recursos não Azure
O Defender para Nuvem pode monitorar a postura de segurança dos computadores não Azure, mas, antes, é necessário que você integre esses recursos. Leia Integrar computadores não Azure para obter mais informações sobre como integrar recursos que não são do Azure.
Monitoramento contínuo de segurança
Após a configuração inicial e a aplicação das recomendações do Defender para Nuvem, a próxima etapa é considerar os processos operacionais do Defender para Nuvem.
A Visão geral do Defender para Nuvem apresenta uma exibição unificada de segurança em todos os seus recursos do Azure e nos recursos não Azure conectados. Este exemplo mostra um ambiente com muitos problemas para resolver:
Observação
O Defender para Nuvem não interfere nos seus procedimentos operacionais normais. O Defender para Nuvem monitora passivamente as implantações e apresenta recomendações com base nas políticas de segurança habilitadas.
Ao aceitar usar o Defender para Nuvem no seu ambiente atual do Azure pela primeira vez, examine todas as recomendações, o que pode ser feito na página Recomendações.
Planeje acessar a opção Inteligência contra ameaças como parte de suas operações diárias de segurança. Lá, você pode identificar ameaças à segurança do ambiente, como identificar se determinado computador faz parte de um botnet.
Monitorar recursos novos ou alterados
A maioria dos ambientes do Azure é dinâmica, com recursos sendo criados regularmente, gerados ou desativados, reconfigurados e alterados. O Defender para Nuvem ajuda a garantir que você tenha visibilidade sobre o estado de segurança desses novos recursos.
Ao adicionar novos recursos (VMs, Bancos de Dados SQL) ao seu ambiente do Azure, o Defender para Nuvem descobre automaticamente esses recursos e começa a monitorar a segurança deles, incluindo funções Web e funções de trabalho da PaaS. Se a Coleta de Dados for habilitada na Política de Segurança, mais recursos de monitoramento são habilitados automaticamente para as máquinas virtuais.
Você também deve monitorar regularmente os recursos existentes para identificar as alterações de configuração que criaram riscos de segurança, descompasso das linhas de base recomendadas e alertas de segurança.
Proteção de acesso e aplicativos
Como parte de suas operações de segurança, você também deve adotar medidas preventivas para restringir o acesso às VMs e controlar os aplicativos que estão em execução nas VMs. Ao bloquear o tráfego de entrada para suas VMs do Azure, você estará reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para conexão com as VMs quando necessário. Use o recurso acesso a VMs just-in-time para proteger o acesso às suas VMs.
Resposta a incidentes
O Defender para Nuvem detecta e alerta você sobre as ameaças à medida que elas ocorrem. As organizações devem monitorar novos alertas de segurança e tomar as medidas necessárias para investigar com mais profundidade ou corrigir o ataque. Para obter mais informações sobre como funciona a proteção contra ameaças do Defender para Nuvem, leia Como o Defender para Nuvem detecta ameaças e responde a elas.
Embora não possamos criar seu plano de Resposta a Incidentes, usaremos a Resposta de Segurança do Microsoft Azure no ciclo de vida da nuvem como base para estágios de resposta a incidentes. Os estágios de resposta a incidentes no ciclo de vida da nuvem são:
Observação
Você pode usar o Guia de Tratamento de Incidentes de Segurança do Computador do NIST (Instituto Nacional de Padrões e Tecnologia) como uma referência para ajudar a criar seu próprio plano.
Você pode usar os alertas do Defender para Nuvem durante as seguintes fases:
Detectar: identifica uma atividade suspeita em um ou mais recursos.
Avaliar: realiza a avaliação inicial para obter mais informações sobre a atividade suspeita.
Diagnosticar: usa as etapas de correção para realizar o procedimento técnico para endereçar o problema.
Cada Alerta de segurança fornece informações que podem ser usadas para entender melhor a natureza do ataque e sugerir possíveis atenuações. Alguns alertas também fornecem links para mais informações ou para outras fontes de informações no Azure. Você pode usar as informações fornecidas para pesquisa e para começar o processo de atenuação, e também pode pesquisar dados relacionados à segurança que fiquem armazenados no workspace.
O exemplo a seguir mostra uma atividade de RDP suspeita ocorrendo:
Essa página mostra os detalhes sobre o horário do ataque, o nome do host de origem, a VM de destino e também fornece etapas de recomendação. Em algumas circunstâncias, as informações de origem do ataque podem estar vazias. Leia Informações de origem ausentes nos alertas do Defender para Nuvem para obter mais informações sobre esse tipo de comportamento.
Depois de identificar o sistema comprometido, execute uma automação de fluxo de trabalho criada anteriormente. As automações de fluxo de trabalho são uma coleção de procedimentos que pode ser executada no Defender para Nuvem depois que for disparada por um alerta.
Observação
Leia Como gerenciar alertas de segurança e responder a eles no Defender para Nuvem para obter mais informações sobre como usar as funcionalidades do Defender para Nuvem como auxílio durante o processo de resposta a incidentes.
Próximas etapas
Neste documento, você aprendeu a planejar a adoção do Defender para Nuvem. Saiba mais sobre o Defender para Nuvem:
- Como gerenciar e responder a alertas de segurança no Defender para Nuvem
- Monitorando soluções de parceiros com o Defender para Nuvem – Saiba como monitorar o status de integridade de suas soluções de parceiros.
- Perguntas comuns do Defender para Nuvem: encontre perguntas frequentes sobre o uso do serviço.
- Blog de Segurança do Azure – Leia postagens no blog sobre conformidade e segurança do Azure.