Serviços de segurança da Microsoft

Este artigo descreve os serviços de segurança Microsoft e como estes trabalham em conjunto como um sistema unificado para fornecer proteção através dos pilares tecnológico que incluem identidades, dispositivos, aplicações, dados, IA e infraestruturas.

A segurança empresarial moderna passou da proteção baseada em perímetros para um modelo integrado na cloud orientado por identidade. As organizações devem proteger utilizadores, dispositivos, aplicações e dados em ambientes híbridos e multicloud, adaptando-se continuamente às ameaças em evolução.

A Microsoft disponibiliza um conjunto integrado de serviços baseados na cloud que trabalham em conjunto para partilhar sinais, aplicar políticas consistentes, aplicar controlos e coordenar deteção e resposta em todo o ambiente.

Resultados em matéria de segurança

A segurança integrada da Microsoft oferece os seguintes resultados:

  • Visibilidade unificada de sinais: A telemetria é continuamente recolhida e centralizada entre identidades, dispositivos, aplicações, dados e infraestruturas, sendo convertida em sinais centralizados e acionáveis.
  • Tomada de decisão orientada pela identidade: As decisões de acesso e fiscalização baseiam-se na identidade, estado do dispositivo, sinais de risco e contexto da sessão.
  • Aplicação consistente: Controlos Confiança Zero são aplicados em endpoints, serviços cloud e aplicações no momento do acesso e durante a utilização.
  • Deteção e resposta integradas: Sinais e alertas estão correlacionados entre domínios para detetar e responder a ameaças como operações unificadas.
  • Validação e melhoria contínuas: Os sinais de deteção e de risco contribuem para as decisões em matéria de políticas, a fim de reforçar a proteção ao longo do tempo.

Serviços de segurança essenciais

Os serviços de segurança essenciais abrangem múltiplos pilares tecnológicos, cada um contribuindo com sinais, contexto e fiscalização em toda a plataforma.

Pilar
Serviço primário
Proteção Portal primário
Identidade e acesso

Microsoft Entra

Microsoft Defender para Identidade.
A Microsoft Entra controla o acesso dos utilizadores, cargas de trabalho e aplicações. Avalia sinais de identidade, dispositivo e sessão para tomar decisões de acesso.

O Defender for Identity monitoriza a infraestrutura híbrida de identidade para detetar ataques.
centro de administração Microsoft Entra

Portal do Microsoft Defender
Dispositivos/pontos finais

Microsoft Defender para Endpoint

Microsoft Intune
O Defender for Endpoint recolhe a telemetria do endpoint e deteta ameaças.
O Microsoft Intune avalia a conformidade dos dispositivos e aplica a política.
Portal do Microsoft Defender

Centro administrativo do Microsoft Intune
Email e colaboração

Defender para Office 365
Protege o Exchange e os serviços de colaboração (Microsoft Teams, SharePoint, OneDrive) contra malware, ligações/anexos maliciosos e comprometimento de emails empresariais. Portal do Microsoft Defender
Dados

Microsoft Purview
Aplica políticas de proteção de dados e prevenção de perda de dados (DLP) em todos os endpoints e serviços cloud. Portal Microsoft Purview
Cargas de trabalho de infraestrutura/cloud

Microsoft Defender para a Cloud
Melhora a postura de segurança e proporciona deteção de ameaças em cargas de trabalho cloud e híbridas. portal do Microsoft Azure
Portal do Microsoft Defender
Networks

Serviços de rede do Azure
Segmentar e proteger as redes. portal do Microsoft Azure
Aplicações SaaS/cloud

Microsoft Defender para Aplicações na Nuvem
Proporciona visibilidade sobre o uso da aplicação na cloud e monitoriza a atividade dos utilizadores para detetar comportamentos de risco. Portal do Microsoft Defender
Postura/risco

Gerenciamento de exposição de segurança da Microsoft
Identifica, prioriza e reduz a exposição entre identidades, dispositivos, recursos cloud e aplicações. Portal do Microsoft Defender
Deteção/resposta a ameaças

Microsoft Defender XDR
Correlaciona os sinais entre os serviços Defender e produz incidentes unificados para investigação e resposta. Portal do Microsoft Defender
Operações de segurança

Microsoft Sentinel
Agrega telemetria da Microsoft e de fontes de terceiros para análise, investigação e resposta centralizadas. portal do Microsoft Azure
Portal do Microsoft Defender
Segurança de programadores/aplicações

Defender para DevOps (em Defender para a Cloud)
GitHub Advanced Security
Protege o código, as dependências e os pipelines de compilação e aplica a governação de segurança nos fluxos de trabalho DevOps. Portal do Microsoft Defender
interface do GitHub

Serviços de proteção de rede

A tabela resume as capacidades de rede do Azure e como se integram diretamente com outros serviços de segurança. Os serviços são configurados no portal do Microsoft Azure.

Serviço Proteção Integração
Azure Firewall Aplica regras de IP, portas e aplicações para controlar o tráfego de entrada e saída através de subredes, internet e redes locais. Utiliza inteligência de ameaças da Microsoft para bloquear tráfego malicioso conhecido. O Defender para a Cloud avalia a postura de configuração.

Os logs de diagnóstico são ingeridos no Azure Monitor/Log Analytics e analisados pelo Microsoft Sentinel para deteção e correlação.
Proteção DDoS do Azure Mitiga ataques volumétricos, de protocolo e de nível de aplicação. Protege os recursos orientados para a internet em redes virtuais (VNets) contra ataques de inundação em larga escala. Métricas e telemetria de ataque são incorporadas no Azure Monitor/Log Analytics e podem ser analisadas no Microsoft Sentinel.

O Defender para a Cloud fornece recomendações de postura.
Azure VNet Fornece isolamento de rede, segmentação e endereçamento IP privado para recursos do Azure. Permite conectividade controlada entre serviços. O Defender para a Cloud avalia o estado da configuração, incluindo exposições, como caminhos de acesso público.
Grupos de Segurança de Rede (NSGs) Filtra o tráfego ao nível da subrede e da interface de rede usando regras de permite/recusa. Restringe o tráfego indesejado aos recursos. Os registos de fluxo NSG (via Azure Monitor) podem ser analisados no Microsoft Sentinel para visibilidade e deteção de tráfego.

Defender para a Cloud avalia a configuração das regras NSG.
Firewall de Aplicativo Web do Azure (WAF) Protege aplicações HTTP/HTTPS usando conjuntos de regras OWASP. Ajuda a prevenir ataques comuns à Web, como a injeção SQL e o cross-site scripting (XSS). Os logs WAF são ingeridos no Azure Monitor/Log Analytics e analisados pelo Microsoft Sentinel.

O Defender para a Cloud avalia a postura de configuração do WAF.
Azure Front Door Fornece um ponto de entrada global para aplicações Web com funcionalidades de encaminhamento, aceleração e segurança na periferia da rede. Integra-se com o WAF para proteção de aplicações. Os registos de diagnóstico (Front Door/WAF) são incorporados no Log Analytics e analisados pelo Microsoft Sentinel.

O Defender para a Cloud avalia a postura de configuração.
Gateway de Aplicação do Azure Proporciona balanceamento de carga regional com capacidades integradas de firewall de aplicações web para proteger e encaminhar o tráfego da aplicação. Os registos de acesso e WAF são incorporados no Log Analytics e analisados pelo Microsoft Sentinel.

O Defender para a Cloud avalia a postura de configuração e as definições de exposição.
Gateway de VPN do Azure Fornece conectividade IPsec/IKE encriptada entre ambientes on-premises e VNets do Azure. Protege os dados em trânsito em redes públicas. Os registos de ligação e túneis são incorporados no Log Analytics e podem ser analisados no Microsoft Sentinel.

O Defender para a Cloud avalia a postura de configuração, incluindo as definições de encriptação.
Azure ExpressRoute Fornece conectividade privada e dedicada entre ambientes locais e Azure através da espinha dorsal da Microsoft, evitando a internet pública. A telemetria operacional (como BGP, estado do circuito) está disponível através do Azure Monitor e pode ser analisada no Microsoft Sentinel.

O Defender para a Cloud avalia a postura geral da configuração.
Azure Bastion Fornece acesso seguro RDP e SSH a máquinas virtuais através de um navegador, eliminando a necessidade de exposição pública a IP. Os registos de diagnóstico são incorporados no Log Analytics e analisados pelo Microsoft Sentinel.

