Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece estratégia e instruções para integrar soluções de infraestrutura Confiança Zero com o Microsoft Defender para a Cloud. As orientações incluem integrações com outras soluções, incluindo gerenciamento de eventos e informações de segurança (SIEM), resposta automatizada de orquestração de segurança (SOAR), deteção e resposta de pontos finais (EDR) e soluções de gerenciamento de serviços de TI (ITSM).
A infraestrutura compreende o hardware, o software, os microsserviços, a infraestrutura de rede e as instalações necessárias para dar suporte aos serviços de TI de uma organização. Seja local ou multicloud, a infraestrutura representa um vetor de ameaça crítica.
As soluções de infraestrutura Confiança Zero avaliam, monitoram e previnem ameaças à segurança de sua infraestrutura. As soluções apoiam os princípios do Confiança Zero, garantindo que o acesso aos recursos de infraestrutura seja verificado explicitamente e concedido usando os princípios de acesso com privilégios mínimos. Os mecanismos assumem a violação e procuram e remediam ameaças à segurança na infraestrutura.
O que é Confiança Zero?
Confiança Zero é uma estratégia de segurança para projetar e implementar os seguintes conjuntos de princípios de segurança:
| Verificar explicitamente | Usar acesso com privilégios mínimos | Pressuponha a ocorrência de uma violação |
|---|---|---|
| Sempre autentique e autorize com base em todos os pontos de dados disponíveis. | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados. | Minimizar o raio de explosão e segmentar o acesso. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. |
Confiança Zero e Defender para a Cloud
As diretrizes de implantação da infraestrutura Confiança Zero fornecem os principais estágios da estratégia de infraestrutura Confiança Zero:
- Avaliar a conformidade com as normas e políticas escolhidas.
- Proteja a configuração onde quer que sejam encontradas lacunas.
- Utilize outras ferramentas de endurecimento, como o acesso a VM just-in-time (JIT).
- Configure a proteção contra ameaças.
- Bloqueie e sinalize automaticamente comportamentos de risco e tome medidas de proteção.
Veja como os estágios são relacionados com o Defender para a Cloud.
| Objectivo | Defender para a Cloud |
|---|---|
| Avaliar a conformidade | No Defender para a Cloud, cada assinatura tem atribuída automaticamente a iniciativa de segurança de referência na nuvem da Microsoft (MCSB). Usando as ferramentas de pontuação segura e o painel de conformidade regulamentar, você pode obter uma compreensão profunda da postura de segurança. |
| Configuração de endurecimento | As configurações de infraestrutura e ambiente são avaliadas de acordo com o padrão de conformidade, e as recomendações são emitidas com base nessas avaliações. Pode rever e remediar recomendações de segurança e [acompanhar melhorias na pontuação de segurança] (secure-score-access-and-track.md) ao longo do tempo. Você pode priorizar quais recomendações corrigir com base em possíveis caminhos de ataque. |
| Empregar mecanismos de endurecimento | O acesso com privilégios mínimos é um princípio Confiança Zero. O Defender para a Cloud pode ajudá-lo a proteger VMs e configurações de rede usando esse princípio com recursos como: Just-in-time (JIT) acesso a VMs. |
| Configurar a proteção contra ameaças | O Defender para a Cloud é uma plataforma de proteção de carga de trabalho na nuvem (CWPP), que fornece proteção avançada e inteligente de recursos e cargas de trabalho do Azure e híbridos. Mais informações. |
| Bloqueie automaticamente comportamentos de risco | Muitas das recomendações de proteção no Defender para a Cloud oferecem uma opção de negação , para evitar a criação de recursos que não satisfazem os critérios de proteção definidos. Mais informações. |
| Sinalizar automaticamente comportamentos suspeitos | Os alertas de segurança do Defender para a Cloud são acionados por deteções de ameaças. O Defender para a Cloud prioriza e lista alertas, com informações para ajudá-lo a investigar. Ele também fornece etapas detalhadas para ajudá-lo a remediar ataques. Reveja uma lista completa de alertas de segurança. |
Aplique o Confiança Zero a cenários híbridos e multicloud
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo. O Defender para a Cloud protege as cargas de trabalho onde quer que elas estejam em execução. No Azure, local, AWS ou GCP.
- AWS: para proteger máquinas da AWS, integre contas da AWS ao Defender para a Cloud. Essa integração fornece uma visão unificada das recomendações do Defender para a Cloud e das descobertas do AWS Security Hub. Saiba mais sobre como conectar contas da AWS ao Microsoft Defender para a Cloud.
- GCP: Para proteger máquinas GCP, integre contas GCP no Defender para a Cloud. Essa integração fornece uma visão unificada das recomendações do Defender para a Cloud e das descobertas do GCP Security Command Center. Saiba mais sobre como conectar contas GCP ao Microsoft Defender para a Cloud.
- Máquinas no local. Você pode estender a proteção do Defender para a Cloud conectando máquinas locais a servidores habilitados para Azure Arc. Saiba mais sobre como conectar máquinas locais ao Defender para a Cloud.
