Descrição geral do planeamento da plataforma de operações de segurança unificada da Microsoft
Este artigo descreve as atividades para planear a implementação dos produtos de segurança da Microsoft na plataforma de operações de segurança unificada da Microsoft para operações de segurança ponto a ponto (SecOps). Unifique o SecOps na plataforma da Microsoft para o ajudar a reduzir os riscos, evitar ataques, detetar e interromper ciberameaças em tempo real e responder mais rapidamente com capacidades de segurança melhoradas de IA, tudo a partir do portal do Microsoft Defender.
Planeie a sua implantação
A plataforma SecOps unificada da Microsoft combina serviços como Microsoft Defender XDR, Microsoft Sentinel, Gestão da exposição de segurança da Microsoft e Microsoft Security Copilot no portal do Microsoft Defender.
O primeiro passo para planear a implementação é selecionar os serviços que pretende utilizar.
Como pré-requisito básico, precisará de Microsoft Defender XDR e Microsoft Sentinel para monitorizar e proteger os serviços e soluções da Microsoft e não microsoft, incluindo recursos na cloud e no local.
Implemente qualquer um dos seguintes serviços para adicionar segurança aos seus pontos finais, identidades, e-mail e aplicações para fornecer proteção integrada contra ataques sofisticados.
Microsoft Defender XDR serviços incluem:
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Office 365 | Protege contra ameaças colocadas por mensagens de e-mail, ligações de URL e ferramentas de colaboração Office 365. |
| Microsoft Defender para Identidade | Identifica, deteta e investiga ameaças de identidades Active Directory no local e da cloud, como Microsoft Entra ID. |
| Microsoft Defender para Endpoint | Monitoriza e protege dispositivos de ponto final, deteta e investiga falhas de segurança de dispositivos e responde automaticamente a ameaças de segurança. |
| Microsoft Defender para IoT | Fornece a deteção de dispositivos IoT e o valor de segurança para dispositivos IoT. |
| Gestão de Vulnerabilidade do Microsoft Defender | Identifica recursos e inventário de software e avalia a postura do dispositivo para encontrar vulnerabilidades de segurança. |
| Microsoft Defender for Cloud Apps | Protege e controla o acesso a aplicações na cloud SaaS. |
Outros serviços suportados no portal do Microsoft Defender como parte da plataforma SecOps unificada da Microsoft, mas não licenciados com Microsoft Defender XDR, incluem:
| Serviço | Descrição |
|---|---|
| Gestão da exposição de segurança da Microsoft | Fornece uma vista unificada da postura de segurança entre recursos e cargas de trabalho da empresa, melhorando as informações dos recursos com contexto de segurança. |
| Microsoft Security Copilot | Fornece informações e recomendações orientadas por IA para melhorar as suas operações de segurança. |
| Microsoft Defender para a Cloud | Protege ambientes multi cloud e híbridos com deteção e resposta avançadas de ameaças. |
| Informações sobre Ameaças do Microsoft Defender | Simplifica os fluxos de trabalho de informações sobre ameaças ao agregar e enriquecer origens de dados críticas para correlacionar indicadores de comprometimento (IOCs) com artigos relacionados, perfis de ator e vulnerabilidades. |
| Microsoft Entra ID Protection | Avalia os dados de risco das tentativas de início de sessão para avaliar o risco de cada início de sessão no seu ambiente. |
| Gestão do Risco Interno do Microsoft Purview | Correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. |
Rever os pré-requisitos do serviço
Antes de implementar a plataforma de operações de segurança unificada da Microsoft, reveja os pré-requisitos de cada serviço que planeia utilizar. A tabela seguinte lista os serviços e ligações para obter mais informações:
| Serviço de segurança | Pré-requisitos |
|---|---|
| Necessário para SecOps unificados | |
| Microsoft Defender XDR | pré-requisitos do Microsoft Defender XDR |
| Microsoft Sentinel | Pré-requisitos para implementar Microsoft Sentinel |
| Serviços de Microsoft Defender XDR opcionais | |
| Microsoft Defender para o Office | pré-requisitos do Microsoft Defender XDR |
| Microsoft Defender para Identidade | pré-requisitos do Microsoft Defender para Identidade |
| Microsoft Defender para Endpoint | Configurar Microsoft Defender para Endpoint implementação |
| Monitorização empresarial com Microsoft Defender para IoT | Pré-requisitos do Defender para IoT no portal do Defender |
| Gestão de Vulnerabilidade do Microsoft Defender | Pré-requisitos & Permissões para Gestão de vulnerabilidades do Microsoft Defender |
| Microsoft Defender for Cloud Apps | Introdução ao Microsoft Defender for Cloud Apps |
| Outros serviços suportados no portal do Microsoft Defender | |
| Gestão da exposição de segurança da Microsoft | Pré-requisitos e suporte |
| Microsoft Security Copilot | Requisitos mínimos |
| Microsoft Defender para a Cloud | Comece a planear a proteção multicloud e outros artigos na mesma secção. |
| Informações sobre Ameaças do Microsoft Defender | Pré-requisitos das Informações sobre Ameaças do Defender |
| Microsoft Entra ID Protection | Pré-requisitos para Microsoft Entra ID Protection |
| Gestão do Risco Interno do Microsoft Purview | Introdução a gestão de riscos internos |
Rever as práticas de privacidade e segurança de dados
Antes de implementar a plataforma de operações de segurança unificada da Microsoft, certifique-se de que compreende as práticas de segurança e privacidade de dados para cada serviço que planeia utilizar. A tabela seguinte lista os serviços e ligações para obter mais informações. Tenha em atenção que vários serviços utilizam as práticas de segurança e retenção de dados para Microsoft Defender XDR em vez de terem práticas separadas.
Planear a arquitetura da área de trabalho do Log Analytics
Para utilizar a plataforma SecOps unificada da Microsoft, precisa de uma área de trabalho do Log Analytics ativada para Microsoft Sentinel. Uma única área de trabalho do Log Analytics pode ser suficiente para muitos ambientes, mas muitas organizações criam várias áreas de trabalho para otimizar os custos e cumprir melhor os diferentes requisitos empresariais. A plataforma SecOps unificada da Microsoft suporta apenas uma única área de trabalho.
Crie a área de trabalho do Log Analytics que pretende ativar para Microsoft Sentinel. Considere parâmetros como quaisquer requisitos de conformidade que tenha para recolha e armazenamento de dados e como controlar o acesso a dados Microsoft Sentinel.
Para mais informações, consulte:
Planear Microsoft Sentinel custos e origens de dados
A plataforma SecOps unificada da Microsoft ingere dados de serviços Microsoft originais, como Microsoft Defender for Cloud Apps e Microsoft Defender para a Cloud. Recomendamos que expanda a cobertura para outras origens de dados no seu ambiente ao adicionar Microsoft Sentinel conectores de dados.
Determinar as origens de dados
Determine o conjunto completo de origens de dados a partir do qual irá ingerir dados e os requisitos de tamanho de dados para o ajudar a projetar com precisão o orçamento e a linha cronológica da implementação. Pode determinar estas informações durante a revisão do caso de utilização empresarial ou ao avaliar um SIEM atual que já tenha implementado. Se já tiver um SIEM implementado, analise os seus dados para compreender quais as origens de dados que fornecem mais valor e devem ser ingeridas em Microsoft Sentinel.
Por exemplo, poderá querer utilizar qualquer uma das seguintes origens de dados recomendadas:
Serviços do Azure: se algum dos seguintes serviços estiver implementado no Azure, utilize os seguintes conectores para enviar os Registos de Diagnóstico destes recursos para Microsoft Sentinel:
- Azure Firewall
- Gateway de Aplicação do Azure
- Cofre de Chaves
- Azure Kubernetes Service
- SQL do Azure
- Grupos de Segurança de Rede
- Servidores do Azure-Arc
Recomendamos que configure Azure Policy para exigir que os respetivos registos sejam reencaminhados para a área de trabalho subjacente do Log Analytics. Para obter mais informações, veja Criar definições de diagnóstico em escala com Azure Policy.
Máquinas virtuais: para máquinas virtuais alojadas no local ou noutras clouds que exijam a recolha dos registos, utilize os seguintes conectores de dados:
- Segurança do Windows Eventos com o AMA
- Eventos através do Defender para Endpoint (para servidor)
- Syslog
Aplicações virtuais de rede/origens no local: para aplicações virtuais de rede ou outras origens no local que gerem o Common Event Format (CEF) ou os registos SYSLOG, utilize os seguintes conectores de dados:
- Syslog via AMA
- Common Event Format (CEF) via AMA
Para obter mais informações, veja Priorizar conectores de dados.
Planear o orçamento
Planeie o orçamento Microsoft Sentinel, tendo em conta as implicações de custos para cada cenário planeado. Certifique-se de que o orçamento abrange o custo da ingestão de dados para Microsoft Sentinel e o Azure Log Analytics, quaisquer manuais de procedimentos que serão implementados, etc. Para mais informações, consulte:
- Planos de retenção de registos no Microsoft Sentinel
- Planear os custos e compreender Microsoft Sentinel preços e faturação
Compreender os portais de segurança e os centros de administração da Microsoft
Embora o portal Microsoft Defender seja a base para monitorizar e gerir a segurança nas suas identidades, dados, dispositivos e aplicações, tem de aceder a vários portais para determinadas tarefas especializadas.
Os portais de segurança da Microsoft incluem:
| Nome do portal | Descrição | Ligação |
|---|---|---|
| Portal do Microsoft Defender | Monitorize e responda à atividade de ameaças e reforce a postura de segurança entre as suas identidades, e-mail, dados, pontos finais e aplicações com Microsoft Defender XDR](.. /defender-xdr/microsoft-365-defender.md) |
security.microsoft.com O portal Microsoft Defender é onde pode ver e gerir alertas, incidentes, definições e muito mais. |
| Portal do Defender para Cloud | Utilize Microsoft Defender para a Cloud para reforçar a postura de segurança dos datacenters e das cargas de trabalho híbridas na cloud | portal.azure.com/#blade/Microsoft_Azure_Security |
| portal do Informações de Segurança da Microsoft | Obter atualizações de informações de segurança para Microsoft Defender para Endpoint, submeter exemplos e explorar a enciclopédia de ameaças | microsoft.com/wdsi |
A tabela seguinte descreve portais para outras cargas de trabalho que podem afetar a sua segurança. Visite estes portais para gerir identidades, permissões, definições de dispositivos e políticas de processamento de dados.
| Nome do portal | Descrição | Ligação |
|---|---|---|
| centro de administração Microsoft Entra | Aceder e administrar a família Microsoft Entra para proteger a sua empresa com identidade descentralizada, proteção de identidade, governação e muito mais, num ambiente multicloud | entra.microsoft.com |
| portal do Azure | Ver e gerir todos os recursos do Azure | portal.azure.com |
| Portal do Microsoft Purview | Gerir políticas de processamento de dados e garantir a conformidade com os regulamentos | purview.microsoft.com |
| Centro de administração do Microsoft 365 | Configurar serviços do Microsoft 365; gerir funções, licenças e controlar atualizações aos seus serviços do Microsoft 365 | admin.microsoft.com |
| centro de administração do Microsoft Intune | Utilize Microsoft Intune para gerir e proteger dispositivos. Também pode combinar capacidades de Intune e Configuration Manager. | intune.microsoft.com |
| portal do Microsoft Intune | Utilizar Microsoft Intune para implementar políticas de dispositivos e monitorizar dispositivos para conformidade | intune.microsoft.com |
Planear funções e permissões
Utilize Microsoft Entra controlo de acesso baseado em funções (RBAC) para criar e atribuir funções na sua equipa de operações de segurança para conceder acesso adequado aos serviços incluídos na plataforma secOps unificada da Microsoft.
O modelo de controlo de acesso baseado em funções (RBAC) unificado do Microsoft Defender XDR fornece uma experiência de gestão de permissões única que fornece uma localização central para os administradores controlarem as permissões de utilizador em várias soluções de segurança. Para obter mais informações, veja Microsoft Defender XDR Controlo de acesso baseado em funções (RBAC) unificado.
Para os seguintes serviços, utilize as diferentes funções disponíveis ou crie funções personalizadas para lhe dar controlo detalhado sobre o que os utilizadores podem ver e fazer. Para mais informações, consulte:
Planear atividades de Confiança Zero
A plataforma SecOps unificada da Microsoft faz parte do modelo de segurança Confiança Zero da Microsoft, que inclui os seguintes princípios:
| Princípio de segurança | Descrição |
|---|---|
| Verificar explicitamente | Autentique e autorize sempre com base em todos os pontos de dados disponíveis. |
| Utilizar o acesso com privilégios mínimos | Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados. |
| Assumir violação | Minimizar o raio de explosão e o acesso de segmento. Verifique a encriptação ponto a ponto e utilize a análise para obter visibilidade, deteção de ameaças e melhorar as defesas. |
Confiança Zero segurança foi concebida para proteger ambientes digitais modernos ao tirar partido da segmentação de rede, impedir o movimento lateral, fornecer acesso com menos privilégios e utilizar análises avançadas para detetar e responder a ameaças.
Para obter mais informações sobre a implementação de princípios de Confiança Zero na plataforma SecOps unificada da Microsoft, veja Confiança Zero conteúdos para os seguintes serviços:
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender para Identidade
- Microsoft Defender para Office 365
- Microsoft Defender para Endpoint
- Microsoft Defender for Cloud Apps
- Gestão da exposição de segurança da Microsoft
- Microsoft Defender para a Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection
- Microsoft Purview
Para obter mais informações, consulte o Centro de Orientação do Confiança Zero.
Passo seguinte
Implementar a plataforma de operações de segurança unificada da Microsoft