As 12 principais tarefas para as equipas de segurança suportarem o trabalho a partir de casa
Se é como a Microsoft e de repente se encontra a apoiar uma força de trabalho principalmente baseada em casa, queremos ajudá-lo a garantir que a sua organização está a trabalhar da forma mais segura possível. Este artigo dá prioridade a tarefas para ajudar as equipas de segurança a implementar as funcionalidades de segurança mais importantes o mais rapidamente possível.
Se for uma organização de pequena ou média dimensão que utiliza um dos planos empresariais da Microsoft, consulte estes recursos:
- Práticas recomendadas para proteger o Microsoft 365 para planos de negócios
- Microsoft 365 for Campaigns (inclui uma configuração de segurança recomendada para o Microsoft 365 Empresas)
Para os clientes que utilizam os nossos planos empresariais, a Microsoft recomenda que conclua as tarefas listadas na tabela seguinte que se aplicam ao seu plano de serviço. Em vez de comprar um plano do Microsoft 365 Enterprise, se estiver a combinar subscrições, tenha em atenção os seguintes itens:
- Microsoft 365 E3 inclui Enterprise Mobility + Security (EMS) E3 e Microsoft Entra ID P1
- Microsoft 365 E5 inclui o EMS E5 e o Microsoft Entra ID P2
Antes de começar, marcar sua Classificação de Segurança do Microsoft 365 no portal do Microsoft Defender. A partir de um dashboard centralizado, pode monitorizar e melhorar a segurança das suas identidades, dados, aplicações, dispositivos e infraestrutura do Microsoft 365. São-lhe atribuídos pontos para configurar funcionalidades de segurança recomendadas, realizar tarefas relacionadas com segurança (como ver relatórios) ou abordar recomendações com uma aplicação ou software de terceiros. As tarefas recomendadas neste artigo irão aumentar a sua classificação.
1: Ativar Microsoft Entra autenticação multifator (MFA)
O melhor que pode fazer para melhorar a segurança dos funcionários que trabalham a partir de casa é ativar a MFA. Se ainda não tiver processos implementados, trate esta condição como um piloto de emergência e certifique-se de que tem pessoas de apoio prontas para ajudar os funcionários que ficam presos. Como provavelmente não consegue distribuir dispositivos de segurança de hardware, utilize Windows Hello aplicações de biometria e autenticação de smartphones, como o Microsoft Authenticator.
Normalmente, a Microsoft recomenda que dê 14 dias aos utilizadores para registarem o respetivo dispositivo para autenticação multifator antes de exigirem a MFA. No entanto, se a sua força de trabalho estiver subitamente a trabalhar a partir de casa, exija a MFA como prioridade de segurança e esteja preparado para ajudar os utilizadores que precisam dela.
A aplicação destas políticas demora apenas alguns minutos, mas esteja preparado para suportar os seus utilizadores nos próximos dias.
Planejar | Recomendação |
---|---|
Planos do Microsoft 365 (sem Microsoft Entra ID P1 ou P2) | Ative as predefinições de Segurança no Microsoft Entra ID. As predefinições de segurança no Microsoft Entra ID incluem a MFA para utilizadores e administradores. |
Microsoft 365 E3 (com Microsoft Entra ID P1) | Use políticas de Acesso Condicional Comuns para configurar as seguintes políticas: |
Microsoft 365 E5 (com Microsoft Entra ID P2) | Tirando partido da funcionalidade no Microsoft Entra ID, comece a implementar o conjunto recomendado da Microsoft de Acesso Condicional e políticas relacionadas como:
|
2: Proteger contra ameaças
Todos os planos do Microsoft 365 com caixas de correio na nuvem incluem funcionalidades de Proteção do Exchange Online (EOP), incluindo:
- Antimalware.
- Antiss spam.
- Anti-spoofing em políticas anti-phishing.
As predefinições destas funcionalidades de EOP são automaticamente atribuídas a todos os destinatários através de políticas predefinidas. No entanto, para aumentar o nível de proteção da EOP para as definições de segurança Standard recomendadas da Microsoft ou Estritas com base em observações nos datacenters, ative e atribua a política de segurança predefinida Standard (para a maioria dos utilizadores) e/ou a política de segurança predefinida estrita (para administradores e outros utilizadores de alto risco). À medida que são adicionadas novas capacidades de proteção e à medida que o panorama da segurança muda, as definições da EOP nas políticas de segurança predefinidas são atualizadas automaticamente para as nossas definições recomendadas.