Proteger os serviços PaaS do Azure
Quando o Defender para a Cloud está disponível em uma assinatura do Azure e os planos do Defender para a Cloud habilitados para todos os tipos de recursos disponíveis, uma camada de proteção inteligente contra ameaças, fornecida pelo Informações sobre Ameaças do Microsoft Defender , protege os recursos nos serviços PaaS do Azure, incluindo o Azure Key Vault, o Armazenamento do Azure, o DNS do Azure e outros. Saiba mais sobre os tipos de recursos que o Defender para a Cloud pode proteger.
Automatize respostas com os Aplicativos Lógicos do Azure
Utilize o Azure Logic Apps para criar fluxos de trabalho escaláveis automatizados, processos de negócios e orquestrações corporativas para integrar os seus aplicativos e dados nos sistemas locais e serviços de nuvem.
O recurso de automação de fluxo de trabalho do Defender para a Cloud permite automatizar respostas aos gatilhos do Defender para a Cloud.
Esta é uma ótima maneira de definir e responder de forma automatizada e consistente quando ameaças são descobertas. Por exemplo, para notificar as partes interessadas relevantes, iniciar um processo de gerenciamento de alterações e aplicar etapas de correção específicas quando uma ameaça é detetada.
Integração com soluções SIEM, SOAR e ITSM
O Defender para a Cloud pode transmitir seus alertas de segurança para as soluções SIEM, SOAR e ITSM mais populares. Existem ferramentas nativas do Azure para garantir que você possa exibir seus dados de alerta em todas as soluções mais populares em uso atualmente, incluindo:
- Microsoft Sentinel
- Splunk Enterprise e Splunk Cloud
- QRadar da IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Integração com o Microsoft Sentinel
O Defender para a Cloud integra-se nativamente com o Microsoft Sentinel, a solução SIEM/SOAR da Microsoft.
Há duas abordagens para garantir que os dados do Defender para a Cloud sejam representados no Microsoft Sentinel:
Conectores Sentinel - O Microsoft Sentinel inclui conectores embutidos para o Microsoft Defender para Cloud nos níveis de assinatura e locatário:
- Transmitir alertas para o Microsoft Sentinel ao nível da subscrição
- Conecte todas as assinaturas do seu locatário ao Microsoft Sentinel
Gorjeta
Saiba mais em Conectar alertas de segurança do Microsoft Defender para a Cloud.
Streaming de logs de auditoria - Uma forma alternativa de investigar alertas do Defender para a Cloud no Microsoft Sentinel é encaminhar os seus logs de auditoria para o Microsoft Sentinel.
Transmitir alertas com a API de Segurança do Microsoft Graph
O Defender para a Cloud tem integração imediata com a API de segurança do Microsoft Graph. Nenhuma configuração é necessária e não há custos extras.
Você pode usar essa API para transmitir alertas de todo o locatário e dados de muitos outros produtos de segurança da Microsoft para SIEMs de terceiros e outras plataformas populares:
- Splunk Enterprise e Splunk Cloud - Use o complemento da API de segurança do Microsoft Graph para o Splunk
- Power BI - Conectar-se à API de Segurança do Microsoft Graph no Power BI Desktop
- ServiceNow - Siga as instruções para instalar e configurar o aplicativo API de Segurança do Microsoft Graph da ServiceNow Store
- QRadar - Use o Device Support Module da IBM para o Defender para a Cloud via a API do Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark e muito mais. Saiba mais sobre a API de Segurança do Microsoft Graph.
Transmitir alertas com o Azure Monitor
Use o recurso de exportação contínua do Defender para a Cloud para se conectar ao monitor do Azure por meio dos Hubs de Eventos do Azure e transmitir alertas para ArcSight, SumoLogic, servidores Syslog, LogRhythm Logz.io Cloud Observability Platform e outras soluções de monitoramento.
- Isso também pode ser feito no nível do Grupo de Gerenciamento usando a Política do Azure. Saiba mais sobre como criar configurações de automação de exportação contínua em escala.
- Para exibir os esquemas de eventos dos tipos de dados exportados, revise os esquemas de eventos dos Hubs de Eventos.
Saiba mais sobre alertas de streaming para soluções de monitoramento.
Integração com soluções EDR
Microsoft Defender para Endpoint
O Defender for Endpoint é uma solução holística de segurança de endpoint entregue na nuvem. O plano de carga de trabalho dos servidores Defender para a Cloud, Defender for Servers, inclui uma licença integrada para o Defender for Endpoint. Em conjunto, fornecem capacidades EDR abrangentes. Saiba mais sobre como proteger endpoints.
Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para a Cloud. No Defender para a Cloud, pode aceder ao painel do Defender for Endpoint e realizar uma investigação detalhada para descobrir o alcance do ataque.
Outras soluções EDR
O Defender para a Cloud fornece uma avaliação do estado de funcionamento das versões suportadas das soluções EDR.
O Defender para a Cloud fornece recomendações com base no benchmark de segurança da Microsoft. Um dos controles no benchmark está relacionado à segurança de endpoints: ES-1: Use Endpoint Detection and Response (EDR). Há duas recomendações para garantir que você habilitou a proteção de ponto final e que ela está funcionando bem. Saiba mais sobre a avaliação de soluções EDR suportadas no Defender para a Cloud.
Próximos passos
Comece a planear a proteção multicloud.