Integrar os serviços de segurança do Azure e do Microsoft Defender XDR

Microsoft Sentinel
Azure Monitor
Microsoft Defender for Cloud
Azure Log Analytics
Azure Network Watcher

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe com os requisitos específicos da sua carga de trabalho.

Você pode aprimorar a postura de segurança do ambiente de TI da sua organização usando os recursos de segurança do Microsoft 365 e do Azure. Este artigo, o quinto de uma série de cinco, descreve como você pode integrar os recursos de segurança desses serviços usando o Microsoft Defender XDR e os serviços de monitoramento do Azure.

Este artigo baseia-se nos artigos anteriores da série:

  1. Usar o monitoramento do Azure para integrar componentes de segurança fornece uma visão geral de como você pode integrar os serviços de segurança do Azure e do Microsoft Defender XDR.

  2. Mapear ameaças ao seu ambiente de TI descreve métodos para mapear exemplos de ameaças, táticas e técnicas comuns em relação a um exemplo de um ambiente de TI híbrido que usa serviços de nuvem locais e da Microsoft.

  3. Criar a primeira camada de defesa com os serviços de Segurança do Azure mapeia um exemplo de alguns serviços de segurança do Azure que criam a primeira camada de defesa para proteger o seu ambiente do Azure de acordo com o Azure Security Benchmark versão 3.

  4. Crie a segunda camada de defesa com o Microsoft Defender XDR Os serviços de segurança descrevem um exemplo de uma série de ataques contra seu ambiente de TI e como adicionar outra camada de proteção usando o Microsoft Defender XDR.

Arquitetura

Diagrama da arquitetura de referência completa para esta série de cinco artigos que mostra um ambiente de I T, ameaças e serviços de segurança.

Transfira um ficheiro do Visio desta arquitetura.

©2021 A Corporação MITRE. Este trabalho é reproduzido e distribuído com a permissão da MITRE Corporation.

Este diagrama mostra uma referência de arquitetura completa. Inclui um exemplo de um ambiente de TI, um conjunto de ameaças de exemplo que são descritas de acordo com suas táticas (em azul) e suas técnicas (na caixa de texto) de acordo com a matriz MITRE ATT&CK. A matriz MITRE ATT&CK é abordada em Mapear ameaças ao seu ambiente de TI.

Existem serviços importantes que são apresentados no diagrama. Alguns desses serviços, como o Network Watcher e o Application Insights, estão focados na captura de informações de serviços específicos. Alguns deles, como o Log Analytics (também conhecido como Azure Monitor Logs) e o Microsoft Sentinel, são serviços essenciais porque podem coletar, armazenar e analisar informações de vários serviços, independentemente de serem serviços de rede, computação ou aplicativos.

A parte central do diagrama tem duas camadas de serviços de segurança. Há também uma camada com serviços de monitoramento específicos do Azure que são integrados por meio do Azure Monitor (no lado esquerdo do diagrama). O componente chave dessa integração é o Microsoft Sentinel.

O diagrama mostra os seguintes serviços no Core Monitoring Services e na camada Monitor :

  • Azure Monitor
  • Log Analytics
  • Microsoft Defender para a Cloud
  • Microsoft Sentinel
  • Observador de Rede
  • Análise de Tráfego (parte do Network Watcher)
  • Application Insights
  • Análise de Armazenamento

Fluxo de Trabalho

  1. O Azure Monitor é o guarda-chuva para muitos serviços de monitoramento do Azure. Inclui gerenciamento de logs, métricas e Application Insights, entre outros. Ele também fornece uma coleção de painéis que estão prontos para uso e gerenciamento de alertas. Para obter mais informações, consulte Visão geral do Azure Monitor.

  2. O Microsoft Defender for Cloud oferece recomendações para máquinas virtuais (VMs), armazenamento, aplicativos e outros recursos, que ajudam um ambiente de TI a estar em conformidade com vários padrões regulatórios, como ISO e PCI. Ao mesmo tempo, o Defender for Cloud oferece uma pontuação para a postura de segurança dos sistemas que pode ajudá-lo a rastrear a segurança do seu ambiente. O Defender for Cloud também oferece alertas automáticos baseados nos logs que ele coleta e analisa. O Defender for Cloud era anteriormente conhecido como Central de Segurança do Azure. Para obter mais informações, consulte Microsoft Defender for Cloud.

