Implementar a plataforma SecOps unificada da Microsoft

A plataforma de operações de segurança unificada da Microsoft combina as capacidades de Microsoft Defender portal, Microsoft Sentinel e outros serviços de Microsoft Defender. Esta plataforma fornece uma vista abrangente da postura de segurança da sua organização e ajuda-o a detetar, investigar e responder a ameaças em toda a sua organização.

Gerenciamento de Exposição da Segurança da Microsoft e o Microsoft Threat Intelligence estão disponíveis em qualquer ambiente que cumpra os pré-requisitos, aos utilizadores configurados com as permissões necessárias.

Pré-requisitos

• Antes de implementar a plataforma de operações de segurança unificada da Microsoft, certifique-se de que tem um plano implementado, incluindo uma estrutura de área de trabalho e uma compreensão dos custos e faturação Microsoft Sentinel.

  Para obter mais informações, veja Descrição geral do planeamento da plataforma de operações de segurança unificada.

Implementar serviços de Microsoft Defender XDR

Microsoft Defender XDR unifica a resposta a incidentes ao integrar as principais capacidades em todos os serviços, incluindo Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade. Esta experiência unificada adiciona funcionalidades avançadas às quais pode aceder no portal Microsoft Defender.

1. Microsoft Defender XDR ativa automaticamente quando os clientes elegíveis com as permissões necessárias visitam Microsoft Defender portal. Para obter mais informações, consulte Ativar Microsoft Defender XDR.

2. Continue ao implementar Microsoft Defender XDR serviços. Recomendamos que utilize a seguinte ordem:

   1. Implementar Microsoft Defender para Identidade.

   2. Implementar Microsoft Defender para Office 365.

   3. Implementar Microsoft Defender para Ponto de Extremidade. Adicione Gerenciamento de Vulnerabilidades do Microsoft Defender e/ou Monitorização empresarial para dispositivos IoT, conforme relevante para o seu ambiente.

   4. Implementar Microsoft Defender para Aplicativos de Nuvem.

Configurar Microsoft Entra ID Protection

Microsoft Defender XDR podem ingerir e incluir sinais de Microsoft Entra ID Protection, que avalia os dados de risco de milhares de milhões de tentativas de início de sessão e avalia o risco de cada início de sessão no seu ambiente. Microsoft Entra ID Protection dados são utilizados por Microsoft Entra ID para permitir ou impedir o acesso à conta, consoante a forma como as políticas de Acesso Condicional são configuradas.

Configure Microsoft Entra ID Protection para melhorar a sua postura de segurança e adicionar sinais de Microsoft Entra às operações de segurança unificadas. Para obter mais informações, veja Configurar as políticas de Microsoft Entra ID Protection.

Implementar Microsoft Defender para a Cloud

Microsoft Defender para a Cloud fornece uma experiência de gestão de segurança unificada para os seus recursos na cloud e também pode enviar sinais para Microsoft Defender XDR. Por exemplo, poderá querer começar por ligar as suas subscrições do Azure ao Microsoft Defender para a Cloud e, em seguida, passar para outros ambientes na cloud.

Para obter mais informações, veja Ligar as suas subscrições do Azure.

Integrar no Microsoft Security Copilot

Integre o Microsoft Security Copilot para melhorar as suas operações de segurança ao tirar partido de capacidades avançadas de IA. Security Copilot ajuda na deteção de ameaças, investigação e resposta, fornecendo informações e recomendações acionáveis para o ajudar a manter-se à frente de potenciais ameaças. Utilize Security Copilot para automatizar tarefas de rotina, reduzir o tempo para detetar e responder a incidentes e melhorar a eficiência geral da sua equipa de segurança.

Para obter mais informações, consulte Introdução ao Security Copilot.

Arquitetar a área de trabalho e integrar no Microsoft Sentinel

O primeiro passo na utilização do Microsoft Sentinel é criar uma área de trabalho do Log Analytics, se ainda não tiver uma. Uma única área de trabalho do Log Analytics pode ser suficiente para muitos ambientes, mas muitas organizações criam várias áreas de trabalho para otimizar os custos e cumprir melhor os diferentes requisitos empresariais. A plataforma de operações de segurança unificada da Microsoft suporta apenas uma única área de trabalho.

1. Crie um grupo de recursos de Segurança para fins de governação, o que lhe permite isolar Microsoft Sentinel recursos e o acesso baseado em funções à coleção.
2. Crie uma área de trabalho do Log Analytics no grupo de recursos Segurança e integre Microsoft Sentinel na mesma.

Para obter mais informações, consulte Integrar Microsoft Sentinel.

Configurar funções e permissões

Aprovisione os seus utilizadores com base no plano de acesso que tinha preparado anteriormente. Para cumprir Confiança Zero princípios, recomendamos que utilize o controlo de acesso baseado em funções (RBAC) para fornecer ao utilizador acesso apenas aos recursos permitidos e relevantes para cada utilizador, em vez de fornecer acesso a todo o ambiente.

Para saber mais, confira:

• Ativar Microsoft Defender XDR controlo de acesso baseado em funções unificado (RBAC)
• Atribuir funções de Microsoft Entra ID aos utilizadores
• Conceder a um utilizador acesso às funções do Azure

Integrar em SecOps unificado

Ao integrar Microsoft Sentinel no portal do Defender, unifica as capacidades com Microsoft Defender XDR como a gestão de incidentes e a investigação avançada, criando uma plataforma secOps unificada.

1. Instale a solução de Microsoft Defender XDR para Microsoft Sentinel a partir do Hub de conteúdos. Para obter mais informações, consulte Implementar e gerir conteúdo não inicial.
2. Ative o conector de dados Microsoft Defender XDR para recolher incidentes e alertas. Para obter mais informações, veja Connect data from Microsoft Defender XDR to Microsoft Sentinel (Ligar dados de Microsoft Defender XDR a Microsoft Sentinel).
3. Integração na plataforma SecOps unificada da Microsoft. Para obter mais informações, consulte Ligar Microsoft Sentinel ao Microsoft Defender.

Ajustar as configurações do sistema

Utilize as seguintes opções de configuração Microsoft Sentinel para ajustar a implementação:

Ativar o estado de funcionamento e a auditoria

Monitorize o estado de funcionamento e audite a integridade dos recursos de Microsoft Sentinel suportados ao ativar a funcionalidade de monitorização de estado de funcionamento e auditoria na página Definições do Microsoft Sentinel. Obtenha informações sobre desfasamentos de estado de funcionamento, tais como os eventos de falha mais recentes ou alterações de estados de êxito para estados de falha e sobre ações não autorizadas, e utilize estas informações para criar notificações e outras ações automatizadas.

Para obter mais informações, vejaAtivar a auditoria e a monitorização do estado de funcionamento para Microsoft Sentinel.

Configurar conteúdo Microsoft Sentinel

Com base nas origens de dados que selecionou ao planear a implementação, instale Microsoft Sentinel soluções e configure os conectores de dados. Microsoft Sentinel fornece uma vasta gama de soluções incorporadas e conectores de dados, mas também pode criar conectores personalizados e configurar conectores para ingerir registos CEF ou Syslog.

Para saber mais, confira:

• Configurar conteúdo
• Detetar e gerir Microsoft Sentinel conteúdo inicial
• Localizar o conector de dados

Ativar o User and Entity Behavior Analytics (UEBA)

Depois de configurar os conectores de dados no Microsoft Sentinel, certifique-se de que ativa a análise de comportamento da entidade do utilizador para identificar comportamentos suspeitos que podem levar a exploits de phishing e, eventualmente, a ataques, como ransomware. Para obter mais informações, veja Ativar o UEBA no Microsoft Sentinel.

Configurar a retenção de dados interativa e de longo prazo

Configure a retenção de dados interativa e de longo prazo para garantir que a sua organização retém os dados que são importantes a longo prazo. Para obter mais informações, veja Configurar a retenção de dados interativa e de longo prazo.

Ativar regras de análise

As regras de análise dizem aos Microsoft Sentinel para alertá-lo para eventos através de um conjunto de condições que considera importantes. As decisões inativas Microsoft Sentinel tomadas baseiam-se na análise comportamental de entidades do utilizador (UEBA) e nas correlações de dados em várias origens de dados. Ao ativar as regras analíticas para Microsoft Sentinel, priorize a ativação por origens de dados ligadas, risco organizacional e tática MITRE.

Para obter mais informações, veja Deteção de ameaças no Microsoft Sentinel.

Rever regras de anomalias

Microsoft Sentinel regras de anomalias estão disponíveis desativadas e ativadas por predefinição. As regras de anomalias baseiam-se em modelos de machine learning e UEBA que são preparados nos dados na área de trabalho para sinalizar comportamentos anómalos entre utilizadores, anfitriões e outros. Reveja as regras de anomalias e o limiar de classificação de anomalias para cada uma delas. Se estiver a observar falsos positivos, por exemplo, considere duplicar a regra e modificar o limiar.

Para obter mais informações, veja Trabalhar com regras de análise de deteção de anomalias.

Utilizar a regra de análise do Microsoft Threat Intelligence

Ative a regra de análise do Microsoft Threat Intelligence e verifique se esta regra corresponde aos seus dados de registo com informações sobre ameaças geradas pela Microsoft. A Microsoft tem um vasto repositório de dados de informações sobre ameaças e esta regra analítica utiliza um subconjunto do mesmo para gerar alertas e incidentes de alta fidelidade para as equipas SOC (centros de operações de segurança) fazerem a triagem.

Evitar incidentes duplicados

Depois de ligar Microsoft Sentinel a Microsoft Defender, é automaticamente estabelecida uma sincronização bidirecional entre incidentes Microsoft Defender XDR e Microsoft Sentinel. Para evitar a criação de incidentes duplicados para os mesmos alertas, recomendamos que desative todas as regras de criação de incidentes da Microsoft para produtos integrados Microsoft Defender XDR, incluindo o Defender para Ponto Final, o Defender para Identidade, Defender para Office 365, Defender para Aplicativos de Nuvem e Microsoft Entra ID Protection.

Para obter mais informações, veja Microsoft incident creation (Criação de incidentes da Microsoft ).

Realizar uma caminhada cruzada MITRE ATT&CK

Com as regras de análise de fusão, anomalias e informações sobre ameaças ativadas, realize uma caminhada cruzada MITRE Att&ck para ajudar a decidir quais as regras analíticas restantes a ativar e concluir a implementação de um processo de XDR (deteção e resposta alargadas) maduro. Isto permite-lhe detetar e responder ao longo do ciclo de vida de um ataque.

Para obter mais informações, veja Compreender a cobertura de segurança.