Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve os serviços de segurança Microsoft e como estes trabalham em conjunto como um sistema unificado para fornecer proteção através dos pilares tecnológico que incluem identidades, dispositivos, aplicações, dados, IA e infraestruturas.
A segurança empresarial moderna passou da proteção baseada em perímetros para um modelo integrado na cloud orientado por identidade. As organizações devem proteger utilizadores, dispositivos, aplicações e dados em ambientes híbridos e multicloud, adaptando-se continuamente às ameaças em evolução.
A Microsoft disponibiliza um conjunto integrado de serviços baseados na cloud que trabalham em conjunto para partilhar sinais, aplicar políticas consistentes, aplicar controlos e coordenar deteção e resposta em todo o ambiente.
Resultados em matéria de segurança
A segurança integrada da Microsoft oferece os seguintes resultados:
- Visibilidade unificada de sinais: A telemetria é continuamente recolhida e centralizada entre identidades, dispositivos, aplicações, dados e infraestruturas, sendo convertida em sinais centralizados e acionáveis.
- Tomada de decisão orientada pela identidade: As decisões de acesso e fiscalização baseiam-se na identidade, estado do dispositivo, sinais de risco e contexto da sessão.
- Aplicação consistente: Controlos Confiança Zero são aplicados em endpoints, serviços cloud e aplicações no momento do acesso e durante a utilização.
- Deteção e resposta integradas: Sinais e alertas estão correlacionados entre domínios para detetar e responder a ameaças como operações unificadas.
- Validação e melhoria contínuas: Os sinais de deteção e de risco contribuem para as decisões em matéria de políticas, a fim de reforçar a proteção ao longo do tempo.
Serviços de segurança essenciais
Os serviços de segurança essenciais abrangem múltiplos pilares tecnológicos, cada um contribuindo com sinais, contexto e fiscalização em toda a plataforma.
|
Pilar Serviço primário |
Proteção | Portal primário |
|---|---|---|
|
Identidade e acesso Microsoft Entra Microsoft Defender para Identidade. |
A Microsoft Entra controla o acesso dos utilizadores, cargas de trabalho e aplicações. Avalia sinais de identidade, dispositivo e sessão para tomar decisões de acesso. O Defender for Identity monitoriza a infraestrutura híbrida de identidade para detetar ataques. |
centro de administração Microsoft Entra Portal do Microsoft Defender |
|
Dispositivos/pontos finais Microsoft Defender para Endpoint Microsoft Intune |
O Defender for Endpoint recolhe a telemetria do endpoint e deteta ameaças. O Microsoft Intune avalia a conformidade dos dispositivos e aplica a política. |
Portal do Microsoft Defender Centro administrativo do Microsoft Intune |
|
Email e colaboração Defender para Office 365 |
Protege o Exchange e os serviços de colaboração (Microsoft Teams, SharePoint, OneDrive) contra malware, ligações/anexos maliciosos e comprometimento de emails empresariais. | Portal do Microsoft Defender |
|
Dados Microsoft Purview |
Aplica políticas de proteção de dados e prevenção de perda de dados (DLP) em todos os endpoints e serviços cloud. | Portal Microsoft Purview |
|
Cargas de trabalho de infraestrutura/cloud Microsoft Defender para a Cloud |
Melhora a postura de segurança e proporciona deteção de ameaças em cargas de trabalho cloud e híbridas. |
portal do Microsoft Azure Portal do Microsoft Defender |
|
Networks Serviços de rede do Azure |
Segmentar e proteger as redes. | portal do Microsoft Azure |
|
Aplicações SaaS/cloud Microsoft Defender para Aplicações na Nuvem |
Proporciona visibilidade sobre o uso da aplicação na cloud e monitoriza a atividade dos utilizadores para detetar comportamentos de risco. | Portal do Microsoft Defender |
|
Postura/risco Gerenciamento de exposição de segurança da Microsoft |
Identifica, prioriza e reduz a exposição entre identidades, dispositivos, recursos cloud e aplicações. | Portal do Microsoft Defender |
|
Deteção/resposta a ameaças Microsoft Defender XDR |
Correlaciona os sinais entre os serviços Defender e produz incidentes unificados para investigação e resposta. | Portal do Microsoft Defender |
|
Operações de segurança Microsoft Sentinel |
Agrega telemetria da Microsoft e de fontes de terceiros para análise, investigação e resposta centralizadas. |
portal do Microsoft Azure Portal do Microsoft Defender |
|
Segurança de programadores/aplicações Defender para DevOps (em Defender para a Cloud) GitHub Advanced Security |
Protege o código, as dependências e os pipelines de compilação e aplica a governação de segurança nos fluxos de trabalho DevOps. |
Portal do Microsoft Defender interface do GitHub |
Serviços de proteção de rede
A tabela resume as capacidades de rede do Azure e como se integram diretamente com outros serviços de segurança. Os serviços são configurados no portal do Microsoft Azure.
| Serviço | Proteção | Integração |
|---|---|---|
| Azure Firewall | Aplica regras de IP, portas e aplicações para controlar o tráfego de entrada e saída através de subredes, internet e redes locais. Utiliza inteligência de ameaças da Microsoft para bloquear tráfego malicioso conhecido. | O Defender para a Cloud avalia a postura de configuração. Os logs de diagnóstico são ingeridos no Azure Monitor/Log Analytics e analisados pelo Microsoft Sentinel para deteção e correlação. |
| Proteção DDoS do Azure | Mitiga ataques volumétricos, de protocolo e de nível de aplicação. Protege os recursos orientados para a internet em redes virtuais (VNets) contra ataques de inundação em larga escala. | Métricas e telemetria de ataque são incorporadas no Azure Monitor/Log Analytics e podem ser analisadas no Microsoft Sentinel. O Defender para a Cloud fornece recomendações de postura. |
| Azure VNet | Fornece isolamento de rede, segmentação e endereçamento IP privado para recursos do Azure. Permite conectividade controlada entre serviços. | O Defender para a Cloud avalia o estado da configuração, incluindo exposições, como caminhos de acesso público. |
| Grupos de Segurança de Rede (NSGs) | Filtra o tráfego ao nível da subrede e da interface de rede usando regras de permite/recusa. Restringe o tráfego indesejado aos recursos. | Os registos de fluxo NSG (via Azure Monitor) podem ser analisados no Microsoft Sentinel para visibilidade e deteção de tráfego. Defender para a Cloud avalia a configuração das regras NSG. |
| Firewall de Aplicativo Web do Azure (WAF) | Protege aplicações HTTP/HTTPS usando conjuntos de regras OWASP. Ajuda a prevenir ataques comuns à Web, como a injeção SQL e o cross-site scripting (XSS). | Os logs WAF são ingeridos no Azure Monitor/Log Analytics e analisados pelo Microsoft Sentinel. O Defender para a Cloud avalia a postura de configuração do WAF. |
| Azure Front Door | Fornece um ponto de entrada global para aplicações Web com funcionalidades de encaminhamento, aceleração e segurança na periferia da rede. Integra-se com o WAF para proteção de aplicações. | Os registos de diagnóstico (Front Door/WAF) são incorporados no Log Analytics e analisados pelo Microsoft Sentinel. O Defender para a Cloud avalia a postura de configuração. |
| Gateway de Aplicação do Azure | Proporciona balanceamento de carga regional com capacidades integradas de firewall de aplicações web para proteger e encaminhar o tráfego da aplicação. | Os registos de acesso e WAF são incorporados no Log Analytics e analisados pelo Microsoft Sentinel. O Defender para a Cloud avalia a postura de configuração e as definições de exposição. |
| Gateway de VPN do Azure | Fornece conectividade IPsec/IKE encriptada entre ambientes on-premises e VNets do Azure. Protege os dados em trânsito em redes públicas. | Os registos de ligação e túneis são incorporados no Log Analytics e podem ser analisados no Microsoft Sentinel. O Defender para a Cloud avalia a postura de configuração, incluindo as definições de encriptação. |
| Azure ExpressRoute | Fornece conectividade privada e dedicada entre ambientes locais e Azure através da espinha dorsal da Microsoft, evitando a internet pública. | A telemetria operacional (como BGP, estado do circuito) está disponível através do Azure Monitor e pode ser analisada no Microsoft Sentinel. O Defender para a Cloud avalia a postura geral da configuração. |
| Azure Bastion | Fornece acesso seguro RDP e SSH a máquinas virtuais através de um navegador, eliminando a necessidade de exposição pública a IP. | Os registos de diagnóstico são incorporados no Log Analytics e analisados pelo Microsoft Sentinel. O Defender para a Cloud avalia VM reduzida, mas não a configuração do Azure Bastion diretamente. |
| Azure Private Link | Fornece conectividade privada aos serviços PaaS do Azure e aos serviços ao cliente usando endereços IP privados, eliminando a exposição pública. | Os registos de nível de serviço (para serviços acedidos via Private Link, como Storage, SQL, Key Vault) são ingeridos no Log Analytics e analisados pelo Microsoft Sentinel. O Defender para a Cloud avalia se ligações privadas são usadas para reduzir a exposição. |
| Observador de Rede do Azure | Fornece diagnóstico de rede, monitorização e visibilidade ao nível do fluxo em recursos do Azure. | Os registos e diagnósticos de fluxo NSG são incorporados no Log Analytics e podem ser analisados no Microsoft Sentinel. O Defender para a Cloud avalia o estado subjacente da configuração dos recursos, como as definições do NSG, em vez do Observador de Rede diretamente. |
Fluxo de trabalho de segurança
Os serviços de segurança funcionam em fluxo contínuo. Os sinais são continuamente recolhidos, avaliados, aplicados e usados para impulsionar a deteção e resposta.
| Gasoduto | Action | Atividade-chave |
|---|---|---|
| Fase 1: Recolha de sinais | Os serviços de segurança geram telemetria entre identidades, dispositivos, aplicações e infraestruturas. | - Defender for Endpoint recolhe telemetria de dispositivos. - O Microsoft Intune avalia a conformidade dos dispositivos. - Defender for Identity monitoriza a atividade de identidade nas instalações. - O Defender for Cloud Apps monitoriza a atividade SaaS. - O Defender para a Cloud monitoriza a configuração e atividade da infraestrutura/carga de trabalho. |
| Fase 2: Decisões políticas | Os sinais são avaliados para determinar as condições de acesso e as ações de controlo. | O Acesso Condicional do Microsoft Entra avalia o risco de identidade, a confiança do dispositivo, a localização e o contexto da sessão. |
| Fase 3: Aplicação do controlo | Os controlos de segurança são aplicados nas camadas de identidade, dispositivo, sessão, dados e rede. | Os pontos de fiscalização incluem: - Acesso Condicional (MFA/restrições) - Intune (conformidade do dispositivo) -Defender for Cloud Apps (controlo de sessão) - Microsoft Purview (DLP) - Rede Azure (restrições de conectividade). |
| Fase 4: Deteção e resposta | Sinais e alertas estão correlacionados para detetar, investigar e remediar ameaças. | O Microsoft Defender XDR correlaciona sinais de todos os produtos Defender em incidentes unificados. O Microsoft Sentinel centraliza registos, incidentes, caça e orquestração, automação e resposta de segurança (SOAR) em todo o ambiente — incluindo fontes de terceiros. |
| Ciclo de retroalimentação | Os resultados da deteção refletem as decisões políticas para melhorar continuamente a proteção. | Os sinais de risco e ameaça informam as atualizações em tempo real das políticas, permitindo proteção adaptativa e automatizada. |
Integração de serviços de segurança
Os serviços de segurança da Microsoft integram-se através de múltiplos fluxos que operam como um pipeline coeso, formando um sistema contínuo de proteção.
- Os sinais (telemetria) captam a atividade através de identidades, dispositivos, aplicações e outros recursos.
- O contexto (identidade, postura do dispositivo e classificação de dados) enriquece os sinais para melhorar a precisão e a tomada de decisões.
- A política define que acesso é permitido ou bloqueado com base nas condições avaliadas.
- As ações fazem cumprir as decisões através de controlos e respostas automatizados.
À medida que os sinais passam pela plataforma, são enriquecidos, avaliados em conformidade com a política e agidos, criando um ciclo contínuo de proteção e resposta.
Como os serviços se integram
A tabela resume como os serviços de segurança consomem sinais e contexto de cada saída, e que resultados e ações produzem.
| Serviço | Consome | Outputs |
|---|---|---|
| Microsoft Entra ID |
Sinais: Atividade de autenticação (log-ins, eventos de risco). Estado de conformidade do dispositivo a partir do Microsoft Intune. Context: Contexto do dispositivo nas decisões de acesso do Defender para Endpoint. Contexto de sessão para decisões de acesso do Defender for Cloud Apps. |
Ações: Decisões de Acesso Condicional (permitir, bloquear, restringir, exigir controlos). |
| Microsoft Intune |
Sinais: Gestão do inventário de dispositivos, saúde, estado de conformidade. Context: Associação de identidade a partir de Microsoft Entra ID. |
Outputs: Postura de conformidade do dispositivo para Microsoft Entra ID. Registos de auditoria do dispositivo para o Microsoft Sentinel. |
| Microsoft Purview |
Signals: Dados empresariais em Microsoft 365, aplicações SaaS e sistemas on-premises. Contexto: Classificação de dados (etiquetas de sensibilidade, inspeção de conteúdo, atividade do utilizador). |
Outputs: Alertas de risco interno e proteção contra perda de dados (DLP) para Defender XDR. Registos de conformidade e auditoria no Microsoft Sentinel. Actions: Aplicação de políticas DLP em endpoints (Defender para Endpoint) e em sessões (Defender for Cloud Apps). |
| Defender para Endpoint |
Indicadores: Telemetria do endpoint (processo, ficheiro, atividade de rede). Context: Microsoft Entra ID (contexto de identidade). Microsoft Intune (postura do dispositivo). Microsoft Purview (políticas DLP). |
Outputs: Alertas de endpoint e telemetria para Defender XDR e Microsoft Sentinel. Ações: Aplicação de medidas no endpoint (isolamento do dispositivo, bloqueio, remediação). |
| Defensor da Identidade | Sinais: Sinais de identidade do Active Directory. | Output: Alertas de ameaça de identidade para Defender XDR e Microsoft Sentinel. |
| Defender para aplicativos na nuvem |
Sinais: Atividade da aplicação SaaS (uso na cloud). Telemetria de rede e shadow IT a partir do Defender for Endpoint. Context: Contexto de sessão e autenticação de Microsoft Entra ID. Políticas DLP da Microsoft Purview. |
Outputs: Alertas da aplicação cloud para Defender XDR e Microsoft Sentinel. Ações: Aplicação da sessão (bloquear, monitorizar, restringir acesso). |
| Defender para a Cloud |
Signals: Informação de operação de recursos de Azure. Telemetria do servidor/carga de trabalho do Defender for Endpoint. Contexto: Configuração e postura dos recursos. |
Outputs: Alertas de segurança e insights de postura para Defender XDR e Microsoft Sentinel. |
| Gerenciamento de exposição de segurança da Microsoft |
Sinais: Pontuações de risco dos dispositivos do Defender para Endpoint. Inventário de recursos na cloud, postura, exposição e constatações sobre a superfície de ataque do Defender para a Cloud. Inventário de identidade e sinais de risco da Microsoft Entra. Inventário de aplicações SaaS, risco e contexto de utilização do Defender for Cloud Apps. Contexto: Correlação unificada entre exposição e risco. |
Resultados: Informações sobre a exposição e correlações de risco para o Microsoft XDR e o Microsoft Sentinel. |
| Defender XDR | Sinais: Alertas de Defender para Endpoint (dispositivos), Defender para Identidade (sinais de identidade), Defender para Office 365 (email e colaboração), Defender for Cloud Apps (atividade SaaS/app). Sinais adicionais do Microsoft Purview (DLP, risco interno, classificação de dados), do Microsoft Entra ID Protection (sinais de risco de identidade) e do Defender para a Cloud (cargas de trabalho/postura da cloud). |
Outputs: Alertas correlacionados, incidentes a Microsoft Sentinel. Ações: Resposta automatizada entre domínios. |
| Sentinela da Microsoft | Sinais: Alertas, registos, telemetria de Defender XDR, Microsoft Purview, serviços cloud e outras fontes de primeira parte/terceiros. |
Resultados: Análises, investigações e incidentes. Ações: Resposta automática usando playbooks. |
| Copiloto de Segurança da Microsoft |
Sinais: Incidentes e alertas de Microsoft Sentinel e Defender XDR. Context: Dados sensíveis e contexto de risco interno de Microsoft Purview. Contexto de exposição do Microsoft Security Exposure Management. |
Resultados: Resumos de investigação, recomendações, insights baseados em IA. Ações: Ações de resposta guiada encaminhadas através dos fluxos de trabalho Microsoft Sentinel e Defender XDR. |
Passos seguintes
- Para começar com uma avaliação Confiança Zero da sua postura de segurança atual.
- Siga o nosso modelo de adoção estruturado para começar a adotar o Confiança Zero.
- Aprofunde-se nos resultados críticos de segurança para líderes empresariais com os nossos cenários de adoção. Comece porimplementar soluções técnicas para soluções empresariais e pilares tecnológicos, como dados e dispositivos.