Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Microsoft Defender para Office 365
Microsoft Defender para Aplicativos de Nuvem
Microsoft Defender para Identidade
Microsoft 365
Microsoft Endpoint Manager
Ideias de soluções
Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.
Muitas organizações operam em um ambiente híbrido, com recursos hospedados no Azure e no local. A maioria dos recursos Azure, como VMs (máquinas virtuais), aplicativos Azure e Microsoft Entra ID, pode ser protegida usando os serviços de segurança internos do Azure.
Além disso, as organizações frequentemente assinam Microsoft 365 para fornecer aos usuários aplicativos como Word, Excel, PowerPoint e Exchange Online. Microsoft 365 também oferece serviços de segurança que podem ser usados para adicionar uma camada extra de proteção a alguns dos recursos de Azure mais amplamente usados.
Para utilizar efetivamente Microsoft 365 serviços de segurança, é importante entender a terminologia chave e a estrutura dos serviços de Microsoft 365. Este é o quarto artigo de uma série de cinco e explora esses tópicos com mais detalhes, com base nos conceitos abordados em artigos anteriores, especificamente:
- Mapear ameaças ao seu ambiente de TI
- Construa a primeira camada de defesa com os serviços de segurança da Azure
Microsoft 365 e Office 365 são serviços baseados em nuvem projetados para atender às necessidades da sua organização para segurança forte, confiabilidade e produtividade aprimorada do usuário. Microsoft 365 abrange serviços como Power Automate, Forms, Stream, Sway e Office 365. Office 365 inclui especificamente o conjunto familiar de aplicativos de produtividade. Para obter mais informações sobre as opções de assinatura desses dois serviços, consulte Microsoft 365 e Office 365 opções de plano.
Dependendo da licença adquirida para Microsoft 365, você também pode obter os serviços de segurança para Microsoft 365. Esses serviços de segurança são chamados de Microsoft Defender XDR, que fornece vários serviços:
- Microsoft Defender para Endpoint
- Microsoft Defender for Identity
- Microsoft Defender para Office
- Microsoft Defender for Cloud Apps
- "Microsoft Defender for Cloud Apps" acessado por meio de "security.microsoft.com" é diferente de "Microsoft Defender for Cloud" que é outra solução de segurança acessada por meio de "portal.azure.com".
O diagrama a seguir ilustra a relação de soluções e serviços principais que Microsoft 365 ofertas, embora nem todos os serviços estejam listados.
Possível caso de uso
As pessoas geralmente ficam confusas sobre Microsoft 365 serviços de segurança e seu papel na segurança cibernética de TI. Uma das principais causas dessa confusão decorre da semelhança em nomes, incluindo alguns serviços de segurança Azure, como Microsoft Defender for Cloud (anteriormente Azure Security Center) e Defender para Aplicativos de Nuvem (antigo Microsoft Cloud App Security).
No entanto, a confusão vai além da terminologia. Alguns serviços fornecem proteções semelhantes, mas para recursos diferentes. Por exemplo, o Defender para Identidade e o Azure Identity Protection protegem os serviços de identidade, mas o Defender para Identidade protege identidades locais (por meio da autenticação Active Directory Domain Services e Kerberos), enquanto o Azure Identity Protection protege identidades de nuvem (via Microsoft Entra ID e autenticação OAuth).
Esses exemplos destacam a importância de entender como os serviços de segurança Microsoft 365 diferem dos serviços de segurança Azure. Ao obter esse entendimento, você pode planejar com mais eficiência sua estratégia de segurança na nuvem da Microsoft, mantendo uma postura de segurança forte para seu ambiente de TI. O objetivo deste artigo é ajudar você a alcançar isso.
O diagrama a seguir apresenta um caso de uso do mundo real para Microsoft Defender XDR serviços de segurança. Ele mostra os recursos que precisam de proteção, os serviços em execução no ambiente e algumas possíveis ameaças. Os serviços Microsoft Defender XDR são posicionados no centro, defendendo os recursos da organização contra essas ameaças.
Arquitetura
A solução XDR (Detecção e Resposta Estendida) da Microsoft, conhecida como Microsoft Defender XDR, integra várias ferramentas e serviços de segurança para fornecer proteção unificada, detecção e resposta entre pontos de extremidade, identidades, email, aplicativos e ambientes de nuvem. Ele combina inteligência avançada de ameaças, automação e análise baseada em IA para detectar e responder a ameaças cibernéticas sofisticadas em tempo real, permitindo que as equipes de segurança mitiguem rapidamente os riscos e reduzam o impacto dos ataques. Ao consolidar dados de segurança de várias fontes, Microsoft Defender XDR ajuda as organizações a obter uma defesa abrangente e simplificada em toda a infraestrutura de TI.
O diagrama a seguir mostra uma camada, rotulada como DEFENDER, que representa os serviços de segurança Microsoft Defender XDR. Adicionar esses serviços ao ambiente de TI ajuda você a criar uma defesa melhor para o ambiente. Os serviços na camada Defender podem funcionar com os serviços de segurança do Azure.
