Como integrar o Microsoft Defender for Cloud ao Microsoft Sentinel

Microsoft Sentinel

O Microsoft Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma solução para detecção de ataques, visibilidade de ameaças, procura proativa e resposta a ameaças.

O Microsoft Sentinel é sua visão geral da empresa, amenizando o estresse de ataques cada vez mais sofisticados, volumes crescentes de alertas e longos períodos para resolução.

  • Colete dados na escala de nuvem de todos os usuários, dispositivos, aplicativos e infraestrutura, local e em múltiplas nuvens.
  • Detecte ameaças que ainda não foram descobertas e minimize falsos positivos usando a análise e a inteligência contra ameaças incomparáveis da Microsoft.
  • Investigue ameaças com inteligência artificial e busque por atividades suspeitas em escala, acessando anos de trabalho sobre segurança cibernética na Microsoft.
  • Responda a incidentes de forma rápida com orquestração interna e automação de tarefas comuns.

Microsoft Sentinel core capabilities

Aproveitando a gama completa de serviços existentes do Azure, o Microsoft Sentinel incorpora nativamente bases comprovadas, como o Log Analytics e os Aplicativos Lógicos. O Microsoft Sentinel enriquece a investigação e a detecção com IA, além de oferecer o fluxo de inteligência da Microsoft contra ameaças e permitir que você use sua própria inteligência contra ameaças.

Algumas opções disponíveis do Microsoft Sentinel:

  • Connect to all your data
  • Workbooks
  • Analytics
  • Security automation & orchestration
  • Investigation
  • Hunting
  • Notebooks
  • Community

Para maiores informações acesse o link abaixo:

What is Microsoft Sentinel? | Microsoft Docs

Microsoft Defender for Cloud

O Defender for Cloud é uma ferramenta para gerenciamento de posturas de segurança e proteção contra ameaças. Ele fortalece a postura de segurança de seus recursos na nuvem, e com seus planos integrados do Microsoft Defender, o Defender for Cloud protege cargas de trabalho em execução no Azure, híbrido e outras plataformas em nuvem.

O Defender for Cloud fornece as ferramentas necessárias para endurecer seus recursos, rastrear sua postura de segurança, proteger contra ataques cibernéticos e simplificar o gerenciamento de segurança. Por ser nativamente integrado, a implantação do Defender for Cloud é fácil, fornecendo-lhe um simples provisionamento automático para proteger seus recursos por padrão.

O Defender for Cloud preenche três necessidades vitais à medida que você gerencia a segurança de seus recursos e cargas de trabalho na nuvem e no local:

Entendendo a funcionalidade principal do Microsoft Defender for Cloud.

REQUISITOS DE SEGURANÇASOLUÇÃO DEFENDER FOR CLOUD
Avaliação contínua – Entenda sua postura de segurança atual.Pontuação segura – Uma pontuação única para que você possa dizer, de relance, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
Seguro – Endureça todos os recursos e serviços conectados.Recomendações de segurança – Tarefas de endurecimento personalizadas e priorizadas para melhorar sua postura. Você implementa uma recomendação seguindo as etapas detalhadas de remediação fornecidas na recomendação. Para muitas recomendações, o Defender for Cloud oferece um botão “Corrigir” para implementação automatizada!
Defender – Detectar e resolver ameaças a esses recursos e serviços.Alertas de segurança – Com os recursos de segurança aprimorados ativados, o Defender for Cloud detecta ameaças aos seus recursos e cargas de trabalho. Esses alertas aparecem no portal Azure e o Defender for Cloud também podem enviá-los por e-mail para o pessoal relevante em sua organização. Os alertas também podem ser transmitidos para soluções SIEM, SOAR ou Gerenciamento de Serviços de TI, conforme necessário.

Proteções nativas do Azure

O Defender for Cloud ajuda você a detectar ameaças em:

  • Serviços Azure PaaS – Detecte ameaças direcionadas aos serviços do Azure, incluindo o Azure App Service, o Azure SQL, a Azure Storage Account e mais serviços de dados. Você também pode executar a detecção de anomalias em seus registros de atividades do Azure usando a integração nativa com o Microsoft Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security).
  • Serviços de dados do Azure – O Defender for Cloud inclui recursos que ajudam você a classificar automaticamente seus dados no Azure SQL. Você também pode obter avaliações para potenciais vulnerabilidades em todos os serviços de Armazenamento e SQL do Azure, e recomendações de como atenuá-las.
  • Redes – O Defender for Cloud ajuda a limitar a exposição a ataques de força bruta. Ao reduzir o acesso às portas de máquinas virtuais, usando o acesso VM just-in-time, você pode endurecer sua rede impedindo acesso desnecessário. Você pode definir políticas de acesso seguro em portas selecionadas, apenas para usuários autorizados, intervalos de endereços IP de origem permitidos ou endereços IP e por um período limitado de tempo.

Passo a passo

Já escrevi um artigo aqui no site mostrando como implantar o Microsoft Sentinel, clique no link abaixo para conferir.

Como Implantar o Microsoft Sentinel – Jádson Alves (jadsonalves.com.br)

Também escrevi um artigo mostrando como habilitar o Microsoft Defender for Cloud, clique no link abaixo para conferir.

Como habilitar o Microsoft Defender for Cloud – Jádson Alves (jadsonalves.com.br)

02 – No portal do Azure pesquise por Microsoft Sentinel.

03 – Na tela Microsoft Sentinel selecione workspace-sentinel.

04 – Na tela Microsoft Sentinel | Overview em Configure clique em Data connectors.

05 – Na tela Microsoft Sentinel | Data connectors selecione o Microsoft Defender for Cloud, na tela Microsoft Defender for Cloud clique em Open connector page.

06 – Na tela Microsoft Defender for Cloud em Instructions selecione a assinatura que deseja e clique em Connected.

07 – Ainda na tela Microsoft Defender for Cloud em Create incidents – Recommended clique em Enable.

08 – Em Next steps temos alguns workbooks recomendados, também temos algumas query de exemplo e analytics templates.

09 – Na tela Microsoft Sentinel | Overview Configuration clique em Analytics.

10 – Na tela Microsoft Sentinel | Analytics temos a regra Create incidents based on Azure Defender alerts, caso um alerta seja gerado no Microsoft Defender for Cloud, será criado um incidente no Microsoft Sentinel.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.