Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este guia de solução mostra como configurar as ferramentas de XDR (detecção e resposta estendida) da Microsoft e como integrá-las ao Microsoft Sentinel para que sua organização possa responder e corrigir ataques de segurança cibernética mais rapidamente.
O Microsoft Defender XDR é uma solução XDR que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o seu ambiente do Microsoft 365.
O Microsoft Sentinel é uma solução nativa de nuvem que fornece gerenciamento de informações e eventos de segurança (SIEM) e capacidades de orquestração, automação e resposta de segurança (SOAR). Juntos, o Microsoft Sentinel e o Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a se defenderem contra ataques modernos.
Essas diretrizes ajudam você a melhorar sua arquitetura de Confiança Zero mapeando os princípios da Confiança Zero das seguintes maneiras:
| Princípio de Confiança Zero | Atendido por |
|---|---|
| Verificação explícita | O Microsoft Sentinel coleta dados de todo o ambiente e analisa ameaças e anomalias para que sua organização e qualquer automação possam agir sobre dados verificados. O Microsoft Defender XDR fornece detecção e resposta estendidas entre usuários, identidades, dispositivos, aplicativos e emails. Configure a automação do Microsoft Sentinel para usar sinais baseados em risco capturados pelo Microsoft Defender XDR para tomar medidas, como bloquear ou autorizar o tráfego com base no risco. |
| Usar o acesso de privilégio mínimo | O Microsoft Sentinel detecta atividades anômalas por meio de seu mecanismo UEBA. À medida que os cenários de segurança mudam rapidamente, sua inteligência contra ameaças importa dados da Microsoft e de provedores de terceiros para detectar e contextualizar ameaças emergentes. O Microsoft Defender XDR inclui o Microsoft Entra ID Protection para bloquear usuários com base no risco de identidade. Alimente dados relacionados ao Microsoft Sentinel para análise e automação adicionais. |
| Presumir violação | O Microsoft Defender XDR verifica continuamente o ambiente em busca de ameaças e vulnerabilidades. O Microsoft Sentinel analisa dados coletados e tendências comportamentais para detectar atividades suspeitas, anomalias e ameaças de vários estágios em toda a empresa. O Microsoft Defender XDR e o Microsoft Sentinel implementam tarefas de correção automatizadas, incluindo investigações, isolamento de dispositivo e quarentena de dados. Utilize o risco do dispositivo como um indicador para o acesso condicional do Microsoft Entra. |
Introdução ao Microsoft Defender XDR
Implantar o Microsoft Defender XDR é um ótimo ponto de partida para criar habilidades de detecção e resposta de incidentes em sua organização. O Defender XDR está incluído no Microsoft 365 E5 e você pode até mesmo começar usando licenças de avaliação do Microsoft 365 E5. O Defender XDR pode ser integrado ao Microsoft Sentinel ou a uma ferramenta SIEM genérica.
Para obter mais informações, consulte Piloto e implante o Microsoft Defender XDR.
Arquitetura do Microsoft Sentinel e XDR
Os clientes do Microsoft Sentinel podem usar um destes métodos para integrar o Microsoft Sentinel aos serviços do Microsoft Defender XDR:
Integre o Microsoft Sentinel ao portal do Defender para usá-lo junto com o Microsoft Defender XDR para operações de segurança unificadas. Exiba dados do Microsoft Sentinel diretamente no portal do Defender juntamente com seus incidentes, alertas, vulnerabilidades e dados de segurança do Defender.
Use conectores de dados do Microsoft Sentinel para ingerir dados de serviço do Microsoft Defender XDR no Microsoft Sentinel. Exibir dados do Microsoft Sentinel no portal do Azure.
Este centro de diretrizes fornece informações para ambos os métodos. Se você integrou seu workspace ao portal do Defender, use-o; caso contrário, use o portal do Azure, a menos que indicado de outra forma.
A ilustração a seguir mostra como a solução XDR da Microsoft se integra ao Microsoft Sentinel no portal do Defender.
Neste diagrama:
- Insights de sinais em toda a sua organização alimentam o Microsoft Defender XDR e o Microsoft Defender para Nuvem.
- O Microsoft Sentinel dá suporte a ambientes multinuvem e se integra a aplicativos e parceiros de terceiros.
- Os dados do Microsoft Sentinel são ingeridos juntamente com os dados da sua organização no portal do Microsoft Defender.
- As equipes do SecOps podem analisar e responder a ameaças identificadas pelo Microsoft Sentinel e pelo Microsoft Defender XDR no portal do Microsoft Defender.
Principais capacidades
Implemente uma abordagem de Confiança Zero para gerenciar incidentes usando os recursos do Microsoft Sentinel e do Defender XDR. Para workspaces integrados ao portal do Defender, use o Microsoft Sentinel no portal do Defender.
| Capacidade ou recurso | Descrição | Produto |
|---|---|---|
| Resposta & de Investigação Automatizada (AIR) | Os recursos AIR se destinam a examinar os alertas e a tomar providências imediatas para resolver as violações. Os recursos AIR reduzem de forma significativa o volume de alertas, permitindo que as operações de segurança se concentrem nas ameaças mais sofisticadas e outras iniciativas de alto valor. | Microsoft Defender XDR |
| Busca avançada | A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores e entidades de ameaça. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais. | Microsoft Defender XDR |
| Indicadores de ficheiro personalizados | Evite a propagação adicional de um ataque em sua organização, proibindo arquivos potencialmente mal-intencionados ou suspeitos de malware. | Microsoft Defender XDR |
| Descoberta de nuvem | Cloud Discovery analisa os logs de tráfego coletados pelo Defender para endpoint e avalia os aplicativos identificados no catálogo de aplicativos em nuvem para fornecer informações de conformidade e segurança. | Microsoft Defender para Aplicativos de Nuvem |
| Indicadores de rede personalizados | Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. | Microsoft Defender XDR |
| Bloqueio EDR (detecção e resposta de ponto final) | Fornece proteção adicional contra artefatos mal-intencionados quando o Microsoft Defender Antivírus (MDAV) não é o produto antivírus primário e está em execução no modo passivo. O EDR no modo de bloqueio funciona nos bastidores para remediar artefactos maliciosos que foram detetados pelas capacidades EDR. | Microsoft Defender XDR |
| Funcionalidades de resposta do dispositivo | Responder rapidamente aos ataques detectados isolando dispositivos ou coletando um pacote de investigação | Microsoft Defender XDR |
| Resposta Imediata | A resposta em direto dá às equipas de operações de segurança acesso instantâneo a um dispositivo (também conhecido como computador) através de uma ligação de shell remota. Isto dá-lhe o poder de realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real. | Microsoft Defender XDR |
| Aplicativos de nuvem seguros | Uma solução de operações de segurança de desenvolvimento (DevSecOps) que unifica o gerenciamento de segurança no nível do código em ambientes multinuvem e de vários pipelines. | Microsoft Defender para Nuvem |
| Aprimorar sua postura de segurança | Uma solução de gerenciamento da postura de segurança na nuvem (GPSN) que apresenta ações que você pode executar para evitar violações. | Microsoft Defender para Nuvem |
| Proteger cargas de trabalho de nuvem | Uma plataforma de proteção de carga de trabalho de nuvem (CWPP) com proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho. | Microsoft Defender para Nuvem |
| UEBA (Análise Comportamental de Usuário e Entidade) | Analisa o comportamento de entidades da organização, como usuários, hosts, endereços IP e aplicativos | Microsoft Sentinel |
| Fusão | Um mecanismo de correlação baseado em algoritmos de aprendizado de máquina escalonáveis. Detecta automaticamente ataques de vários estágios também conhecidos como APT (ameaças persistentes avançadas) identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de morte. | Microsoft Sentinel |
| Inteligência contra ameaças | Use provedores de terceiros da Microsoft para enriquecer dados para fornecer contexto extra em relação a atividades, alertas e logs em seu ambiente. | Microsoft Sentinel |
| Automação | As regras de automação são uma maneira de gerenciar centralmente a automação com o Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que pode ser aplicado em diferentes cenários. | Microsoft Sentinel |
| Regras de anomalia | Modelos de regra de anomalias usam aprendizado de máquina para detectar tipos específicos de comportamento anômalo. | Microsoft Sentinel |
| Consultas agendadas | Regras internas escritas por especialistas em segurança da Microsoft que pesquisam logs coletados pelo Microsoft Sentinel em busca de cadeias de atividades suspeitas, ameaças conhecidas. | Microsoft Sentinel |
| Regras de NRT (quase em tempo real) | As regras NRT são um conjunto limitado de regras agendadas, projetadas para serem executadas uma vez a cada minuto, a fim de fornecer informações o mais up-to-o minuto possível. | Microsoft Sentinel |
| Caça | Para ajudar os analistas de segurança a procurar proativamente novas anomalias que não foram detectadas por seus aplicativos de segurança ou até mesmo por suas regras de análise agendadas, as consultas de busca internas do Microsoft Sentinel orientam você a fazer as perguntas certas para encontrar problemas nos dados que você já tem em sua rede. | Microsoft Sentinel Para espaços de trabalho integrados ao portal do Microsoft Defender, use a função de investigação avançada do portal do Microsoft Defender. |
| Conector XDR do Microsoft Defender | O conector do Microsoft Defender XDR sincroniza logs e incidentes com o Microsoft Sentinel. | Microsoft Defender XDR e Microsoft Sentinel |
| Conectores de dados | Permitir a ingestão de dados para análise no Microsoft Sentinel. | Microsoft Sentinel |
| Solução de hub de conteúdo -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) inclui uma planilha, regras de análise e um playbook, que fornecem uma visualização automatizada dos princípios de Zero Trust, mapeados para a estrutura de Conexões de Internet Confiáveis, ajudando as organizações a monitorar as configurações ao longo do tempo. | Microsoft Sentinel |
| Orquestração de segurança, automação e resposta (SOAR) | O uso de regras de automação e guias estratégicos em resposta a ameaças à segurança aumenta a eficácia do SOC e economiza tempo e recursos. | Microsoft Sentinel |
| Otimizações do SOC | Feche as lacunas de cobertura contra ameaças específicas e restrinja as taxas de ingestão para dados que não oferecem valor de segurança. | Microsoft Sentinel Para espaços de trabalho incorporados ao portal do Defender, use a otimização SOC no portal do Microsoft Defender. |
O que está nesta solução
Essa solução ajuda sua equipe de operações de segurança a corrigir incidentes usando uma abordagem de Confiança Zero orientando você por meio da implementação do Microsoft Sentinel e do Microsoft Defender XDR. A implementação inclui estas fases:
| Fase | Descrição |
|---|---|
| 1. Pilote e implante serviços do Microsoft Defender XDR | Comece pilotando os serviços do Microsoft Defender XDR para que você possa avaliar seus recursos e funcionalidades antes de concluir a implantação em toda a sua organização. |
| 2. Planejar sua implantação | Em seguida, planeje sua implantação completa de SIEM e XDR, incluindo os serviços XDR e o workspace do Microsoft Sentinel. |
| 3. Configurar ferramentas XDR e arquitetar seu workspace | Nesta fase, implante os serviços XDR que você decidiu usar em seu ambiente, implante o Microsoft Sentinel e outros serviços para dar suporte à sua solução SIEM e XDR. Se você planeja trabalhar no portal do Azure, ignore a etapa para conectar o Microsoft Sentinel ao portal do Microsoft Defender. Essa etapa só será relevante se você quiser usar o portal do Microsoft Sentinel Defender e não for relevante se quiser responder a incidentes no portal do Azure. |
| 4. Responder a incidentes | Por fim, responda a incidentes com base em se você aderiu ao portal do Defender ou não. - Responder a um incidente no portal do Defender - Responder a um incidente no portal do Azure |
Conteúdo relacionado
Para obter mais informações, consulte Segurança de Confiança Zero com o Microsoft Sentinel e o Defender XDR e conteúdo relacionado para seu portal:
Para obter mais informações sobre como aplicar princípios de Confiança Zero no Microsoft 365, consulte:
- Plano de implantação de Confiança Zero com o Microsoft 365
- Implantar a infraestrutura de identidade do Microsoft 365
- Configurações de acesso a dispositivos e identidade de Confiança Zero
- Gerenciar dispositivos com o Microsoft Intune
- Gerenciar a privacidade de dados e a proteção de dados com o Microsoft Priva e o Microsoft Purview
- Integrar aplicativos SaaS para Zero Trust com Microsoft 365