Para obter instruções, consulte Utilizar o portal do Microsoft Defender para atribuir políticas de segurança predefinidas Standard e Estritas aos utilizadores.
As diferenças entre Standard e Estrita são resumidas na tabela aqui. As definições abrangentes para Standard e definições de EOP Rigorosas estão descritas nas tabelas aqui.
3: Configurar Microsoft Defender para Office 365
Microsoft Defender para Office 365 (incluído com Microsoft 365 E5 e Office 365 E5) fornece salvaguardas adicionais:
- Proteção contra Anexos Seguros e Ligações Seguras: protege a sua organização contra ameaças desconhecidas em tempo real através de sistemas inteligentes que inspecionam ficheiros, anexos e ligações para conteúdo malicioso. Estes sistemas automatizados incluem uma plataforma de detonação robusta, heurística e modelos de machine learning.
- Anexos seguros para SharePoint, OneDrive e Microsoft Teams: Proteja sua organização enquanto usuários colaboram e compartilham arquivos, identificando e bloqueando arquivos mal-intencionados em sites de equipe e bibliotecas de documentos.
- Proteção de representação em políticas anti-phishing: aplica modelos de machine learning e algoritmos avançados de deteção de representação para evitar ataques de phishing.
- Proteção de conta prioritária: as contas prioritárias são uma etiqueta que aplica a um número selecionado de contas de utilizador de valor elevado. Em seguida, pode utilizar a etiqueta Prioridade como um filtro em alertas, relatórios e investigações. No Defender para Office 365 Plano 2 (incluído no Microsoft 365 E5), a proteção de contas prioritárias oferece heurística adicional para contas prioritárias adaptadas aos executivos da empresa (os colaboradores regulares não beneficiam desta proteção especializada).
Para obter uma descrição geral do Defender para Office 365, incluindo um resumo dos planos, consulte Defender para Office 365.
A política de segurança predefinida de proteção incorporada fornece proteção de Ligações Seguras e Anexos Seguros a todos os destinatários por predefinição, mas pode especificar exceções.
Tal como na secção anterior, para aumentar o nível de proteção Defender para Office 365 para as definições de segurança Standard recomendadas da Microsoft ou Estritas com base em observações nos datacenters, ative e atribua a política de segurança predefinida Standard (para a maioria dos utilizadores) e/ou a política de segurança predefinida estrita (para administradores e outros utilizadores de alto risco). À medida que as novas capacidades de proteção são adicionadas e à medida que o panorama da segurança muda, as definições de Defender para Office 365 nas políticas de segurança predefinidas são atualizadas automaticamente para as nossas definições recomendadas.
Os utilizadores que selecionar para proteção Defender para Office 365 em políticas de segurança predefinidas obtêm as definições de segurança recomendadas da Microsoft Standard ou Estritas para Anexos Seguros e Ligações Seguras. Também tem de adicionar entradas e exceções opcionais para a representação do utilizador e a proteção de representação de domínio.
Para obter instruções, consulte Utilizar o portal do Microsoft Defender para atribuir políticas de segurança predefinidas Standard e Estritas aos utilizadores.
As diferenças entre Defender para Office 365 definições de proteção em Standard e Estrita são resumidas na tabela aqui. As definições abrangentes para Standard e definições de proteção de Defender para Office 365 Estrita estão descritas nas tabelas aqui.
Pode ativar e desativar Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams independentemente das políticas de segurança predefinidas (está ativada por predefinição). Para verificar, consulte Ativar Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams.
Depois de identificar os utilizadores como contas prioritárias, estes obtêm proteção de conta prioritária se estiverem ativados (está ativado por predefinição). Para verificar, veja Configurar e rever a proteção de conta prioritária no Microsoft Defender para Office 365.
4: Configurar Microsoft Defender para Identidade
Microsoft Defender para Identidade é uma solução de segurança baseada na cloud que utiliza sinais de Active Directory local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. Concentre-se neste item em seguida, uma vez que protege a sua infraestrutura no local e na cloud, não tem dependências nem pré-requisitos e pode proporcionar benefícios imediatos.
- Veja Microsoft Defender para Identidade Inícios Rápidos para obter a configuração rapidamente
- Ver Vídeo: Introdução ao Microsoft Defender para Identidade
- Rever as três fases da implementação do Microsoft Defender para Identidade
5: Ativar Microsoft Defender XDR
Agora que Microsoft Defender para Office 365 e Microsoft Defender para Identidade configurados, pode ver os sinais combinados destas capacidades num dashboard. Microsoft Defender XDR reúne alertas, incidentes, investigação e resposta automatizadas e investigação avançada entre cargas de trabalho (Microsoft Defender para Identidade, Defender para Office 365, Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Aplicativos de Nuvem) num único painel no portal do Microsoft Defender.
Depois de configurar um ou mais dos seus serviços de Defender para Office 365, ative o MTP. As novas funcionalidades são adicionadas continuamente ao MTP; considere optar ativamente por receber funcionalidades de pré-visualização.
- Saiba mais sobre o MTP
- Ativar o MTP
- Optar ativamente por participar nas funcionalidades de pré-visualização
6: Configurar Intune proteção de aplicações móveis para telemóveis e tablets
Microsoft Intune Gestão de Aplicações Móveis (MAM) permite-lhe gerir e proteger os dados da sua organização em telemóveis e tablets sem gerir estes dispositivos. Veja como funciona:
- Cria uma Política de Proteção de Aplicações (APP) que determina que aplicações num dispositivo são geridas e que comportamentos são permitidos (como impedir que os dados de uma aplicação gerida sejam copiados para uma aplicação não gerida). Cria uma política para cada plataforma (iOS, Android).
- Depois de criar as políticas de proteção de aplicações, imponha-as ao criar uma regra de acesso condicional no Microsoft Entra ID para exigir aplicações aprovadas e proteção de dados da APLICAÇÃO.
As políticas de proteção de APLICAÇÕES incluem muitas definições. Felizmente, não precisa de saber mais sobre todas as definições e ponderar as opções. A Microsoft facilita a aplicação de uma configuração de definições ao recomendar pontos de partida. A Arquitetura de proteção de dados que utiliza políticas de proteção de aplicações inclui três níveis que pode escolher.
Melhor ainda, a Microsoft coordena esta arquitetura de proteção de aplicações com um conjunto de acesso condicional e políticas relacionadas que recomendamos que todas as organizações utilizem como ponto de partida. Se implementou a MFA com a documentação de orientação neste artigo, está a meio caminho!
Para configurar a proteção de aplicações móveis, utilize a documentação de orientação em Políticas comuns de identidade e acesso a dispositivos:
- Utilize a documentação de orientação Aplicar políticas de proteção de dados da APLICAÇÃO para criar políticas para iOS e Android. O Nível 2 (proteção de dados melhorada) é recomendado para a proteção da linha de base.
- Crie uma regra de acesso condicional para Exigir aplicações aprovadas e proteção de APLICAÇÕES.
7: Configurar a MFA e o acesso condicional para convidados, incluindo Intune proteção de aplicações móveis
Em seguida, vamos garantir que pode continuar a colaborar e a trabalhar com convidados. Se estiver a utilizar o plano Microsoft 365 E3 e tiver implementado a MFA para todos os utilizadores, está definido.
Se estiver a utilizar o plano Microsoft 365 E5 e estiver a tirar partido do Azure Identity Protection para a MFA baseada em riscos, terá de fazer alguns ajustes (uma vez que Microsoft Entra ID Protection não se estende aos convidados):
- Crie uma nova regra de acesso condicional para exigir sempre a MFA para convidados e utilizadores externos.
- Atualize a regra de acesso condicional da MFA baseada no risco para excluir convidados e utilizadores externos.
Utilize a documentação de orientação em Atualizar as políticas comuns para permitir e proteger o acesso de convidado e externo para compreender como o acesso de convidado funciona com Microsoft Entra ID e atualizar as políticas afetadas.
O Intune políticas de proteção de aplicações móveis que criou, juntamente com a regra de acesso condicional para exigir aplicações aprovadas e proteção de APLICAÇÕES, aplicam-se a contas de convidados e ajudam a proteger os dados da sua organização.
