Como habilitar o Microsoft Defender for Cloud

O que é Microsoft Defender for Cloud?

O Defender for Cloud é uma ferramenta para gerenciamento de posturas de segurança e proteção contra ameaças. Ele fortalece a postura de segurança de seus recursos na nuvem, e com seus planos integrados do Microsoft Defender, o Defender for Cloud protege cargas de trabalho em execução no Azure, híbrido e outras plataformas em nuvem.

O Defender for Cloud fornece as ferramentas necessárias para endurecer seus recursos, rastrear sua postura de segurança, proteger contra ataques cibernéticos e simplificar o gerenciamento de segurança. Por ser nativamente integrado, a implantação do Defender for Cloud é fácil, fornecendo-lhe um simples provisionamento automático para proteger seus recursos por padrão.

O Defender for Cloud preenche três necessidades vitais à medida que você gerencia a segurança de seus recursos e cargas de trabalho na nuvem e no local:

Entendendo a funcionalidade principal do Microsoft Defender for Cloud.

Requisitos de segurançaSolução Defender for Cloud
Avaliação contínua – Entenda sua postura de segurança atual.Pontuação segura – Uma pontuação única para que você possa dizer, de relance, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
Seguro – Endureça todos os recursos e serviços conectados.Recomendações de segurança – Tarefas de endurecimento personalizadas e priorizadas para melhorar sua postura. Você implementa uma recomendação seguindo as etapas detalhadas de remediação fornecidas na recomendação. Para muitas recomendações, o Defender for Cloud oferece um botão “Corrigir” para implementação automatizada!
Defender – Detectar e resolver ameaças a esses recursos e serviços.Alertas de segurança – Com os recursos de segurança aprimorados ativados, o Defender for Cloud detecta ameaças aos seus recursos e cargas de trabalho. Esses alertas aparecem no portal Azure e o Defender for Cloud também podem enviá-los por e-mail para o pessoal relevante em sua organização. Os alertas também podem ser transmitidos para soluções SIEM, SOAR ou Gerenciamento de Serviços de TI, conforme necessário.

Proteções nativas do Azure

O Defender for Cloud ajuda você a detectar ameaças em:

  • Serviços Azure PaaS – Detecte ameaças direcionadas aos serviços do Azure, incluindo o Azure App Service, o Azure SQL, a Azure Storage Account e mais serviços de dados. Você também pode executar a detecção de anomalias em seus registros de atividades do Azure usando a integração nativa com o Microsoft Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security).
  • Serviços de dados do Azure – O Defender for Cloud inclui recursos que ajudam você a classificar automaticamente seus dados no Azure SQL. Você também pode obter avaliações para potenciais vulnerabilidades em todos os serviços de Armazenamento e SQL do Azure, e recomendações de como atenuá-las.
  • Redes – O Defender for Cloud ajuda a limitar a exposição a ataques de força bruta. Ao reduzir o acesso às portas de máquinas virtuais, usando o acesso VM just-in-time, você pode endurecer sua rede impedindo acesso desnecessário. Você pode definir políticas de acesso seguro em portas selecionadas, apenas para usuários autorizados, intervalos de endereços IP de origem permitidos ou endereços IP e por um período limitado de tempo.

Defenda seus recursos híbridos

Além de defender seu ambiente Azure, você pode adicionar recursos do Defender for Cloud ao seu ambiente de nuvem híbrida para proteger seus servidores não-Azure. Para ajudá-lo a se concentrar no que mais importa, você terá inteligência de ameaças personalizada e alertas prioritários de acordo com seu ambiente específico.

Para estender a proteção a máquinas no local, implante o Azure Arc e habilite os recursos de segurança aprimorados do Defender for Cloud. Saiba mais em Adicionar máquinas não-Azure com arco azul.

Defenda recursos que correm em outras nuvens

O Defender for Cloud pode proteger recursos em outras nuvens (como AWS e GCP).

Por exemplo, se você conectou uma conta da Amazon Web Services (AWS) a uma assinatura do Azure, você pode habilitar qualquer uma dessas proteções:

  • Os recursos do Defender for Cloud CSPM se estendem aos recursos da AWS. Este plano sem agente avalia seus recursos AWS de acordo com recomendações de segurança específicas da AWS e estas estão incluídas em sua pontuação segura. Os recursos também serão avaliados para o cumprimento de padrões incorporados específicos para a AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário de ativos do Defender for Cloud é um recurso habilitado para várias nuvens que ajuda você a gerenciar seus recursos AWS ao lado de seus recursos do Azure.
  • O Microsoft Defender for Kubernetes estende sua detecção de ameaças de contêineres e defesas avançadas aos seus clusters Amazon EKS Linux.
  • O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias Do Windows e Linux EC2. Este plano inclui a licença integrada para o Microsoft Defender for Endpoint, linhas de base de segurança e avaliações de nível de SISTEMA, varredura de avaliação de vulnerabilidades, controles de aplicativos adaptativos (AAC), monitoramento de integridade de arquivos (FIM) e muito mais.

Para maiores informações sobre o Microsoft Defender for Cloud acesse o link abaixo:

https://docs.microsoft.com/en-us/azure/defender-for-cloud/defender-for-cloud-introduction

Criar o Log Analytics Workspace

Já escrevi um artigo aqui no site mostrando como configurar o Azure Log Analytics workspace e Log Analytics Gateway, clique no link abaixo para conferir.

Como configurar o Azure Log Analytics workspace e Log Analytics Gateway – Jádson Alves (jadsonalves.com.br)

Observação: Nesse turorial  não vamos aprofundar nas configurações do Log Analytics Workspace.

01 – Faça login no portal do Azure.

02 – No portal do Azure pesquise por Log Analytics workspaces.

03 – Na tela Log Analytics workspaces clique em + Create.

04 – Na tela Create Log Analytics workspace selecione a assinatura, grupo de recursos, um nome para o log analytics workspace e região de provisionamento, em seguida clique em Review + Create.

05 – Na tela Review + Create clique em Create.

06 – Como podemos observar o recurso foi provisionado.

Adicionando máquinas virtuais do Azure ao Log Analytics Workspace

No Azure temos duas máquinas virtuais a VM-01-Windows e VM-02-Linux, vamos adicionar essas máquinas virtuais ao Log Analytics Workspace.

07 – No portal do Azure pesquise por Log Analytics workspaces.

08 – Na tela do Log Analytics workspace selecione Log-Analytics-Defender.

09 – Na tela Log-Analytics-Defender em Workspace Data Sources clique em Virtual machines.

10 – Na tela Virtual machines selecione a VM-01-Windows.

11 – Na tela VM-01-Windows clique em Connect.

12 – Como podemos observar a máquina virtual VM-01-Windows foi conectada ao Log Analytics workspace, clique em Log_Analytics-Defender para voltar ao Log Analytics.

13 – De volta a tela Virtual machines selecione a máquina virtual VM-02-Linux.

14 – Na tela VM-02-Linux clique em Connect.

15 – Como podemos observar a VM-02-Linux foi conectada ao Log Analytics workspace, clique em Log_Analytics-Defender para voltar a tela do Log Analytics.

16 – Como podemos observar as máquinas virtuais foram conectadas ao Log Analytics workspace.

Habilitar o Microsoft Defender for Cloud

17 – Faça login no portal do Azure.

18 – No portal do Azure pesquise por Microsoft Defender for Cloud.

19 – Na tela Microsoft Defender for Coud em Management clique em Environment settings.

20 – Na tela Environment settings expanda Azure, Tenant Root Group e selecione a assinatura que deseja.

21 – Na tela Defender plans clique em Auto provisioning.

22 – Na tela Auto provisioning – Extensions nessa tela temos os agentes que são instalados automaticamento quando habilitamos o defender para toda a subscription, como vamos habilitar o Defender for Cloud para o Log Analytics workspace (Log-analytics-Defender) vamos desabilitar a extensão Log Analytics agent for Azure VMs, em seguida clique em Save.

Observação: Uma boa prática é habilitar o Defender for Cloud para o Log Analytics workspace, caso o Defender for cloud seja habilitado para toda assinatura a extensão Log Analytics agent for Azure VMs deve está habilitada, sendo assim todas as máquinas virtuais da assinatura teram o agente instalado e consequentemente será cobrado por recurso habilitado, utilizando o Log analytics workspace podemos definir quais máquinas virtuais vamos adicionar ao Microsoft Defender for Cloud.

Retorne a tela de Overview do Microsoft Defender for Cloud.

23 – Na tela Microsoft Defender for Cloud clique em Getting started.

24 – Na tela Upgrade podemos habilitar o Defender for Cloud para a subscritpion e/ou Log Analytics workspace, vamos habilitar o Defender for Cloud apenas para o Log Analytics workspace (log-analytics-defender) em seguida clique em Upgrade.

Observação: Um ponto importante que vale apena ser mencionado é o valor cobrado por cada recurso adicionado ao Defender for Cloud, para cada máquina virtual do Azure será cobrado o valor de $15 por mês.

25 – Em seguida é solicitado a  instalação do agente do Log Analytics para todas as subscriptions que temos, não vamos fazer essa instalação porque estamos utilizando as máquinas virtuais que estão no Log analytics Log-Analytics -Defender.

26 – Na tela do Microsoft Defender for Cloud em Managemente clique em Environment settings.

27 – Em Environment settings expanda Azure, Tenant Root Group e selecione a assinatura que deseja.

28 – Na tela Defender plans o plano padrão é Enhanced security off que tem apenas duas opções disponíveis, já o plano Enable all Microsoft Defender for Cloud plans tem mais opções disponíveis, abaixo podemos selecionar se vamos ou não habilitar o Microsoft Defender for Cloud para alguns recurso do Azure, até o presente momento desse artigo esses são todos os recursos suportados pelo Microsoft Defender for Cloud, após selecionar o plano e definir os recursos para o Microsoft Defender for Cloud clique em Save.

29 – Como podemos observar o plano foi modificado.

30 – Na tela Microsoft Defender for Cloud clique em Inventory.

31 – Como podemos observar temos as máquians virtuais vm-01-windows e vm-02-linux com o status em monitoring agent como installed e Defender for Clud como On.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.