  3. O Log Analytics é um dos serviços mais importantes. Ele é responsável por armazenar todos os logs e alertas que são usados para criar alertas, insights e incidentes. O Microsoft Sentinel funciona com base no Log Analytics. Basicamente, todos os dados que o Log Analytics ingere ficam automaticamente disponíveis para o Microsoft Sentinel. O Log Analytics também é conhecido como Azure Monitor Logs. Para obter mais informações, consulte Visão geral do Log Analytics no Azure Monitor.

  4. O Microsoft Sentinel funciona como uma fachada para o Log Analytics. Enquanto o Log Analytics armazena logs e alertas de várias fontes, o Microsoft Sentinel oferece APIs que ajudam na ingestão de logs de várias fontes. Essas fontes incluem VMs locais, VMs do Azure, alertas do Microsoft Defender XDR e outros serviços. O Microsoft Sentinel correlaciona os logs para fornecer informações sobre o que está acontecendo em seu ambiente de TI, evitando falsos positivos. O Microsoft Sentinel é o núcleo de segurança e monitoramento dos serviços de nuvem da Microsoft. Para obter mais informações sobre o Microsoft Sentinel, consulte O que é o Microsoft Sentinel?.

Os serviços anteriores nesta lista são serviços principais que funcionam em ambientes do Azure, Office 365 e locais. Os seguintes serviços concentram-se em recursos específicos:

  1. O Inspetor de Rede fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar logs para recursos em uma rede virtual do Azure. Para obter mais informações, consulte O que é o Azure Network Watcher?

  2. A Análise de Tráfego faz parte do Network Watcher e funciona sobre os logs de grupos de segurança de rede (NSGs). O Traffic Analytics oferece muitos painéis que são capazes de agregar métricas de conexão de entrada e saída na Rede Virtual do Azure. Para obter mais informações, consulte Análise de tráfego.

  3. O Application Insights se concentra em aplicativos e fornece gerenciamento e monitoramento de desempenho extensíveis para aplicativos Web ao vivo, incluindo suporte para uma ampla variedade de plataformas, como .NET, Node.js, Java e Python. O Application Insights é um recurso do Azure Monitor. Para obter mais informações, consulte Visão geral do Application Insights.

  4. O Azure Storage Analytics executa o registro em log e fornece métricas para uma conta de armazenamento. Você pode usar seus dados para rastrear solicitações, analisar tendências de uso e diagnosticar problemas com sua conta de armazenamento. Para obter mais informações, consulte Usar a análise do Armazenamento do Azure para coletar logs e dados de métricas.

  5. Como essa referência de arquitetura é baseada no Microsoft Zero Trust, os serviços e componentes em Infraestrutura e Ponto Final não têm serviços de monitoramento específicos. Os logs do Azure Monitor e o Defender for Cloud são os principais serviços que coletam, armazenam e analisam logs de VMs e outros serviços de computação.

O componente chave nessa arquitetura é o Microsoft Sentinel, pois ele conecta todos os logs e alertas fornecidos pelos serviços de segurança do Azure, Microsoft Defender XDR e Azure Monitor. Depois de implementar o Microsoft Sentinel e ele receber logs e alertas de todas as fontes identificadas neste artigo, a próxima etapa é mapear um conjunto de consultas desses logs para obter informações e evidências de indicadores de comprometimento (IOCs). Quando as informações são capturadas pelo Microsoft Sentinel, você pode investigá-las ou permitir uma resposta automatizada configurada para mitigar ou resolver o incidente. As respostas automáticas incluem ações como bloquear um usuário no Microsoft Entra ID ou bloquear um endereço IP através do firewall.

Para obter mais informações sobre o Microsoft Sentinel, consulte a documentação do Microsoft Sentinel.

Como aceder a serviços de segurança e monitorização

A lista a seguir fornece informações sobre como acessar cada um dos serviços apresentados neste artigo:

  • Serviços de segurança do Azure. Você pode acessar todos os serviços de segurança do Azure mencionados nos diagramas desta série de artigos usando o portal do Azure. No portal, utilize a função de pesquisa para localizar os serviços em que está interessado e aceder aos mesmos.

  • Azure Monitor. O Azure Monitor está disponível em todas as assinaturas do Azure. Você pode acessá-lo a partir de uma pesquisa de monitor no portal do Azure.

  • Defender para Cloud. O Defender for Cloud está disponível para qualquer pessoa que acesse o portal do Azure. No portal, procure por Defender for Cloud.

  • Log Analytics. Para acessar o Log Analytics, você deve primeiro criar o serviço no portal, porque ele não existe por padrão. No portal do Azure, procure espaço de trabalho do Log Analytics e selecione Criar. Após a criação, você pode acessar o serviço.

  • Microsoft Sentinel. Como o Microsoft Sentinel funciona com base no Log Analytics, você deve primeiro criar um espaço de trabalho do Log Analytics. Em seguida, procure sentinela no portal do Azure. Em seguida, crie o serviço escolhendo o espaço de trabalho que você deseja ter por trás do Microsoft Sentinel.

  • Microsoft Defender para Ponto Final. O Defender for Endpoint faz parte do Microsoft Defender XDR. Aceda ao serviço através https://security.microsoft.comdo . Esta é uma alteração em relação ao URL anterior, securitycenter.windows.com.

  • Microsoft Defender para aplicativos na nuvem. O Defender for Cloud Apps faz parte do Microsoft 365. Aceda ao serviço através https://portal.cloudappsecurity.comdo .

  • Microsoft Defender para Office 365. O Defender for Office 365 faz parte do Microsoft 365. Acesse o serviço através https://security.microsoft.comdo , o mesmo portal usado para o Defender for Endpoint. (Esta é uma alteração em relação ao URL anterior, protection.office.com.)

  • Microsoft Defender for Identity. O Defender for Identity faz parte do Microsoft 365. Você acessa o serviço através do https://portal.atp.azure.com. Embora seja um serviço em nuvem, o Defender for Identity é responsável por também proteger a identidade em sistemas locais.

  • Microsoft Endpoint Manager. Endpoint Manager é o novo nome para Intune, Configuration Manager e outros serviços. Acesse-o através do https://endpoint.microsoft.com. Para saber mais sobre como acessar os serviços fornecidos pelo Microsoft Defender XDR e como cada portal está relacionado, consulte Criar a segunda camada de defesa com os serviços de segurança do Microsoft Defender XDR.

  • Azure Network Watcher. Para acessar o Observador de Rede do Azure, procure observador no portal do Azure.

  • Análise de Tráfego. A Análise de Tráfego faz parte do Network Watcher. Você pode acessá-lo a partir do menu do lado esquerdo no Network Watcher. É um poderoso monitor de rede que funciona com base em seus NSGs que são implementados em suas interfaces de rede individuais e sub-redes. O Network Watcher requer a coleta de informações dos NSGs. Para obter instruções sobre como coletar essas informações, consulte Tutorial: Registrar o tráfego de rede de e para uma máquina virtual usando o portal do Azure.

  • Insight de aplicativos. O Application Insight faz parte do Azure Monitor. No entanto, você deve primeiro criá-lo para o aplicativo que você deseja monitorar. Para alguns aplicativos criados no Azure, como Aplicativos Web, você pode criar o Application Insight diretamente do provisionamento de Aplicativos Web. Para acessá-lo, procure monitor no portal do Azure. Na página Monitor, selecione Aplicativos no menu do lado esquerdo.

  • Análise de armazenamento. O Armazenamento do Azure oferece vários tipos de armazenamento sob a mesma tecnologia de conta de armazenamento. Você pode encontrar blobs, arquivos, tabelas e filas sobre as contas de armazenamento. A análise de armazenamento oferece uma ampla gama de métricas para usar com esses serviços de armazenamento. Aceda à Análise de Armazenamento a partir da sua conta de Armazenamento no portal do Azure e, em seguida, selecione Definições de diagnóstico no menu do lado esquerdo. Escolha um espaço de trabalho de análise de log para enviar essas informações. Em seguida, você pode acessar um painel do Insights. Tudo o que está sendo monitorado na sua conta de armazenamento é representado no menu.