Observação
Se já tiver inscrito PCs na gestão de dispositivos para exigir PCs conformes, também terá de excluir as contas de convidado da regra de acesso condicional que impõe a conformidade do dispositivo.
8: Inscrever PCs na gestão de dispositivos e exigir PCs em conformidade
Existem vários métodos para registrar os dispositivos da sua força de trabalho. Cada método depende da propriedade (pessoal ou corporativa) do dispositivo, do tipo de dispositivo (iOS, Windows, Android) e dos requisitos de gerenciamento (redefinições, afinidade, bloqueio). Esta investigação pode demorar algum tempo a resolver. Veja: Inscrever dispositivos no Microsoft Intune.
A forma mais rápida de começar é Configurar a inscrição automática para dispositivos Windows 10.
Também pode tirar partido destes tutoriais:
- Utilizar o Autopilot para inscrever dispositivos Windows no Intune
- Utilizar as funcionalidades de Inscrição de Dispositivos Empresariais da Apple no Apple Business Manager (ABM) para inscrever dispositivos iOS/iPadOS no Intune
Depois de inscrever dispositivos, utilize a documentação de orientação em Identidade comum e políticas de acesso a dispositivos para criar estas políticas:
- Definir políticas de conformidade do dispositivo: as definições recomendadas para Windows 10 incluem a necessidade de proteção antivírus. Se tiver Microsoft 365 E5, utilize Microsoft Defender para Ponto de Extremidade para monitorizar o estado de funcionamento dos dispositivos dos funcionários. Certifique-se de que as políticas de conformidade para outros sistemas operativos incluem proteção antivírus e software de proteção de ponto final.
- Exigir PCs conformes: esta é a regra de acesso condicional no Microsoft Entra ID que impõe as políticas de conformidade do dispositivo.
Apenas uma organização pode gerir um dispositivo, por isso, certifique-se de que exclui as contas de convidado da regra de acesso condicional no Microsoft Entra ID. Se não excluir utilizadores convidados e externos de políticas que exijam a conformidade do dispositivo, estas políticas bloquearão estes utilizadores. Para obter mais informações, consulte Atualizar as políticas comuns para permitir e proteger o acesso de convidado e externo.
9: Otimizar a rede para conectividade na cloud
Se estiver a permitir rapidamente que a maior parte dos seus funcionários trabalhem a partir de casa, esta mudança repentina de padrões de conectividade pode ter um impacto significativo na infraestrutura de rede empresarial. Muitas redes foram dimensionadas e concebidas antes da adoção dos serviços cloud. Em muitos casos, as redes são tolerantes a trabalhadores remotos, mas não foram concebidas para serem utilizadas remotamente por todos os utilizadores em simultâneo.
Os elementos de rede são subitamente colocados sob enorme tensão devido à carga de toda a empresa que os utiliza. Por exemplo:
- Concentradores de VPN.
- Equipamento de saída de rede central (como proxies e dispositivos de prevenção de perda de dados).
- Largura de banda da Internet central.
- Circuitos MPLS de backhaul
- Capacidade NAT.
O resultado final é um fraco desempenho e produtividade, juntamente com uma má experiência para os utilizadores que se estão a adaptar ao trabalho a partir de casa.
Algumas das proteções que têm sido tradicionalmente fornecidas através do encaminhamento do tráfego através de uma rede empresarial são agora fornecidas pelas aplicações na cloud às quais os seus utilizadores estão a aceder. Se chegar a este passo neste artigo, implementou um conjunto de controlos de segurança na cloud sofisticados para serviços e dados do Microsoft 365. Com estes controlos implementados, poderá estar pronto para encaminhar o tráfego dos utilizadores remotos diretamente para Office 365. Se ainda precisar de uma ligação VPN para aceder a outras aplicações, pode melhorar significativamente o desempenho e a experiência do utilizador ao implementar o túnel dividido. Depois de chegar a um acordo na sua organização, esta otimização pode ser efetuada dentro de um dia por uma equipa de rede bem coordenada.
Para saber mais, confira:
- Descrição geral: Otimizar a conectividade para utilizadores remotos com o túnel dividido de VPN
- Implementando o tunelamento dividido de VPN para Office 365
Artigos de blogue recentes sobre este tópico:
- Como otimizar rapidamente o tráfego para o pessoal remoto & reduzir a carga na sua infraestrutura
- Formas alternativas para os profissionais de segurança e as TI alcançarem controlos de segurança modernos nos cenários de trabalho remoto exclusivos atuais
10: Preparar utilizadores
Os utilizadores de formação podem poupar muito tempo e frustração aos seus utilizadores e à equipa de operações de segurança. Os utilizadores experientes são menos propensos a abrir anexos ou a clicar em ligações em mensagens de e-mail questionáveis e são mais propensos a evitar sites suspeitos.
O Manual de Campanha de Cibersegurança da Harvard Kennedy School fornece excelentes orientações sobre como estabelecer uma forte cultura de consciência de segurança dentro da sua organização, incluindo a formação de utilizadores para identificar ataques de phishing.
O Microsoft 365 fornece os seguintes recursos para ajudar a informar os utilizadores na sua organização:
Conceito | Recursos |
---|---|
Microsoft 365 |
Caminhos de aprendizagem personalizáveis Estes recursos podem ajudá-lo a organizar a formação para os utilizadores finais na sua organização |
Segurança do Microsoft 365 |
Módulo de aprendizagem: proteger a sua organização com segurança inteligente e incorporada do Microsoft 365 Este módulo permite-lhe descrever como as funcionalidades de segurança do Microsoft 365 funcionam em conjunto e articular os benefícios destas funcionalidades de segurança. |
Autenticação de vários fatores |
Verificação de dois passos: Qual é a página de verificação adicional? Este artigo ajuda os utilizadores finais a compreender o que é a autenticação multifator e por que motivo está a ser utilizada na sua organização. |
Além desta documentação de orientação, a Microsoft recomenda que os seus utilizadores realizem as ações descritas neste artigo: Proteger a sua conta e dispositivos contra hackers e software maligno. Essas ações incluem:
- Utilizar palavras-passe fortes
- Proteger dispositivos
- Ativar funcionalidades de segurança em PCs Windows 10 e Mac (para dispositivos não geridos)
A Microsoft também recomenda que os utilizadores protejam as suas contas de e-mail pessoais ao efetuarem as ações recomendadas nos seguintes artigos:
11: Introdução ao Microsoft Defender para Aplicativos de Nuvem
Microsoft Defender para Aplicativos de Nuvem fornece visibilidade avançada, controlo sobre viagens de dados e análises sofisticadas para identificar e combater ciberameaças em todos os seus serviços cloud. Assim que começar a utilizar Defender para Aplicativos de Nuvem, as políticas de deteção de anomalias são ativadas automaticamente. No entanto, Defender para Aplicativos de Nuvem tem um período de aprendizagem inicial de sete dias durante o qual nem todos os alertas de deteção de anomalias são gerados.
Comece já com Defender para Aplicativos de Nuvem. Mais tarde, pode configurar controlos e monitorização mais sofisticados.
- Início Rápido: Introdução ao Defender para Aplicativos de Nuvem
- Obter análise comportamental instantânea e deteção de anomalias
- Saiba mais sobre Microsoft Defender para Aplicativos de Nuvem
- Rever novas funcionalidades e capacidades
- Veja as instruções básicas de configuração
12: Monitorizar ameaças e tomar medidas
O Microsoft 365 inclui várias formas de monitorizar status e tomar as medidas adequadas. O seu melhor ponto de partida é o portal Microsoft Defender, onde pode ver a Classificação de Segurança da Microsoft da sua organização e quaisquer alertas ou entidades que necessitem da sua atenção.
Próximas etapas
Parabéns! Implementou rapidamente algumas das proteções de segurança mais importantes e a sua organização é muito mais segura. Agora, está pronto para ir ainda mais longe com as capacidades de proteção contra ameaças (incluindo Microsoft Defender para Ponto de Extremidade), capacidades de classificação e proteção de dados e proteger contas administrativas. Para obter um conjunto mais aprofundado e metódico de recomendações de segurança para o Microsoft 365, consulte Microsoft 365 Security for Business Decision Makers (BDMs).
Visite também a nova documentação do Defender para a Cloud em Segurança da Microsoft.