Carrege um arquivo Visio desta arquitetura.
©2021 A MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.
Workflow
Microsoft Defender for Endpoint
O Defender para Endpoint protege os endpoints da sua empresa e foi criado para ajudar as redes a prevenir, detectar, investigar e responder a ameaças avançadas. Ele cria uma camada de proteção para VMs que são executadas em Azure e no local. Para obter mais informações sobre o que ele pode proteger, consulte Microsoft Defender for Endpoint.
Microsoft Defender for Cloud Apps
Antes conhecido como Microsoft Cloud Application Security, o Defender para Aplicativos de Nuvem é um agente de segurança de acesso à nuvem (CASB) que oferece suporte a vários modos de implantação. Esses modos incluem coleta de logs, conectores de API e proxy reverso. Ele fornece visibilidade avançada, controle sobre o percurso de dados e uma análise sofisticada para identificar e combater ameaças cibernéticas em todos os serviços de nuvem da Microsoft e de terceiros. Ele fornece proteção e mitigação de riscos para aplicativos de nuvem e até mesmo para alguns aplicativos com execução local. Ele também fornece uma camada de proteção para os usuários que acessam esses aplicativos. Para obter mais informações, consulte Microsoft Defender for Cloud Apps visão geral.
É importante não confundir o Defender para Aplicativos de Nuvem com Microsoft Defender for Cloud, que fornece recomendações e uma pontuação da postura de segurança de servidores, aplicativos, contas de armazenamento e outros recursos em execução em Azure, no local e em outras nuvens. O Defender para Nuvem consolida dois serviços anteriores, Azure Security Center e Azure Defender.
Microsoft Defender para Office
O Defender para Office 365 protege sua organização contra ameaças mal-intencionadas que são colocadas por mensagens de email, links (URLs) e ferramentas de colaboração. Ele fornece proteção para email e colaboração. De acordo com a licença, você pode adicionar investigação, busca e resposta pós-violação, bem como automação e simulação (para treinamento). Para obter mais informações sobre opções de licenciamento, consulte Microsoft Defender for Office 365 visão geral de segurança.
Microsoft Defender for Identity
O Defender para Identidade é uma solução de segurança baseada em nuvem que usa seus sinais de on-premises Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. Ele protege Active Directory Domain Services (AD DS) que são executados localmente. Apesar de o serviço ser executado na nuvem, ele protege identidades locais. O Defender for Identity foi anteriormente chamado Azure Advanced Threat Protection. Para obter mais informações, consulte O que é Microsoft Defender for Identity?
Se você precisar de proteção para identidades fornecidas por Microsoft Entra ID e que são executadas nativamente na nuvem, considere Microsoft Entra ID Protection.
Intune (anteriormente parte do Microsoft Endpoint Manager
Microsoft Intune é um serviço baseado em nuvem que ajuda as organizações a gerenciar e proteger seus dispositivos, aplicativos e dados. Ele permite que os administradores de TI controlem a forma como os dispositivos da empresa, como laptops, smartphones e tablets, são usados, garantindo a conformidade com as políticas de segurança. Com o Intune, você pode impor configurações de dispositivo, implantar software, gerenciar aplicativos móveis e proteger dados corporativos usando recursos como Acesso Condicional e apagamento remoto. É particularmente útil para habilitar o trabalho remoto seguro, gerenciar dispositivos BYOD (corporativos e pessoais) e garantir a segurança de dados em diversas plataformas, como Windows, iOS, Android e macOS.
Outro serviço que fazia parte do Endpoint Manager é o Configuration Manager, uma solução de gerenciamento local que permite gerenciar computadores cliente e servidor que estão em sua rede, conectados diretamente ou pela Internet. Você pode habilitar a funcionalidade de nuvem para integrar o Configuration Manager ao Intune, Microsoft Entra ID, Defender para Endpoint e outros serviços em nuvem. Use-o para implantar aplicativos, atualizações de software e sistemas operacionais. Você também pode monitorar a conformidade, consultar objetos, agir com relação aos clientes em tempo real e muito mais. Para saber mais sobre todos os serviços disponíveis, consulte Gerenciamento de Endpoints na Microsoft.
Ordem de ataque de exemplos de ameaças
As ameaças nomeadas no diagrama seguem uma ordem de ataque comum:
Um invasor envia um email de phishing com malware anexado a ele.
Um usuário final abre o malware anexado.
O malware é instalado no back-end e o usuário não percebe.
O malware instalado rouba as credenciais de alguns usuários.
O invasor usa as credenciais para obter acesso a contas confidenciais.
Se as credenciais fornecerem acesso a uma conta com privilégios elevados, o invasor comprometerá sistemas adicionais.
O diagrama também mostra na camada rotulada como DEFENDER quais serviços Microsoft Defender XDR podem monitorar e atenuar esses ataques. Este é um exemplo de como o Defender fornece uma camada adicional de segurança que funciona com Azure serviços de segurança para oferecer proteção adicional dos recursos mostrados no diagrama. Para saber como possíveis ataques ameaçam o ambiente de TI, confira o segundo artigo desta série, Mapear ameaças ao ambiente de TI. Para obter mais informações sobre Microsoft Defender XDR, consulte Microsoft Defender XDR.
Acessar e gerenciar serviços de segurança Microsoft Defender XDR
O diagrama a seguir apresenta os portais que se encontram disponíveis e as relações entre eles. No momento da atualização destes artigos, alguns desses portais podem já estar preteridos.
Security.microsoft.com atualmente é o portal mais importante disponível porque traz funcionalidades de Microsoft Defender for Office 365 (1), do Defender para Ponto de Extremidade (2), do Defender para Office (3), do Defender para Identidade (5), do Defender para Aplicativos (4) e também do Microsoft Sentinel.
É importante mencionar que Microsoft Sentinel tem alguns recursos que ainda são executados somente no portal do Azure (portal.azure). com).
Por fim, endpoint.microsoft.com fornece funcionalidade principalmente para o Intune e Configuration Manager, mas também para outros serviços que fazem parte do Endpoint Manager. Como o security.microsoft.com e o endpoint.microsoft.com oferecem proteção para pontos de extremidade, eles têm muitas interações entre si (9) para garantir uma postura de segurança excelente para os pontos de extremidade.
Componentes
A arquitetura de exemplo neste artigo usa os seguintes componentes de Azure:
Microsoft Entra ID é um serviço de gerenciamento de acesso e identidade baseado em nuvem. Microsoft Entra ID ajuda os usuários a acessar recursos externos e internos. Nessa arquitetura, Microsoft Entra ID autentica os usuários que acessam aplicativos SaaS (Microsoft 365, Azure e software como serviço). Ele serve como a base de identidade para detecção e resposta de ameaças.
Azure Virtual Network é um serviço de rede em Azure que permite a comunicação segura entre Azure recursos, internet e redes locais. Nessa arquitetura, ela fornece a infraestrutura de rede privada que dá suporte à conectividade segura e à segmentação de cargas de trabalho que Microsoft Defender XDR protege.
Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho para o TCP (Protocolo de Controle de Transmissão) e o tráfego UDP (User Datagram Protocol). Nessa arquitetura, ela garante alta disponibilidade e escalabilidade para serviços executados em Azure distribuindo tráfego entre VMs e contêineres.
Azure Virtual Machines é uma oferta de IaaS (infraestrutura como serviço) que fornece recursos de computação escalonáveis. Nessa arquitetura, as VMs hospedam cargas de trabalho que Microsoft Defender for Endpoint monitora e protege como parte da solução Microsoft Defender XDR.
Azure Kubernetes Service (AKS) é um serviço gerenciado do Kubernetes para implantar e gerenciar aplicativos em contêineres. Nessa arquitetura, o AKS executa cargas de trabalho em contêineres que se integram à estrutura de detecção e resposta de ameaças Microsoft Defender XDR.
Azure Virtual Desktop é um serviço de virtualização de aplicativos e desktop que fornece acesso remoto seguro a áreas de trabalho hospedadas na nuvem. Nessa arquitetura, ele dá suporte a usuários remotos. O Defender for Endpoint monitora a Área de Trabalho Virtual para detectar e responder a ameaças de endpoint.
O recurso Web Apps de Azure App Service hospeda aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma escolhido. Os aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux. Nessa arquitetura, Web Apps hospeda aplicativos baseados em HTTP protegidos por meio de recursos de segurança integrados e monitorados por ameaças.
Azure Storage é um serviço de armazenamento escalonável e seguro para vários objetos de dados na nuvem, incluindo objeto, blob, arquivo, disco, fila e armazenamento de tabelas. Azure Storage criptografa todos os dados gravados em uma conta Azure storage. Ele fornece controle refinado sobre o acesso aos seus dados. Nessa arquitetura, ela armazena dados de aplicativo e sistema e é protegida pelo Defender para Nuvem para garantir a integridade dos dados e o controle de acesso.
Azure SQL Database é um mecanismo de banco de dados relacional gerenciado que automatiza a aplicação de patch, backups e monitoramento. Nessa arquitetura, armazena dados estruturados e tira proveito de recursos de segurança internos que se alinham com o Microsoft Defender XDR para proteção contra ameaças.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Rudnei Oliveira | Engenheiro Sênior de Clientes
Outros colaboradores:
- Gary Moore | Programador/escritor
- Andrew Nathan | Gerente Sênior de Engenharia de Clientes
Próximas etapas
- Defenda-se contra ameaças com o Microsoft 365
- Detect e responder a ataques cibernéticos com Microsoft Defender XDR
- Comece a usar o Microsoft Defender XDR
- Implement inteligência contra ameaças no Microsoft 365
- Gerencie a segurança com o Microsoft 365
- Proteja contra ameaças mal-intencionadas com Microsoft Defender for Office 365
- Proteger identidades locais com Microsoft Defender for Cloud para Identidade
Recursos relacionados
Para obter mais informações sobre essa arquitetura de referência, consulte os outros artigos desta série: