SC-900 - Fundamentos de Seguran - Wellington Agapto

Prévia do material em texto

SC-900
GUIA DE ESTUDOS
WELLINGTON AGÁPTO
O1
02
Conceitos de segurança,
conformidade e identidade
O2
Recursos do Microsoft Azure Active
Directory (Azure AD), parte do
Microsoft Entra
O3
Recursos das soluções de
segurança da Microsoft
O4
Recursos das soluções de
conformidade da
Microsoft
ÍNDICE
INÍCIO
QUEM SOU EU?
Wellington Agápto é um Especialista com mais de 30
certificações técnicas, foi premiado como Microsoft MVP e atualmente
atua como Gerente de Cloud Security, apoiando clientes com soluções
de
arquiteturas e segurança em nuvem.
Já ministrou mais de 200 palestras, treinou mais de 60 mil pessoas e
fundou uma das mais populares empresas de ensino sobre tecnologia
da América Latina, a Uni Academy e a Comunidade Cloud Hero.
É autor do livro os 5 passos para tornar-se um profissional de TI de
sucesso.
@wellagapto
Wellington Agápto
Wellington Agápto - Cloud & Security
www.uniacademy.com.br
04
INTRODUÇÃO
A certificação Microsoft SC-900: Microsoft
Security,
Compliance,
https://www.instagram.com/wellagapto/?hl=pt-br
https://www.linkedin.com/in/wellington-ag%C3%A1pto-22372810/
https://www.youtube.com/c/WellingtonAg%C3%A1pto-TI
and
Identity
Fundamentals é uma porta de entrada
essencial para profissionais que desejam
adquirir conhecimentos fundamentais em
segurança, conformidade e identidade na
nuvem
da
Microsoft.
Este
e-book
preparatório foi elaborado para ajudá-lo a se
preparar de forma eficaz para o exame SC-
900 e obter sucesso na obtenção dessa
certificação valiosa.
O cenário atual de segurança cibernética e
conformidade de dados exige que as
organizações estejam preparadas para
enfrentar
ameaças
cada
vez
mais
sofisticadas. Nesse contexto, a certificação
SC-900
fornece
os
conhecimentos
necessários para compreender os princípios
e os serviços fundamentais relacionados à
segurança, conformidade e identidade na
nuvem da Microsoft.
uniacademy.com.br
05
Este guia preparatório fornecerá uma visão
abrangente dos tópicos cobertos no exame SC-900 e orientará você
em seu caminho para o sucesso. Ele foi projetado para ajudar tanto
aqueles que estão iniciando sua jornada na área de segurança e
conformidade quanto aqueles que
desejam consolidar seus conhecimentos e validar
suas habilidades através da certificação.
Ao longo deste e-book, exploraremos os
principais tópicos abordados no exame SC-900, fornecendo uma
compreensão sólida dos
conceitos fundamentais e das melhores práticas relacionadas à
segurança, conformidade e
identidade na nuvem da Microsoft. Você
encontrará informações detalhadas sobre a
arquitetura
de
segurança
da
Microsoft,
identidade e acesso na nuvem, serviços de
conformidade e muito mais.
uniacademy.com.br
06
Lembre-se de que a certificação SC-900 é um primeiro passo
importante em sua jornada
profissional na área de segurança, conformidade e identidade na
nuvem da Microsoft. Ao adquirir esse conhecimento, você estará
preparado para enfrentar os desafios do mundo digital em
constante evolução e contribuir para a segurança
e o sucesso de suas organizações.
Este e-book é o seu companheiro de estudos para
a certificação SC-900. Desejo a você uma jornada
de aprendizado recompensadora e estou
confiante de que, com dedicação e estudo
diligente, você alcançará seus objetivos e obterá a certificação
Microsoft SC-900. Vamos começar essa jornada juntos!
Um grande abraço do seu amigo,
Wellington Agápto
uniacademy.com.br
07
DESCREVER OS
CONCEITOS DE
SEGURANÇA,
CONFORMIDADE E
IDENTIDADE
08
DEFESA EM PROFUNDIDADE
"Defesa em profundidade" (DiD) é uma estratégia de segurança
cibernética que usa vários produtos
e práticas de segurança para proteger a rede, as propriedades da
web e os recursos de uma
organização. Às vezes, é usada de forma
intercambiável com o termo "segurança em camadas" porque
depende de soluções de
segurança em várias camadas de controle —
física, técnica e administrativa — para evitar que invasores alcancem
uma rede protegida ou um recurso local.
Originalmente, defesa em profundidade descrevia
uma estratégia militar na qual uma linha de defesa era sacrificada
para deter as forças adversárias. Apesar do nome semelhante, essa
abordagem não é paralela a essa estratégia de segurança, na qual
vários produtos trabalham juntos para manter os invasores e outras
ameaças
à distância.
uniacademy.com.br
09
Para todos os tipos de implantação de nuvem, você tem seus dados e
suas identidades. Você é
responsável por proteger a segurança de seus dados e identidades,
dos recursos locais e dos componentes da nuvem que você controla
(que varia por tipo de serviço).
Independentemente do tipo de implantação, as seguintes
responsabilidades sempre são retidas por você:
Dados
Pontos de extremidade
Conta
Gerenciamento de acesso
uniacademy.com.br
10
MODELO DE CONFIANÇA ZERO
Confiança Zero é uma estratégia de segurança.
Não é um produto ou serviço, mas uma
abordagem na criação e implementação do
seguinte conjunto de princípios de segurança:
Verificação explícita
Uso de acesso de privilégio mínimo
Pressupor a violação
Verificação explícita
Sempre autentique e autorize com base em todos
os pontos de dados disponíveis.
Uso de acesso de privilégio mínimo
Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-
Access), políticas adaptáveis baseadas em risco e proteção de dados.
uniacademy.com.br
11
Pressupor a violação
Minimize o raio de alcance e segmente o acesso.
Verifique a criptografia de ponta a ponta e use a análise para obter
visibilidade, promover a
detecção de ameaças e melhorar as defesas.
Esse é o princípio da Confiança Zero. Em vez de acreditar que tudo
protegido por um firewall corporativo é seguro, o modelo de
Confiança Zero pressupõe uma violação e verifica cada solicitação
como se ela tivesse sido originada de uma rede não controlada.
Independentemente do
local no qual a solicitação é originada ou qual recurso ela acessa, o
modelo de Confiança Zero nos ensina a "nunca confiar e sempre
verificar".
Ele foi projetado para se adaptar às
complexidades do ambiente moderno que adota a
força de trabalho móvel, protege pessoas,
dispositivos, aplicativos e dados onde quer que estejam localizados.
uniacademy.com.br
12
Uma abordagem de Confiança Zero deve se
estender por todo o espaço digital e servir como uma filosofia de
segurança integrada e uma
estratégia de ponta a ponta. Isso é feito com a implementação de
controles e tecnologias de
Confiança Zero em seis elementos fundamentais.
Cada um deles é uma fonte de sinal, um painel de controle para a
imposição e um recurso crítico a ser defendido.
Diferentes
requisitos
organizacionais,
implementações de tecnologia existentes e
estágios de segurança afetam como uma
implementação de modelo de segurança de
Confiança Zero pode ser planejada.
uniacademy.com.br
13
CRIPTOGRAFIA
A criptografia, derivada da palavra grego
"Kryptos", que significa oculto ou secreto, é a aplicação da
comunicação segura em qualquer
forma entre um remetente e um destinatário.
Normalmente, a criptografia é usada para
obscurecer o significado de uma mensagem
gravada, mas também pode ser aplicada a
imagens.
O primeiro uso conhecido da criptografia
remonta ao Antigo Egito e o uso de hieróglifos complexos. Uma das
primeiras codificações já usadas para proteger as comunicações dos
EUS
veio de Júlio César e o Império Romano.
uniacademy.com.br
14
Esses dois exemplos esclarecem que a
criptografia tem muitos usos e não está limitada ao mundo digital. No
entanto, com base nessas origens desaloca, uma coisa é certa: a
criptografia agora é fundamental para ajudar a proteger nosso
planeta conectado digitalmente.
Sempre que você usa um navegador para
acessar, por exemplo, um endereço HTTPS,
uma loja de varejo online, seu banco ou até mesmo este site do
Learn, os elementos de
criptografia
mantêm
suas
interações
confidenciais e seguras.
Sempre que você conecta sem fio um
dispositivoproteger e gerenciar os dados de maneiras
novas e abrangentes.
uniacademy.com.br
94
O Microsoft Purview inclui soluções de risco e conformidade que
suportam os serviços
incluídos no Microsoft 365. Esses serviços
incluem o Microsoft Teams, SharePoint,
OneDrive, Exchange e outros. Essas soluções de conformidade e risco
ajudam sua organização a:
Proteja os dados confidenciais em nuvens,
aplicativos e dispositivos.
Identifique os riscos de dados e gerencie
requisitos de conformidade regulatória.
Introdução à conformidade regulamentar.
uniacademy.com.br
95
GERENCIADOR DE
CONFORMIDADE
O Microsoft Purview Compliance Manager é uma solução no portal de
conformidade do Microsoft Purview que ajuda você a avaliar e
gerenciar automaticamente a conformidade em todo o
ambiente de várias nuvens.
