Segurança de confiança zero com o Microsoft Sentinel e o Defender XDR
O Microsoft Defender XDR é uma solução XDR que complementa o Microsoft Sentinel. Um XDR extrai dados de telemetria brutos de vários serviços, como aplicativos de nuvem, segurança de email, identidade e gerenciamento de acesso.
Usando IA (inteligência artificial) e aprendizado de máquina, o XDR executa análise automática, investigação e resposta em tempo real. Ele também correlaciona alertas de segurança em incidentes maiores, dando às equipes de segurança maior visibilidade sobre ataques e priorizando incidentes para ajudar os analistas a medir os níveis de risco de ameaças.
Com o Microsoft Sentinel, você pode se conectar a muitas fontes de segurança usando conectores internos e padrões do setor. Com sua IA, você pode correlacionar vários sinais de baixa fidelidade que abrangem várias fontes para criar uma visão completa da cadeia de eliminação de ransomware e alertas priorizados.
Ordem de ataque comum
Esta seção aborda um cenário de ataque típico envolvendo um ataque de phishing e como responder ao incidente com o Microsoft Sentinel e o Microsoft Defender XDR.
O diagrama mostra os produtos de segurança da Microsoft que detectam cada etapa de ataque e como os sinais de ataque e os dados SIEM fluem para o Microsoft Defender XDR e o Microsoft Sentinel.
Aqui está um resumo do ataque.
| Etapa de ataque | Origem do serviço de detecção e do sinal | Defesas em vigor |
|---|---|---|
| 1. O invasor envia email de phishing | Microsoft Defender para Office 365 | Protege caixas de correio com recursos anti-phishing avançados que podem proteger contra ataques de phishing baseados em representação mal-intencionados. |
| 2. O usuário abre anexo | Microsoft Defender para Office 365 | O recurso Anexos Seguros do Microsoft Defender para Office 365 abre anexos em um ambiente isolado para mais verificação de ameaças (detonação). |
| 3. Anexo instala malware | Microsoft Defender para Endpoint | Protege os pontos de extremidade contra malware com seus recursos de proteção de próxima geração, como proteção fornecida pela nuvem e proteção antivírus baseada em comportamento, heurística e em tempo real. |
| 4. Malware rouba credenciais do usuário | Microsoft Entra ID e Microsoft Entra ID Protection | Protege as identidades monitorando o comportamento e as atividades do usuário, detectando movimento lateral e alertas sobre atividades anômalas. |
| 5. O invasor se move lateralmente em aplicativos e dados do Microsoft 365 | Microsoft Defender para Aplicativos de Nuvem | Pode detectar atividades anormais de usuários que acessam aplicativos de nuvem. |
| 6. O invasor baixa arquivos confidenciais de uma pasta do SharePoint | Microsoft Defender para Aplicativos de Nuvem | Pode detectar e responder a eventos de download em massa de arquivos do SharePoint. |
Se você integrou seu workspace do Microsoft Sentinel ao portal do Defender, os dados SIEM estão disponíveis com o Microsoft Sentinel diretamente no portal do Microsoft Defender.
Resposta a incidentes usando o Microsoft Sentinel e o Microsoft Defender XDR
Depois de observar um ataque comum, use o Microsoft Sentinel e o Microsoft Defender XDR para resposta a incidentes.
Selecione a guia relevante para o seu espaço de trabalho, dependendo se você o adicionou ao portal do Defender.
- do portal do Defender
- portal do Azure
Depois de integrar o Microsoft Sentinel ao portal do Defender, conclua todas as etapas de resposta a incidentes diretamente no portal do Microsoft Defender, assim como você faz para outros incidentes do Microsoft Defender XDR. As etapas com suporte incluem tudo, desde triagem até investigação e resolução.
Use a área do Microsoft Sentinel no portal do Microsoft Defender para recursos que não estão disponíveis apenas no portal do Defender.
Para obter mais informações, consulte Responder a um incidente usando o Microsoft Sentinel e o Microsoft Defender XDR.
Conteúdo relacionado
Para obter mais informações, consulte Resposta a incidentes com SIEM integrado eXDR.
- do portal do Defender
- portal do Azure
Para obter mais informações sobre como aplicar princípios de Confiança Zero no Microsoft 365, consulte:
- plano de implantação Zero Trust no Microsoft 365
- Implementar sua infraestrutura de identidade para Microsoft 365
- identidade de Confiança Zero e configurações de acesso ao dispositivo
- Gerenciar dispositivos com o Microsoft Intune
- Piloto e implantar o Microsoft Defender XDR
- Gerenciar a privacidade de dados e a proteção de dados com o Microsoft Priva e o Microsoft Purview
- Integrar aplicativos SaaS para Zero Trust com Microsoft 365