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

  • O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e milhares de outros aplicativos SaaS. Também os ajuda a aceder a recursos internos, como aplicações na sua rede intranet empresarial.

  • A Rede Virtual do Azure é o bloco de construção fundamental para a sua rede privada no Azure. A Rede Virtual permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. A Rede Virtual fornece uma rede virtual que se beneficia da infraestrutura do Azure, como escala, disponibilidade e isolamento.

  • O Azure Load Balancer é um serviço de balanceamento de carga de Camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que sua solução esteja altamente disponível. O Azure Load Balancer é redundante por zona, garantindo alta disponibilidade nas Zonas de Disponibilidade.

  • As máquinas virtuais são um dos vários tipos de recursos de computação escaláveis e sob demanda que o Azure oferece. Uma máquina virtual (VM) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que a executa.

  • O serviço Kubernetes do Azure (AKS) é um serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos em contêineres. O AKS fornece Kubernetes sem servidor, integração contínua/entrega contínua (CI/CD) e segurança e governança de nível empresarial.

  • A Área de Trabalho Virtual do Azure é um serviço de virtualização de área de trabalho e aplicativo que é executado na nuvem para fornecer áreas de trabalho para usuários remotos.

  • Web Apps é um serviço baseado em HTTP para hospedar aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e os aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

  • O Armazenamento do Azure é altamente disponível, massivamente escalável, durável e seguro para vários objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece-lhe controlo detalhado sobre quem tem acesso aos seus dados.

  • O Banco de Dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que lida com a maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem o envolvimento do usuário. O Banco de dados SQL fornece uma variedade de recursos internos de segurança e conformidade para ajudar seu aplicativo a atender aos requisitos de segurança e conformidade.

Detalhes da solução

As soluções de monitoramento no Azure podem parecer confusas no início, porque o Azure oferece vários serviços de monitoramento. No entanto, cada serviço de monitoramento do Azure é importante na estratégia de segurança e monitoramento descrita nesta série. Os artigos desta série descrevem os vários serviços e como planejar a segurança eficaz para seu ambiente de TI.

  1. Usar o monitoramento do Azure para integrar componentes de segurança
  2. Mapeie as ameaças ao seu ambiente de TI
  3. Crie a primeira camada de defesa com os serviços de Segurança do Azure
  4. Crie a segunda camada de defesa com os serviços de segurança do Microsoft Defender XDR

Potenciais casos de utilização

Esta arquitetura de referência pode ajudá-lo a entender o panorama geral dos serviços de segurança do Microsoft Cloud e como integrá-los para a melhor postura de segurança.

Não é necessário implementar todos os serviços de segurança apresentados nessa arquitetura. No entanto, este exemplo e o mapa de ameaças representado no diagrama de arquitetura podem ajudá-lo a entender como criar seu próprio mapa e, em seguida, planejar de acordo com sua estratégia de segurança. Selecione os serviços de segurança do Azure corretos e os serviços XDR do Microsoft Defender que você deseja integrar por meio do Azure para que seu ambiente de TI tenha a segurança de que precisa.

Otimização de custos

O preço dos serviços do Azure apresentados nesta série de artigos é calculado de várias maneiras. Alguns serviços são gratuitos, outros têm uma taxa por cada utilização e outros têm uma taxa baseada no licenciamento. A melhor maneira de estimar o preço de qualquer um dos serviços de segurança do Azure é usar a calculadora de preços. Na calculadora, procure um serviço em que esteja interessado e, em seguida, selecione-o para obter todas as variáveis que determinam o preço do serviço.

Os serviços de segurança do Microsoft Defender XDR funcionam com licenças. Para obter informações sobre os requisitos de licenciamento, consulte Pré-requisitos do Microsoft Defender XDR.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

Outros contribuidores:

Próximos passos

Para obter mais detalhes sobre essa arquitetura de referência, consulte os outros artigos desta série:

Para arquiteturas relacionadas no Centro de Arquitetura do Azure, consulte os seguintes artigos: