Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Defender para Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender para Identidade
Microsoft 365
Microsoft Endpoint Manager
Ideias de soluções
Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe com os requisitos específicos da sua carga de trabalho.
Muitas organizações operam num ambiente híbrido, com recursos alojados tanto no Azure como on-premises. A maioria dos recursos Azure, como máquinas virtuais (VMs), aplicações Azure e Microsoft Entra ID, pode ser protegida usando os serviços de segurança integrados do Azure.
Além disso, as organizações subscrevem frequentemente o Microsoft 365 para fornecer aos utilizadores aplicações como Word, Excel, PowerPoint e Exchange Online. O Microsoft 365 também oferece serviços de segurança que podem ser usados para adicionar uma camada extra de proteção a alguns dos recursos do Azure mais utilizados.
Para utilizar eficazmente os serviços de segurança do Microsoft 365, é importante compreender a terminologia-chave e a estrutura dos serviços do Microsoft 365. Este quarto artigo, de uma série de cinco, explora estes tópicos mais detalhadamente, baseando-se em conceitos abordados em artigos anteriores, nomeadamente:
- Mapeie as ameaças ao seu ambiente de TI
- Construir a primeira camada de defesa com Azure serviços de segurança
Microsoft 365 e Office 365 são serviços baseados na cloud concebidos para responder às necessidades da sua organização de forte segurança, fiabilidade e maior produtividade do utilizador. O Microsoft 365 abrange serviços como Power Automate, Forms, Stream, Sway e Office 365. O Office 365 inclui especificamente o conjunto familiar de aplicações de produtividade. Para mais informações sobre as opções de subscrição destes dois serviços, consulte Microsoft 365 e Office 365 opções de plano.
Dependendo da licença que adquirir para o Microsoft 365, também pode obter os serviços de segurança para o Microsoft 365. Estes serviços de segurança são chamados Microsoft Defender XDR, que fornece múltiplos serviços:
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender para Office
- Microsoft Defender for Cloud Apps
- "Microsoft Defender for Cloud Apps" acedido através de "security.microsoft.com" é diferente de "Microsoft Defender for Cloud", que é outra solução de segurança acedida através de "portal.azure.com."
O diagrama seguinte ilustra a relação entre soluções e serviços principais que o Microsoft 365 oferece, embora nem todos os serviços estejam listados.
Caso de uso potencial
As pessoas muitas vezes ficam confusas sobre os serviços de segurança do Microsoft 365 e o seu papel na cibersegurança de TI. Uma das principais causas desta confusão advém da semelhança nos nomes, incluindo alguns serviços de segurança do Azure como o Microsoft Defender for Cloud (anteriormente Azure Security Center) e o Defender for Cloud Apps (anteriormente Microsoft Cloud App Security).
No entanto, a confusão vai além da terminologia. Alguns serviços fornecem proteções semelhantes, mas para recursos diferentes. Por exemplo, o Defender for Identity e o Azure Identity Protection protegem ambos os serviços de identidade, mas o Defender for Identity protege as identidades on-premises (via Active Directory Domain Services e autenticação Kerberos), enquanto o Azure Identity Protection protege as identidades na cloud (via Microsoft Entra ID e autenticação OAuth).
Estes exemplos destacam a importância de compreender como os serviços de segurança do Microsoft 365 diferem dos serviços de segurança do Azure. Ao obter essa compreensão, você pode planejar de forma mais eficaz sua estratégia de segurança na nuvem da Microsoft, mantendo uma forte postura de segurança para seu ambiente de TI. Este artigo pretende ajudá-lo a alcançar esse objetivo.
O diagrama seguinte apresenta um caso de uso real para os serviços de segurança Microsoft Defender XDR. Ele mostra os recursos que precisam de proteção, os serviços em execução no ambiente e algumas ameaças potenciais. Os serviços Microsoft Defender XDR estão posicionados no centro, defendendo os recursos da organização contra essas ameaças.
Arquitetura
A solução de Deteção e Resposta Estendida (XDR) da Microsoft, conhecida como Microsoft Defender XDR, integra múltiplas ferramentas e serviços de segurança para fornecer proteção, deteção e resposta unificadas entre endpoints, identidades, email, aplicações e ambientes cloud. Ele combina inteligência avançada contra ameaças, automação e análises orientadas por IA para detetar e responder a ameaças cibernéticas sofisticadas em tempo real, permitindo que as equipes de segurança mitiguem rapidamente os riscos e reduzam o impacto dos ataques. Ao consolidar dados de segurança de várias fontes, o Microsoft Defender XDR ajuda as organizações a alcançar uma defesa abrangente e simplificada em toda a sua infraestrutura de TI.
O diagrama seguinte mostra uma camada, rotulada como DEFENDER, que representa os serviços de segurança Microsoft Defender XDR. Adicionar esses serviços ao seu ambiente de TI ajuda você a criar uma melhor defesa para seu ambiente. Os serviços na camada Defender podem funcionar com os serviços de segurança do Azure.
Descarregue um ficheiro Visio desta arquitetura.
©2021 A Corporação MITRE. Este trabalho é reproduzido e distribuído com a permissão da MITRE Corporation.
Workflow
Microsoft Defender for Endpoint
O Defender for Endpoint protege os endpoints na sua empresa e foi concebido para ajudar as redes a prevenir, detetar, investigar e responder a ameaças avançadas. Cria uma camada de proteção para VMs que correm no Azure e on-premises. Para mais informações sobre o que pode proteger, consulte Microsoft Defender for Endpoint.
Microsoft Defender for Cloud Apps
Anteriormente conhecido como Microsoft Cloud Application Security, o Defender for Cloud Apps é um agente de segurança de acesso à nuvem (CASB) que suporta vários modos de implantação. Esses modos incluem a recolha de logs, conectores API e proxy reverso. Ele fornece visibilidade avançada, controle sobre viagens de dados e análises sofisticadas para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem da Microsoft e de terceiros. Ele fornece proteção e mitigação de riscos para aplicativos em nuvem e até mesmo para alguns aplicativos que são executados localmente. Ele também fornece uma camada de proteção para os usuários que acessam esses aplicativos. Para mais informações, consulte Microsoft Defender for Cloud Apps visão geral.
É importante não confundir o Defender for Cloud Apps com o Microsoft Defender for Cloud, que fornece recomendações e uma avaliação da postura de segurança de servidores, aplicações, contas de armazenamento e outros recursos a correr no Azure, on-premises e noutras clouds. O Defender for Cloud consolida dois serviços anteriores, Azure Security Center e Azure Defender.
Microsoft Defender para Office
O Defender for Office 365 protege a sua organização contra ameaças maliciosas resultantes de mensagens de email, links (URLs) e ferramentas de colaboração. Ele fornece proteção para e-mail e colaboração. Dependendo da licença, pode-se adicionar investigação pós-violação, busca ativa e resposta, bem como automação e simulação (para formação). Para mais informações sobre opções de licenciamento, consulte Microsoft Defender for Office 365 Security Overview.
Microsoft Defender for Identity
O Defender for Identity é uma solução de segurança baseada na cloud que utiliza os seus sinais do on-premises Active Directory para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações maliciosas de insiders dirigidas à sua organização. Protege os Active Directory Domain Services (AD DS) que correm on-premises. Embora esse serviço seja executado na nuvem, ele funciona para proteger identidades no local. O Defensor da Identidade chamava-se anteriormente Azure Advanced Threat Protection. Para mais informações, veja O que é Microsoft Defender for Identity?
Se precisar de proteção para identidades fornecidas pelo Microsoft Entra ID e que correm nativamente na cloud, considere o Microsoft Entra ID Protection.
Intune (anteriormente parte do Microsoft Endpoint Manager
Microsoft Intune é um serviço baseado na cloud que ajuda as organizações a gerir e proteger os seus dispositivos, aplicações e dados. Ele permite que os administradores de TI controlem como os dispositivos da empresa, como laptops, smartphones e tablets, são usados, garantindo a conformidade com as políticas de segurança. Com o Intune, pode impor configurações de dispositivos, implementar software, gerir aplicações móveis e proteger dados empresariais utilizando funcionalidades como o Acesso Condicional e a limpeza remota. É particularmente útil para permitir trabalho remoto seguro, gerir dispositivos corporativos e pessoais (BYOD) e garantir a segurança dos dados em diversas plataformas como Windows, iOS, Android e macOS.
Outro serviço que fazia parte do Gestor de Endpoints é o Configuration Manager, uma solução de gestão local que permite gerir computadores cliente e servidor que estão na sua rede, ligados diretamente ou via internet. Pode ativar funcionalidades cloud para integrar o Configuration Manager com o Intune, Microsoft Entra ID, Defender for Endpoint e outros serviços cloud. Use-o para implantar aplicativos, atualizações de software e sistemas operacionais. Você também pode monitorizar a conformidade, efetuar consultas sobre objetos, agir em clientes em tempo real e muito mais. Para saber mais sobre todos os serviços disponíveis, consulte Gestão de Endpoints na Microsoft.
Ordem de ataque para ameaças de exemplo
As ameaças nomeadas no diagrama seguem uma ordem de ataque comum:
Um invasor envia um e-mail de phishing com malware anexado a ele.
Um utilizador final abre o malware anexado.
O malware é instalado no back-end sem que o usuário perceba.
O malware instalado rouba as credenciais de alguns utilizadores.
O invasor usa as credenciais para obter acesso a contas confidenciais.
Se as credenciais fornecerem acesso a uma conta com privilégios elevados, o invasor comprometerá sistemas adicionais.
O diagrama também mostra na camada rotulada como DEFENDER que os serviços Microsoft Defender XDR podem monitorizar e mitigar esses ataques. Este é um exemplo de como o Defender fornece uma camada adicional de segurança que funciona com os serviços de segurança do Azure para oferecer proteção adicional aos recursos mostrados no diagrama. Para obter mais informações sobre como ataques potenciais ameaçam seu ambiente de TI, consulte o segundo artigo desta série, Mapear ameaças ao seu ambiente de TI. Para mais informações sobre Microsoft Defender XDR, consulte Microsoft Defender XDR.
Aceder e gerir os serviços de segurança Microsoft Defender XDR
O diagrama a seguir mostra quais portais estão atualmente disponíveis e suas relações entre si. Na altura da atualização deste artigo, alguns desses portais podem já estar obsoletos.
Security.microsoft.com é atualmente o portal mais importante disponível porque traz funcionalidades de Microsoft Defender for Office 365 (1), do Defender for Endpoint (2), do Defender for Office (3), do Defender for Identity (5), do Defender for Apps (4) e também do Microsoft Sentinel.
É importante mencionar que o Microsoft Sentinel tem algumas funcionalidades que ainda funcionam apenas no portal Azure (portal.azure). com).
Por fim, o endpoint.microsoft.com fornece funcionalidades principalmente para Intune e Configuration Manager, mas também para outros serviços que fazem parte do Gestor de Endpoints. Porque security.microsoft.com e endpoint.microsoft.com em conjunto oferecem proteção de segurança para endpoints, ocorrem muitas interações entre eles (9) para proporcionar uma excelente postura de segurança para os seus endpoints.
Componentes
A arquitetura de exemplo neste artigo utiliza os seguintes componentes do Azure:
Microsoft Entra ID é um serviço de gestão de identidades e acessos baseado na cloud. O Microsoft Entra ID ajuda os utilizadores a aceder a recursos externos e internos. Nesta arquitetura, o Microsoft Entra ID autentica os utilizadores que acedem ao Microsoft 365, Azure e aplicações de software como serviço (SaaS). Ele serve como a base de identidade para deteção e resposta a ameaças.
Azure Virtual Network é um serviço de rede em Azure que permite a comunicação segura entre recursos Azure, a internet e redes locais. Nesta arquitetura, fornece a infraestrutura de rede privada que suporta conectividade segura e segmentação de cargas de trabalho que o Microsoft Defender XDR protege.
Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho para tráfego do Protocolo de Controlo de Transmissão (TCP) e do Protocolo de Datagramas do Utilizador (UDP). Nesta arquitetura, garante alta disponibilidade e escalabilidade para serviços que correm no Azure, distribuindo o tráfego entre VMs e contentores.
Azure Virtual Machines é uma oferta de infraestrutura como serviço (IaaS) que fornece recursos computacionais escaláveis. Nesta arquitetura, as VMs alojam cargas de trabalho que o Microsoft Defender for Endpoint monitoriza e protege como parte da solução Microsoft Defender XDR.
Azure Kubernetes Service (AKS) é um serviço Kubernetes gerido para implementar e gerir aplicações containerizadas. Nesta arquitetura, o AKS executa cargas de trabalho containerizadas que se integram no framework de deteção e resposta a ameaças Microsoft Defender XDR.
Azure Virtual Desktop é um serviço de virtualização de desktop e aplicações que proporciona acesso remoto seguro a desktops alojados na cloud. Nessa arquitetura, ele suporta usuários remotos. O Defender for Endpoint monitoriza o Ambiente de Trabalho Virtual para detetar e responder a ameaças de pontos finais.
A funcionalidade Web Apps do Azure App Service aloja aplicações web, APIs REST e back-ends móveis. Você pode programar no idioma escolhido. As aplicações executam e escalam facilmente tanto em ambientes Windows como baseados em Linux. Nesta arquitetura, as Web Apps alojam aplicações baseadas em HTTP que são protegidas por funcionalidades de segurança integradas e monitorizadas para ameaças.
Azure Storage é um serviço de armazenamento escalável e seguro para vários objetos de dados na cloud, incluindo armazenamento de objetos, blobs, ficheiros, discos, filas e tabelas. O Azure Storage encripta todos os dados escritos numa conta Azure storage. Ele fornece controle refinado sobre o acesso aos seus dados. Nessa arquitetura, ele armazena dados de aplicativos e sistemas e é protegido pelo Defender for Cloud para garantir a integridade dos dados e o controle de acesso.
Azure SQL Database é um motor de base de dados relacional gerida que automatiza patches, backups e monitorização. Nessa arquitetura, ele armazena dados estruturados e se beneficia de recursos de segurança internos que se alinham com os recursos de proteção contra ameaças do Microsoft for Defender XDR.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Rudnei Oliveira | Engenheiro de Clientes Senior
Outros contribuidores:
- Gary Moore | Programador/Redator
- Andrew Nathan — Gerente Senior de Engenharia de Clientes
Próximos passos
- Defende-se contra ameaças com Microsoft 365
- Detectar e responder a ciberataques com Microsoft Defender XDR
- Comece com Microsoft Defender XDR
- Implementar inteligência de ameaças em Microsoft 365
- Gere a segurança com Microsoft 365
- Proteger contra ameaças maliciosas com Microsoft Defender for Office 365
- Proteger identidades on-premises com Microsoft Defender for Cloud for Identity
Recursos relacionados
Para obter mais informações sobre essa arquitetura de referência, consulte os outros artigos desta série: