Integrações de infraestrutura
A infraestrutura compreende o hardware, o software, os microsserviços, a infraestrutura de rede e as instalações necessárias para dar suporte aos serviços de TI de uma organização. As soluções de infraestrutura de Confiança Zero avaliam, monitoram e impedem ameaças de segurança a esses serviços.
As soluções de infraestrutura de Confiança Zero dão suporte aos princípios de Confiança Zero, garantindo que o acesso aos recursos da infraestrutura seja verificado explicitamente, o acesso seja concedido de acordo com os princípios de acesso com privilégios mínimos e os mecanismos necessários estejam em vigor a fim de assumir violações e procurar e corrigir ameaças de segurança na infraestrutura.
Essas diretrizes são para provedores de software e parceiros de tecnologia que desejam aprimorar as soluções de segurança de infraestrutura integrando-se aos produtos da Microsoft.
Guia de integração da Confiança Zero para infraestruturas
Este guia de integração inclui estratégia e instruções para integração com Microsoft Defender para Nuvem e seus planos integrados de proteção de carga de trabalho em nuvem, o Microsoft Defender para... (servidores, contêineres, bancos de dados, armazenamento, serviços de aplicativos e muito mais).
As diretrizes incluem integrações com as soluções de SIEM (gerenciamento de eventos e informações de segurança), de SOAR (Orquestração, Automação e Resposta de Segurança), de EDR (Detecção e Resposta de Ponto de Extremidade) e de ITSM (gerenciamento de serviços de TI).
Confiança Zero e Defender para Nuvem
Nossas Diretrizes de implantação de infraestrutura de Confiança Zero fornecem os principais estágios da estratégia de Confiança Zero da infraestrutura. Estes são:
- Avaliar a conformidade com padrões e políticas escolhidos
- Aprimorar a configuração sempre que lacunas forem encontradas
- Empregar outras ferramentas de aprimoramento, como o acesso à VM JIT (just-in-time)
- Configurar a detecção e as proteções contra ameaças
- Bloquear e sinalizar automaticamente comportamentos arriscados e realizar ações de proteção
Há um mapeamento claro das metas descritas nas diretrizes de implantação de infraestrutura com relação aos principais aspectos do Defender para Nuvem.
| Meta de Confiança Zero | Recurso do Defender para Nuvem |
|---|---|
| Avaliar a conformidade | No Defender para Nuvem, cada assinatura tem automaticamente o Parâmetro de comparação de mercado de segurança na nuvem da Microsoft (MCSB) atribuído como a iniciativa de segurança padrão. Usando as ferramentas de pontuação segura e o painel de conformidade regulamentar, é possível compreender profundamente a postura de segurança dos clientes. |
| Proteger a configuração | Atribuir iniciativas de segurança a assinaturas e revisar a classificação de segurança leva você a recomendações de proteção integradas ao Defender para Nuvem. O Defender para Nuvem analisa periodicamente o status de conformidade de recursos para identificar possíveis pontos fracos e configurações incorretas de segurança. Em seguida, ela fornece recomendações sobre como corrigir esses problemas. |
| Empregar mecanismos de proteção | Além de correções únicas para configurações incorretas de segurança, o Defender para Nuvem inclui recursos para fortalecer ainda mais seus recursos, como: Acesso JIT (Just-In-Time) à VM (máquina virtual) Proteção de rede adaptável Controles de aplicativo adaptáveis. |
| Configurar detecção de ameaças | O Defender para Nuvem oferece planos integrados de proteção de carga de trabalho na nuvem, para detecção e resposta a ameaças. Os planos fornecem proteção avançada e inteligente de recursos e cargas de trabalho do Azure, híbridos e multinuvem. Um dos planos do Microsoft Defender, o Defender para servidores, inclui uma integração nativa com o Microsoft Defender para Ponto de Extremidade. Saiba mais em Introdução ao Microsoft Defender para Nuvem. |
| Bloquear automaticamente o comportamento suspeito | Muitas das recomendações de aprimoramento no Defender para Nuvem oferecem a opção negar. Esse recurso permite que você impeça a criação de recursos que não atendem aos critérios de proteção definidos. Saiba mais em Impedir configurações incorretas com as recomendações de Impor/Negar. |
| Sinalizar comportamento suspeito automaticamente | Os alertas de segurança do Microsoft Defender para Nuvem são disparados por detecções avançadas. O Defender para Nuvem prioriza e lista os alertas, juntamente com as informações necessárias para que você investigue rapidamente o problema. O Defender para Nuvem também fornece etapas detalhadas para ajudar você a corrigir ataques. Para obter uma lista completa dos alertas disponíveis, confira Alertas de segurança – um guia de referência. |
Proteger seus serviços de PaaS do Azure com o Defender para Nuvem
Com o Defender para Nuvem habilitado em sua assinatura e os planos de proteção de carga de trabalho do Defender habilitados para todos os tipos de recursos disponíveis, você terá uma camada de proteção inteligente contra ameaças, alimentada por Informações sobre ameaças da Microsoft, protegendo recursos no Azure Key Vault, Azure Storage, DNS do Azure e outros serviços de PaaS do Azure. Para obter uma lista completa, consulte os serviços de PaaS listados no Matriz de suporte.
Aplicativo Lógico do Azure
Use os Aplicativos Lógicos do Azure para criar fluxos de trabalho escalonáveis automatizados, processos empresariais e orquestrações corporativas para integrar os seus aplicativos e dados em serviços de nuvem e sistemas locais.
O recurso de automação de fluxo de trabalho do Defender para Nuvem permite automatizar as respostas aos gatilhos do Defender para Nuvem.
Essa é uma ótima maneira de definir e responder de maneira automatizada e consistente às descobertas de ameaças. Por exemplo, para notificar os stakeholders relevantes, inicie um processo de gerenciamento de alterações e aplique etapas de correção específicas quando uma ameaça for detectada.
Integrar o Defender para Nuvem às suas soluções de SIEM, SOAR e ITSM
O Microsoft Defender para Nuvem pode transmitir alertas de segurança para as soluções mais populares de SIEM (gerenciamento de eventos e informações de segurança), SOAR (resposta automatizada de orquestração de segurança) e ITSM (gerenciamento de serviços de TI).
Existem ferramentas nativas do Azure para garantir que você possa ver dados de alerta em todas as soluções mais populares em uso hoje, incluindo:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- QRadar da IBM
- ServiceNow
- ArcSight
- Power BI
- Redes Palo Alto
Microsoft Sentinel
O Defender para Nuvem integra-se nativamente ao Microsoft Sentinel, a solução de SIEM (gerenciamento de eventos de informações de segurança) e de SOAR (resposta automatizada de orquestração de segurança) da Microsoft.
Há duas abordagens para garantir que os dados do Defender para Nuvem sejam representados no Microsoft Sentinel:
Conectores do Sentinel – O Microsoft Sentinel inclui conectores internos para o Microsoft Defender para Nuvem nos níveis da assinatura e do locatário:
- Transmitir alertas para o Microsoft Sentinel no nível da assinatura
- Conectar todas as assinaturas em seu locatário ao Microsoft Sentinel
Dica
Saiba mais em Conectar alertas de segurança do Microsoft Defender para Nuvem.
Transmitir seus logs de auditoria – Uma maneira alternativa de investigar os alertas do Defender para Nuvem no Microsoft Sentinel é transmitir para ele seus logs de auditoria:
Transmitir alertas com a API de Segurança do Microsoft Graph
O Defender para Nuvem tem integração imediata à API de Segurança do Microsoft Graph. Nenhuma configuração é necessária e não há custos adicionais.
É possível usar essa API para transmitir alertas de todo o locatário (e dados de muitos outros produtos da Segurança da Microsoft) para SIEMs de terceiros e outras plataformas populares:
- Splunk Enterprise e Splunk Cloud - Usar o complemento da a API de Segurança do Microsoft Graph para o Splunk
- Power BI - Conectar-se à API de Segurança do Microsoft Graph no Power BI Desktop
- ServiceNow - Seguir as instruções para instalar e configurar o aplicativo da a API de Segurança do Microsoft Graph na ServiceNow Store
- QRadar - Módulo de Suporte do Dispositivo da IBM para o Microsoft Defender para Nuvem via API do Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark e muito mais – API de Segurança do Microsoft Graph
Saiba mais sobre a API de Segurança do Microsoft Graph.
Transmitir alertas com o Azure Monitor
Use o recurso de exportação contínua do Defender para Nuvem a fim de conectá-lo ao Azure Monitor por meio dos Hubs de Eventos do Azure e transmitir alertas para o ArcSight, o SumoLogic, os servidores syslog, o LogRhythm, a plataforma de observabilidade em nuvem do Logz.io e outras soluções de monitoramento.
Saiba mais em Transmitir alertas com o Azure Monitor.
Isso também pode ser feito no nível do grupo de gerenciamento usando o Azure Policy. Confira Criar configurações de automação de exportação contínua em escala.
Dica
Para ver os esquemas de eventos dos tipos de dados exportados, visite os esquemas de eventos do Hub de Eventos.
Integrar o Defender para Nuvem a uma solução de EDR (detecção e resposta de ponto de extremidade)
Microsoft Defender para ponto de extremidade
O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística entregue pela nuvem.
O Microsoft Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR). Para obter mais informações, confira Proteger os seus pontos de extremidade.
Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem e você pode migrar para o console do Defender para Ponto de Extremidade a fim de realizar uma investigação detalhada e descobrir o escopo do ataque. Saiba mais sobre o Microsoft Defender para Ponto de Extremidade.
Outras soluções de EDR
O Defender para Nuvem fornece recomendações de proteção para garantir que você esteja protegendo os recursos da sua organização de acordo com as diretrizes do Parâmetro de comparação de mercado de segurança em nuvem da Microsoft (MCSB). Um dos controles no benchmark está relacionado à segurança de ponto de extremidade: ES-1: Usar o EDR (detecção e resposta de ponto de extremidade).
Há duas recomendações no Defender para Nuvem que ajudam a garantir a habilitação e o funcionamento adequado da proteção de ponto de extremidade. Essas recomendações são verificar a presença e a integridade operacional das soluções de EDR de:
- Trend Micro
- Symantec
- McAfee
- Sophos
Saiba mais em Avaliação e recomendações de proteção de ponto de extremidade no Microsoft Defender para Nuvem.
Aplique sua estratégia de Confiança Zero a cenários híbridos e de várias nuvens
Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.
O Microsoft Defender para Nuvem protege as cargas de trabalho onde quer que estejam em execução: no Azure, no local, na AWS (Amazon Web Services) ou no GCP (Google Cloud Platform).
Integrar o Defender para Nuvem a computadores locais
A fim de proteger as cargas de trabalho de nuvem híbrida, é possível estender as proteções do Defender para Nuvem conectando os computadores locais a servidores habilitados para Azure Arc.
Saiba como conectar computadores em Conectar seus computadores que não são do Azure ao Defender para Nuvem.
Integrar o Defender para Nuvem com outros ambientes de nuvem
Para exibir a postura de segurança dos computadores da Amazon Web Services no Defender para Nuvem, integre as contas da AWS ao Defender para Nuvem. Isso integrará o Hub de Segurança da AWS e o Microsoft Defender para Nuvem a fim de fornecer uma exibição unificada das recomendações do Defender para Nuvem e das descobertas do Hub de Segurança da AWS e oferecerá uma variedade de benefícios, conforme descrito em Conectar suas contas da AWS ao Microsoft Defender para Nuvem.
Para exibir a postura de segurança dos computadores do Google Cloud Platform no Defender para Nuvem, integre as contas do GCP ao Defender para Nuvem. Isso integrará o Comando de Segurança do GCP e o Microsoft Defender para Nuvem a fim de fornecer uma exibição unificada das recomendações do Defender para Nuvem e das descobertas da Central de Comando de Segurança do GCP e oferecerá uma variedade de benefícios, conforme descrito em Conectar suas contas do GCP ao Microsoft Defender para Nuvem.
Próximas etapas
Para saber mais sobre o Microsoft Defender para Nuvem, consulte o documentação completa do Defender para Nuvem.