Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este guia de solução mostra como configurar as ferramentas XDR (extended detection and response) da Microsoft e como integrá-las ao Microsoft Sentinel para que sua organização possa responder e remediar ataques de segurança cibernética mais rapidamente.
O Microsoft Defender XDR é uma solução XDR que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o ambiente Microsoft 365.
O Microsoft Sentinel é uma solução nativa da nuvem que fornece recursos de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Juntos, o Microsoft Sentinel e o Microsoft Defender XDR fornecem uma solução abrangente para ajudar as organizações a se defenderem contra ataques modernos.
Esta orientação ajuda você a melhorar sua arquitetura Zero Trust mapeando os princípios do Zero Trust das seguintes maneiras:
| Princípio da Confiança Zero | Cumprido por |
|---|---|
| Verificar explicitamente | O Microsoft Sentinel coleta dados de todo o ambiente e analisa ameaças e anomalias para que sua organização e qualquer automação possam agir sobre dados verificados. O Microsoft Defender XDR oferece deteção e resposta estendidas entre usuários, identidades, dispositivos, aplicativos e e-mails. Configure a automação do Microsoft Sentinel para usar sinais baseados em risco capturados pelo Microsoft Defender XDR para tomar medidas, como bloquear ou autorizar tráfego com base no risco. |
| Use o acesso menos privilegiado | O Microsoft Sentinel deteta atividade anômala por meio de seu mecanismo UEBA. À medida que os cenários de segurança mudam rapidamente, sua inteligência de ameaças importa dados da Microsoft e de provedores terceirizados para detetar e contextualizar ameaças emergentes. O Microsoft Defender XDR inclui a Proteção de ID do Microsoft Entra para bloquear usuários com base no risco de identidade. Alimente dados relacionados ao Microsoft Sentinel para análise e automação adicionais. |
| Assuma que há uma violação | O Microsoft Defender XDR verifica continuamente o ambiente em busca de ameaças e vulnerabilidades. O Microsoft Sentinel analisa dados coletados e tendências comportamentais para detetar atividades suspeitas, anomalias e ameaças em vários estágios em toda a empresa. O Microsoft Defender XDR e o Microsoft Sentinel implementam tarefas de correção automatizadas, incluindo investigações, isolamento de dispositivos e quarentena de dados. Use o risco do dispositivo como um sinal para o Acesso Condicional do Microsoft Entra. |
Introdução ao Microsoft Defender XDR
A implantação do Microsoft Defender XDR é um ótimo ponto de partida para desenvolver habilidades de deteção e resposta a incidentes em sua organização. O Defender XDR está incluído no Microsoft 365 E5 e você pode até começar usando as licenças de avaliação do Microsoft 365 E5. O Defender XDR pode ser integrado com o Microsoft Sentinel ou com uma ferramenta SIEM genérica.
Para obter mais informações, consulte Pilotar e implantar o Microsoft Defender XDR.
Arquitetura do Microsoft Sentinel e XDR
Os clientes do Microsoft Sentinel podem usar um destes métodos para integrar o Microsoft Sentinel aos serviços do Microsoft Defender XDR:
Integre o Microsoft Sentinel ao portal Defender para usá-lo junto com o Microsoft Defender XDR para operações de segurança unificadas. Veja os dados do Microsoft Sentinel diretamente no portal do Defender juntamente com os incidentes, alertas, vulnerabilidades e dados de segurança do Defender.
Use os conectores de dados do Microsoft Sentinel para ingerir dados do serviço Microsoft Defender XDR no Microsoft Sentinel. Exiba os dados do Microsoft Sentinel no portal do Azure.
Este centro de orientação fornece informações para ambos os métodos. Se você integrou seu espaço de trabalho ao portal do Defender, use-o; caso contrário, use o portal do Azure, salvo indicação em contrário.
A ilustração a seguir mostra como a solução XDR da Microsoft se integra ao Microsoft Sentinel no portal Defender.
Neste diagrama:
- Informações de sinais em toda a organização alimentam o Microsoft Defender XDR e o Microsoft Defender for Cloud.
- O Microsoft Sentinel fornece suporte para ambientes multicloud e integra-se com aplicativos e parceiros de terceiros.
- Os dados do Microsoft Sentinel são ingeridos juntamente com os dados da sua organização no portal do Microsoft Defender.
- As equipes do SecOps podem analisar e responder a ameaças identificadas pelo Microsoft Sentinel e pelo Microsoft Defender XDR no portal do Microsoft Defender.
Capacidades chave
Implemente uma abordagem Zero Trust para gerenciar incidentes usando os recursos Microsoft Sentinel e Defender XDR. Para espaços de trabalho integrados ao portal do Defender, use o Microsoft Sentinel no portal do Defender.
| Capacidade ou recurso | Descrição | Produto |
|---|---|---|
| Resposta & de Investigação Automatizada (AIR) | Os recursos do AIR são projetados para examinar alertas e tomar medidas imediatas para resolver violações. Os recursos do AIR reduzem significativamente o volume de alertas, permitindo que as operações de segurança se concentrem em ameaças mais sofisticadas e outras iniciativas de alto valor. | Microsoft Defender XDR |
| Caça avançada | A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente eventos em sua rede para localizar indicadores e entidades de ameaça. O acesso flexível aos dados permite uma investigação sem restrições para ameaças conhecidas e potenciais. | Microsoft Defender XDR |
| Indicadores de ficheiro personalizados | Impeça a propagação de um ataque na sua organização banindo ficheiros potencialmente maliciosos ou suspeitas de malware. | Microsoft Defender XDR |
| Descoberta na nuvem | O Cloud Discovery analisa os logs de tráfego coletados pelo Defender for Endpoint e avalia os aplicativos identificados em relação ao catálogo de aplicativos na nuvem para fornecer informações de conformidade e segurança. | Microsoft Defender para Aplicações de Nuvem |
| Indicadores de rede personalizados | Ao criar indicadores para IPs e URLs ou domínios, agora você pode permitir ou bloquear IPs, URLs ou domínios com base em sua própria inteligência contra ameaças. | Microsoft Defender XDR |
| Bloco de deteção e resposta de terminais (EDR) | Fornece proteção adicional contra artefatos mal-intencionados quando o Microsoft Defender Antivirus (MDAV) não é o produto antivírus principal e está sendo executado no modo passivo. O EDR no modo de bloqueio funciona nos bastidores para remediar artefactos maliciosos que foram detetados pelas capacidades EDR. | Microsoft Defender XDR |
| Recursos de resposta do dispositivo | Responda rapidamente a ataques detetados isolando dispositivos ou coletando um pacote de investigação | Microsoft Defender XDR |
| Resposta em direto | A resposta em direto dá às equipas de operações de segurança acesso instantâneo a um dispositivo (também conhecido como computador) através de uma ligação de shell remota. Isto dá-lhe o poder de realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real. | Microsoft Defender XDR |
| Aplicações na nuvem seguras | Uma solução de operações de segurança de desenvolvimento (DevSecOps) que unifica o gerenciamento de segurança no nível de código em ambientes multicloud e de vários pipelines. | Microsoft Defender para Cloud |
| Melhore a sua postura de segurança | Uma solução de gerenciamento de postura de segurança na nuvem (CSPM) que apresenta ações que você pode tomar para evitar violações. | Microsoft Defender para Cloud |
| Proteja cargas de trabalho na nuvem | Uma plataforma de proteção de carga de trabalho na nuvem (CWPP) com proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho. | Microsoft Defender para Cloud |
| Análise Comportamental de Usuários e Entidades (UEBA) | Analisa o comportamento de entidades da organização, como usuários, hosts, endereços IP e aplicativos | Sentinela da Microsoft |
| Fusão | Um mecanismo de correlação baseado em algoritmos escaláveis de aprendizado de máquina. Deteta automaticamente ataques em vários estágios, também conhecidos como ameaças persistentes avançadas (APT), identificando combinações de comportamentos anômalos e atividades suspeitas que são observadas em vários estágios da cadeia de morte. | Sentinela da Microsoft |
| Inteligência de ameaças | Use provedores de terceiros da Microsoft para enriquecer dados e fornecer contexto extra sobre atividades, alertas e logs em seu ambiente. | Sentinela da Microsoft |
| Automatização | As regras de automação são uma maneira de gerenciar centralmente a automação com o Microsoft Sentinel, permitindo que você defina e coordene um pequeno conjunto de regras que podem ser aplicadas em diferentes cenários. | Sentinela da Microsoft |
| Regras de anomalia | Os modelos de regras de anomalia usam aprendizado de máquina para detetar tipos específicos de comportamento anômalo. | Sentinela da Microsoft |
| Consultas agendadas | Regras incorporadas escritas por especialistas em segurança da Microsoft que pesquisam através de registos recolhidos pelo Microsoft Sentinel em busca de cadeias de atividades suspeitas, ameaças conhecidas. | Sentinela da Microsoft |
| Regras quase em tempo real (NRT) | As regras NRT são um conjunto limitado de regras programadas, concebidas para serem executadas uma vez a cada minuto, a fim de fornecer informações tão atualizadas minuto a minuto quanto possível up-to. | Sentinela da Microsoft |
| Caça | Para ajudar os analistas de segurança a procurar proativamente novas anomalias que não foram detetadas pelas suas aplicações de segurança ou mesmo pelas suas regras de análise agendadas, as consultas de caça incorporadas do Microsoft Sentinel orientam-no a fazer as perguntas certas para encontrar problemas nos dados que já tem na sua rede. | Sentinela da Microsoft Para espaços de trabalho integrados ao portal do Defender, use a funcionalidade de busca avançada do portal Microsoft Defender. |
| Conector XDR do Microsoft Defender | O conector XDR do Microsoft Defender sincroniza logs e incidentes com o Microsoft Sentinel. | Microsoft Defender XDR e Microsoft Sentinel |
| Conectores de dados | Permite a ingestão de dados para análise no Microsoft Sentinel. | Sentinela da Microsoft |
| Solução de hub de conteúdo -Zero Trust (TIC 3.0) | O Zero Trust (TIC 3.0) inclui uma pasta de trabalho, regras de análise e um manual, que fornecem uma visualização automatizada dos princípios do Zero Trust, cruzados com a estrutura Trust Internet Connections, ajudando as organizações a monitorar as configurações ao longo do tempo. | Sentinela da Microsoft |
| Orquestração, automação e resposta de segurança (SOAR) | O uso de regras de automação e playbooks em resposta a ameaças à segurança aumenta a eficácia do seu SOC e economiza tempo e recursos. | Sentinela da Microsoft |
| Otimizações SOC | Preencha lacunas de cobertura contra ameaças específicas e reduza as taxas de ingestão em relação a dados que não fornecem valor de segurança. | Sentinela da Microsoft Para espaços de trabalho integrados ao portal do Defender, use a otimização SOC no portal do Microsoft Defender. |
O que está nesta solução
Esta solução ajuda a sua equipa de operações de segurança a remediar incidentes utilizando uma abordagem Zero Trust, orientando-o através da implementação do Microsoft Sentinel e do Microsoft Defender XDR. A implementação inclui as seguintes fases:
| Fase | Descrição |
|---|---|
| 1. Pilotar e implantar serviços Microsoft Defender XDR | Comece pilotando os serviços do Microsoft Defender XDR para que você possa avaliar seus recursos antes de concluir a implantação em toda a organização. |
| 2. Planeje sua implantação | Em seguida, planeje sua implantação completa de SIEM e XDR, incluindo os serviços XDR e o espaço de trabalho para o Microsoft Sentinel. |
| 3. Configure as ferramentas XDR e arquitete seu espaço de trabalho | Nesta fase, implante os serviços XDR que você decidiu usar em seu ambiente, implante o Microsoft Sentinel e outros serviços para dar suporte à sua solução SIEM e XDR. Se planeia trabalhar a partir do portal do Azure, ignore o passo para ligar o Microsoft Sentinel ao portal do Microsoft Defender. Esta etapa só é relevante se você quiser usar o portal Microsoft Sentinel Defender e não é relevante se quiser responder a incidentes no portal do Azure. |
| 4. Responder a incidentes | Por fim, responda a incidentes com base na integração ou não no portal do Defender: - Responder a um incidente a partir do portal Defender - Responder a um incidente a partir do portal do Azure |
Conteúdo relacionado
Para obter mais informações, consulte Segurança Zero Trust com Microsoft Sentinel e Defender XDR e conteúdo relacionado para seu portal:
Para obter mais informações sobre como aplicar os princípios de Zero Trust no Microsoft 365, consulte:
- Plano de implantação Zero Trust com o Microsoft 365
- Implantar sua infraestrutura de identidade para o Microsoft 365
- Configurações de identidade e acesso ao dispositivo Zero Trust
- Gerir dispositivos com o Microsoft Intune
- Gerir a privacidade dos dados e a proteção de dados com o Microsoft Priva e o Microsoft Purview
- Integre aplicativos SaaS para Zero Trust com o Microsoft 365