Descrição geral do planeamento da plataforma de operações de segurança unificada da Microsoft
Este artigo descreve as atividades para planear a implementação dos produtos de segurança da Microsoft na plataforma de operações de segurança unificada da Microsoft para operações de segurança ponto a ponto (SecOps). Unifique o SecOps na plataforma da Microsoft para o ajudar a reduzir os riscos, evitar ataques, detetar e interromper ciberameaças em tempo real e responder mais rapidamente com capacidades de segurança melhoradas de IA, tudo a partir do portal do Microsoft Defender.
Planejar sua implantação
A plataforma SecOps unificada da Microsoft combina serviços como Microsoft Defender XDR, Microsoft Sentinel, Gerenciamento de Exposição da Segurança da Microsoft e Microsoft Security Copilot no portal do Microsoft Defender.
O primeiro passo para planear a implementação é selecionar os serviços que pretende utilizar.
Como pré-requisito básico, precisará de Microsoft Defender XDR e Microsoft Sentinel para monitorizar e proteger os serviços e soluções da Microsoft e não microsoft, incluindo recursos na cloud e no local.
Implemente qualquer um dos seguintes serviços para adicionar segurança aos seus pontos finais, identidades, e-mail e aplicações para fornecer proteção integrada contra ataques sofisticados.
Microsoft Defender XDR serviços incluem:
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Office 365 | Protege contra ameaças colocadas por mensagens de e-mail, ligações de URL e ferramentas de colaboração Office 365. |
| Microsoft Defender para Identidade | Identifica, deteta e investiga ameaças de identidades Active Directory local e da cloud, como Microsoft Entra ID. |
| Microsoft Defender para Ponto de Extremidade | Monitoriza e protege dispositivos de ponto final, deteta e investiga falhas de segurança de dispositivos e responde automaticamente a ameaças de segurança. |
| Microsoft Defender para IoT | Fornece a deteção de dispositivos IoT e o valor de segurança para dispositivos IoT. |
| Gerenciamento de Vulnerabilidades do Microsoft Defender | Identifica recursos e inventário de software e avalia a postura do dispositivo para encontrar vulnerabilidades de segurança. |
| Microsoft Defender for Cloud Apps | Protege e controla o acesso a aplicações na cloud SaaS. |
Outros serviços suportados no portal do Microsoft Defender como parte da plataforma SecOps unificada da Microsoft, mas não licenciados com Microsoft Defender XDR, incluem:
| Serviço | Descrição |
|---|---|
| Gerenciamento de Exposição da Segurança da Microsoft | Fornece uma vista unificada da postura de segurança entre recursos e cargas de trabalho da empresa, melhorando as informações dos recursos com contexto de segurança. |
| Copilot da Segurança da Microsoft | Fornece informações e recomendações orientadas por IA para melhorar as suas operações de segurança. |
| Microsoft Defender para Nuvem | Protege ambientes multi cloud e híbridos com deteção e resposta avançadas de ameaças. |
| Informações sobre Ameaças do Microsoft Defender | Simplifica os fluxos de trabalho de informações sobre ameaças ao agregar e enriquecer origens de dados críticas para correlacionar indicadores de comprometimento (IOCs) com artigos relacionados, perfis de ator e vulnerabilidades. |
| Microsoft Entra ID Protection | Avalia os dados de risco das tentativas de início de sessão para avaliar o risco de cada início de sessão no seu ambiente. |
Rever os pré-requisitos do serviço
Antes de implementar a plataforma de operações de segurança unificada da Microsoft, reveja os pré-requisitos de cada serviço que planeia utilizar. A tabela seguinte lista os serviços e ligações para obter mais informações:
| Serviço de segurança | Pré-requisitos |
|---|---|
| Necessário para SecOps unificados | |
| Microsoft Defender XDR | pré-requisitos do Microsoft Defender XDR |
| Microsoft Sentinel | Pré-requisitos para implementar Microsoft Sentinel |
| Serviços de Microsoft Defender XDR opcionais | |
| Microsoft Defender para Office | pré-requisitos do Microsoft Defender XDR |
| Microsoft Defender para Identidade | Pré-requisitos do Microsoft Defender para Identidade |
| Microsoft Defender para Ponto de Extremidade | Configurar a implementação do Microsoft Defender para Ponto de Extremidade |
| Monitorização empresarial com Microsoft Defender para IoT | Pré-requisitos do Defender para IoT no portal do Defender |
| Gerenciamento de Vulnerabilidades do Microsoft Defender | Pré-requisitos & Permissões para Gerenciamento de Vulnerabilidades do Microsoft Defender |
| Microsoft Defender for Cloud Apps | Introdução ao Microsoft Defender for Cloud Apps |
| Outros serviços suportados no portal do Microsoft Defender | |
| Gerenciamento de Exposição da Segurança da Microsoft | Pré-requisitos e suporte |
| Copilot da Segurança da Microsoft | Requisitos mínimos |
| Microsoft Defender para Nuvem | Comece a planear a proteção multicloud e outros artigos na mesma secção. |
| Informações sobre Ameaças do Microsoft Defender | Pré-requisitos das Informações sobre Ameaças do Defender |
| Microsoft Entra ID Protection | Pré-requisitos para Microsoft Entra ID Protection |
Rever as práticas de privacidade e segurança de dados
Antes de implementar a plataforma de operações de segurança unificada da Microsoft, certifique-se de que compreende as práticas de segurança e privacidade de dados para cada serviço que planeia utilizar. A tabela seguinte lista os serviços e ligações para obter mais informações. Tenha em atenção que vários serviços utilizam as práticas de segurança e retenção de dados para Microsoft Defender XDR em vez de terem práticas separadas.