O Defender para a Cloud avalia VM reduzida, mas não a configuração do Azure Bastion diretamente.
Azure Private Link Fornece conectividade privada aos serviços PaaS do Azure e aos serviços ao cliente usando endereços IP privados, eliminando a exposição pública. Os registos de nível de serviço (para serviços acedidos via Private Link, como Storage, SQL, Key Vault) são ingeridos no Log Analytics e analisados pelo Microsoft Sentinel.

O Defender para a Cloud avalia se ligações privadas são usadas para reduzir a exposição.
Observador de Rede do Azure Fornece diagnóstico de rede, monitorização e visibilidade ao nível do fluxo em recursos do Azure. Os registos e diagnósticos de fluxo NSG são incorporados no Log Analytics e podem ser analisados no Microsoft Sentinel.

O Defender para a Cloud avalia o estado subjacente da configuração dos recursos, como as definições do NSG, em vez do Observador de Rede diretamente.

Fluxo de trabalho de segurança

Os serviços de segurança funcionam em fluxo contínuo. Os sinais são continuamente recolhidos, avaliados, aplicados e usados para impulsionar a deteção e resposta.

Gasoduto Action Atividade-chave
Fase 1: Recolha de sinais Os serviços de segurança geram telemetria entre identidades, dispositivos, aplicações e infraestruturas. - Defender for Endpoint recolhe telemetria de dispositivos.
- O Microsoft Intune avalia a conformidade dos dispositivos.
- Defender for Identity monitoriza a atividade de identidade nas instalações.
- O Defender for Cloud Apps monitoriza a atividade SaaS.
- O Defender para a Cloud monitoriza a configuração e atividade da infraestrutura/carga de trabalho.
Fase 2: Decisões políticas Os sinais são avaliados para determinar as condições de acesso e as ações de controlo. O Acesso Condicional do Microsoft Entra avalia o risco de identidade, a confiança do dispositivo, a localização e o contexto da sessão.
Fase 3: Aplicação do controlo Os controlos de segurança são aplicados nas camadas de identidade, dispositivo, sessão, dados e rede. Os pontos de fiscalização incluem:
- Acesso Condicional (MFA/restrições)
- Intune (conformidade do dispositivo)
-Defender for Cloud Apps (controlo de sessão)
- Microsoft Purview (DLP)
- Rede Azure (restrições de conectividade).
Fase 4: Deteção e resposta Sinais e alertas estão correlacionados para detetar, investigar e remediar ameaças. O Microsoft Defender XDR correlaciona sinais de todos os produtos Defender em incidentes unificados.

O Microsoft Sentinel centraliza registos, incidentes, caça e orquestração, automação e resposta de segurança (SOAR) em todo o ambiente — incluindo fontes de terceiros.
Ciclo de retroalimentação Os resultados da deteção refletem as decisões políticas para melhorar continuamente a proteção. Os sinais de risco e ameaça informam as atualizações em tempo real das políticas, permitindo proteção adaptativa e automatizada.

Integração de serviços de segurança

Os serviços de segurança da Microsoft integram-se através de múltiplos fluxos que operam como um pipeline coeso, formando um sistema contínuo de proteção.

  • Os sinais (telemetria) captam a atividade através de identidades, dispositivos, aplicações e outros recursos.
  • O contexto (identidade, postura do dispositivo e classificação de dados) enriquece os sinais para melhorar a precisão e a tomada de decisões.
  • A política define que acesso é permitido ou bloqueado com base nas condições avaliadas.
  • As ações fazem cumprir as decisões através de controlos e respostas automatizados.

À medida que os sinais passam pela plataforma, são enriquecidos, avaliados em conformidade com a política e agidos, criando um ciclo contínuo de proteção e resposta.

Como os serviços se integram

A tabela resume como os serviços de segurança consomem sinais e contexto de cada saída, e que resultados e ações produzem.

Serviço Consome Outputs
Microsoft Entra ID Sinais: Atividade de autenticação (log-ins, eventos de risco). Estado de conformidade do dispositivo a partir do Microsoft Intune.

Context: Contexto do dispositivo nas decisões de acesso do Defender para Endpoint. Contexto de sessão para decisões de acesso do Defender for Cloud Apps.
Ações: Decisões de Acesso Condicional (permitir, bloquear, restringir, exigir controlos).
Microsoft Intune Sinais: Gestão do inventário de dispositivos, saúde, estado de conformidade.

Context: Associação de identidade a partir de Microsoft Entra ID.
Outputs: Postura de conformidade do dispositivo para Microsoft Entra ID. Registos de auditoria do dispositivo para o Microsoft Sentinel.
Microsoft Purview Signals: Dados empresariais em Microsoft 365, aplicações SaaS e sistemas on-premises.

Contexto: Classificação de dados (etiquetas de sensibilidade, inspeção de conteúdo, atividade do utilizador).
Outputs: Alertas de risco interno e proteção contra perda de dados (DLP) para Defender XDR. Registos de conformidade e auditoria no Microsoft Sentinel.

Actions: Aplicação de políticas DLP em endpoints (Defender para Endpoint) e em sessões (Defender for Cloud Apps).
Defender para Endpoint Indicadores: Telemetria do endpoint (processo, ficheiro, atividade de rede).

Context: Microsoft Entra ID (contexto de identidade). Microsoft Intune (postura do dispositivo). Microsoft Purview (políticas DLP).
Outputs: Alertas de endpoint e telemetria para Defender XDR e Microsoft Sentinel.

Ações: Aplicação de medidas no endpoint (isolamento do dispositivo, bloqueio, remediação).
Defensor da Identidade Sinais: Sinais de identidade do Active Directory. Output: Alertas de ameaça de identidade para Defender XDR e Microsoft Sentinel.
Defender para aplicativos na nuvem Sinais: Atividade da aplicação SaaS (uso na cloud). Telemetria de rede e shadow IT a partir do Defender for Endpoint.

Context: Contexto de sessão e autenticação de Microsoft Entra ID. Políticas DLP da Microsoft Purview.
Outputs: Alertas da aplicação cloud para Defender XDR e Microsoft Sentinel.

Ações: Aplicação da sessão (bloquear, monitorizar, restringir acesso).
Defender para a Cloud Signals: Informação de operação de recursos de Azure. Telemetria do servidor/carga de trabalho do Defender for Endpoint.

Contexto: Configuração e postura dos recursos.
Outputs: Alertas de segurança e insights de postura para Defender XDR e Microsoft Sentinel.
Gerenciamento de exposição de segurança da Microsoft Sinais: Pontuações de risco dos dispositivos do Defender para Endpoint. Inventário de recursos na cloud, postura, exposição e constatações sobre a superfície de ataque do Defender para a Cloud. Inventário de identidade e sinais de risco da Microsoft Entra. Inventário de aplicações SaaS, risco e contexto de utilização do Defender for Cloud Apps.

Contexto: Correlação unificada entre exposição e risco.
Resultados: Informações sobre a exposição e correlações de risco para o Microsoft XDR e o Microsoft Sentinel.
Defender XDR Sinais: Alertas de Defender para Endpoint (dispositivos), Defender para Identidade (sinais de identidade), Defender para Office 365 (email e colaboração), Defender for Cloud Apps (atividade SaaS/app). Sinais adicionais do Microsoft Purview (DLP, risco interno, classificação de dados), do Microsoft Entra ID Protection (sinais de risco de identidade) e do Defender para a Cloud (cargas de trabalho/postura da cloud). Outputs: Alertas correlacionados, incidentes a Microsoft Sentinel.

Ações: Resposta automatizada entre domínios.
Sentinela da Microsoft Sinais: Alertas, registos, telemetria de Defender XDR, Microsoft Purview, serviços cloud e outras fontes de primeira parte/terceiros. Resultados: Análises, investigações e incidentes.

Ações: Resposta automática usando playbooks.
Copiloto de Segurança da Microsoft Sinais: Incidentes e alertas de Microsoft Sentinel e Defender XDR.

Context: Dados sensíveis e contexto de risco interno de Microsoft Purview. Contexto de exposição do Microsoft Security Exposure Management.
Resultados: Resumos de investigação, recomendações, insights baseados em IA.

Ações: Ações de resposta guiada encaminhadas através dos fluxos de trabalho Microsoft Sentinel e Defender XDR.

Passos seguintes