Planear a arquitetura da área de trabalho do Log Analytics
Para utilizar a plataforma SecOps unificada da Microsoft, precisa de uma área de trabalho do Log Analytics ativada para Microsoft Sentinel. Uma única área de trabalho do Log Analytics pode ser suficiente para muitos ambientes, mas muitas organizações criam várias áreas de trabalho para otimizar os custos e cumprir melhor os diferentes requisitos empresariais. A plataforma SecOps unificada da Microsoft suporta apenas uma única área de trabalho.
Crie a área de trabalho do Log Analytics que pretende ativar para Microsoft Sentinel. Considere parâmetros como quaisquer requisitos de conformidade que tenha para recolha e armazenamento de dados e como controlar o acesso a dados Microsoft Sentinel.
Para saber mais, confira:
Planear Microsoft Sentinel custos e origens de dados
A plataforma SecOps unificada da Microsoft ingere dados de serviços Microsoft originais, como Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para a Cloud. Recomendamos que expanda a cobertura para outras origens de dados no seu ambiente ao adicionar Microsoft Sentinel conectores de dados.
Determinar as origens de dados
Determine o conjunto completo de origens de dados a partir do qual irá ingerir dados e os requisitos de tamanho de dados para o ajudar a projetar com precisão o orçamento e a linha do tempo da implementação. Pode determinar estas informações durante a revisão do caso de utilização empresarial ou ao avaliar um SIEM atual que já tenha implementado. Se já tiver um SIEM implementado, analise os seus dados para compreender quais as origens de dados que fornecem mais valor e devem ser ingeridas em Microsoft Sentinel.
Por exemplo, poderá querer utilizar qualquer uma das seguintes origens de dados recomendadas:
Serviços do Azure: se algum dos seguintes serviços estiver implementado no Azure, utilize os seguintes conectores para enviar os Registos de Diagnóstico destes recursos para Microsoft Sentinel:
- Firewall do Azure
- Gateway de Aplicativo do Azure
- Cofre de Chaves
- Serviço de Kubernetes do Azure
- SQL do Azure
- Grupos de segurança de rede
- Servidores do Azure-Arc
Recomendamos que configure Azure Policy para exigir que os respetivos registos sejam reencaminhados para a área de trabalho subjacente do Log Analytics. Para obter mais informações, veja Criar definições de diagnóstico em escala com Azure Policy.
Máquinas virtuais: para máquinas virtuais alojadas no local ou noutras clouds que exijam a recolha dos registos, utilize os seguintes conectores de dados:
- Segurança do Windows Eventos com o AMA
- Eventos através do Defender para Endpoint (para servidor)
- Syslog
Aplicações virtuais de rede/origens no local: para aplicações virtuais de rede ou outras origens no local que gerem o Common Event Format (CEF) ou os registos SYSLOG, utilize os seguintes conectores de dados:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Para obter mais informações, veja Priorizar conectores de dados.
Planear o orçamento
Planeie o orçamento Microsoft Sentinel, tendo em conta as implicações de custos para cada cenário planeado. Certifique-se de que o orçamento abrange o custo da ingestão de dados para Microsoft Sentinel e o Azure Log Analytics, quaisquer manuais de procedimentos que serão implementados, etc. Para saber mais, confira:
- Planos de retenção de registos no Microsoft Sentinel
- Planear os custos e compreender Microsoft Sentinel preços e faturação
Planear funções e permissões
Utilize Microsoft Entra controlo de acesso baseado em funções (RBAC) para criar e atribuir funções na sua equipa de operações de segurança para conceder acesso adequado aos serviços incluídos na plataforma secOps unificada da Microsoft.
O modelo de controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender XDR fornece uma experiência de gestão de permissões única que fornece uma localização central para os administradores controlarem as permissões de utilizador em várias soluções de segurança. Para obter mais informações, veja Microsoft Defender XDR Controlo de acesso baseado em funções (RBAC) unificado.
Para os seguintes serviços, utilize as diferentes funções disponíveis ou crie funções personalizadas para lhe dar controlo detalhado sobre o que os utilizadores podem ver e fazer. Para saber mais, confira:
Planear atividades de Confiança Zero
A plataforma SecOps unificada da Microsoft faz parte do modelo de segurança Confiança Zero da Microsoft, que inclui os seguintes princípios:
| Princípio de segurança | Descrição |
|---|---|
| Verificar explicitamente | Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. |
| Usar acesso com privilégios mínimos | Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados. |
| Assumir violação | Minimizar o raio de explosão e o acesso de segmento. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. |
Confiança Zero segurança foi concebida para proteger ambientes digitais modernos ao tirar partido da segmentação de rede, impedir o movimento lateral, fornecer acesso com menos privilégios e utilizar análises avançadas para detetar e responder a ameaças.
Para obter mais informações sobre a implementação de princípios de Confiança Zero na plataforma SecOps unificada da Microsoft, veja Confiança Zero conteúdos para os seguintes serviços:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender para Identidade
- Obter o Microsoft Defender para Office 365
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender for Cloud Apps
- Gerenciamento de Exposição da Segurança da Microsoft
- Microsoft Defender para Nuvem
- Copilot da Segurança da Microsoft
- Microsoft Entra ID Protection
Para obter mais informações, consulte o Centro de Orientação do Confiança Zero.
Próxima etapa
Implementar a plataforma de operações de segurança unificada da Microsoft