O Gerenciador de Conformidade pode ajudá-lo
durante todo o percurso de conformidade,
incluindo desde fazer um inventário dos riscos de proteção de dados
até gerenciar as
complexidades de implementação de controles,
mantendo-o atualizado quanto aos regulamentos
e certificações e enviando relatórios para
auditores.
uniacademy.com.br
96
O Gerenciador de Conformidade ajuda a
simplificar a conformidade e reduzir o risco fornecendo:
Avaliações pré-criadas para normas e
regulamentos comuns do setor e regionais ou
avaliações personalizadas para atender às
suas
necessidades
de
conformidade
exclusivas
(as
avaliações
disponíveis
dependem do contrato de licenciamento;
saiba mais).
Ele fornece recursos de fluxo de trabalho
para ajudá-lo a concluir com eficiência suas avaliações de risco por
meio de uma
ferramenta comum.
Diretrizes detalhadas passo a passo sobre
ações de aprimoramento sugeridas para
ajudá-lo a cumprir as normas e regulamentos
mais relevantes para sua organização. Para
ações gerenciadas pela Microsoft, você verá
os detalhes da implementação e os
resultados da auditoria.
uniacademy.com.br
97
Uma pontuação de conformidade baseada em
risco para ajudar você a entender sua postura
de conformidade medindo seu progresso na
conclusão de ações de melhoria.
A página de visão geral do Gerenciador de
Conformidade mostra sua pontuação de
conformidade atual, ajuda você a ver o que precisa de atenção e
orienta você para as
principais ações de melhoria.
uniacademy.com.br
98
PONTUAÇÃO DE
CONFORMIDADE
O Gerenciador de Conformidade fornece uma
pontuação inicial com base na linha de base de proteção de dados do
Microsoft 365. Essa linha de base é um conjunto de controles que
inclui regulamentos e padrões importantes para
proteção de dados e governança geral de dados.
Essa
linha
de
base
extrai
elementos
principalmente do NIST CSF (National Institute of Standards and
Technology Cybersecurity
Framework) e iso (Organização Internacional
para Padronização), bem como do FedRAMP
(Federal Risk and Authorization Management
Program) e do GDPR (Regulamento Geral de
Proteção de Dados da União Europeia).
Sua pontuação inicial é calculada de acordo com
a avaliação padrão da Linha de Base de Proteção
de Dados fornecida a todas as organizações.
Após sua primeira visita, o Gerenciador de
Conformidade já está coletando sinais de suas soluções do Microsoft
365. Você vê rapidamente como sua organização está se saindo em
relação
aos principais padrões e regulamentos de
proteção de dados e vê ações de melhoria
sugeridas a serem executadas.
uniacademy.com.br
99
PONTUAÇÃO DE
CONFORMIDADE
O Gerenciador de Conformidade fornece uma
pontuação inicial com base na linha de base de proteção de dados do
Microsoft 365. Essa linha de base é um conjunto de controles que
inclui regulamentos e padrões importantes para
proteção de dados e governança geral de dados.
Essa
linha
de
base
extrai
elementos
principalmente do NIST CSF (National Institute of Standards and
Technology Cybersecurity
Framework) e iso (Organização Internacional
para Padronização), bem como do FedRAMP
(Federal Risk and Authorization Management
Program) e do GDPR (Regulamento Geral de
Proteção de Dados da União Europeia).
Sua pontuação inicial é calculada de acordo com
a avaliação padrão da Linha de Base de Proteção
de Dados fornecida a todas as organizações.
Após sua primeira visita, o Gerenciador de
Conformidade já está coletando sinais de suas soluções do Microsoft
365. Você vê rapidamente como sua organização está se saindo em
relação
aos principais padrões e regulamentos de
proteção de dados e vê ações de melhoria
sugeridas a serem executadas.
uniacademy.com.br
100
CLASSIFICAÇÃO DE DADOS
A classificação de dados, no contexto do
Microsoft Purview, é uma maneira de categorizar
ativos de dados atribuindo classes ou marcas lógicas exclusivas a
eles. A classificação é baseada no contexto de negócios dos dados.
Por
exemplo, você pode classificar ativos por
Número do passaporte,Número da carteira de
habilitação, Número do cartão de crédito,Código SWIFT, Nome da
pessoa e assim por diante.
Quando você classifica ativos de dados, eles ficam mais fáceis de
entender, pesquisar e
governar. Classificar ativos de dados também ajuda você a entender
os riscos associados a eles. Isso, por sua vez, pode ajudar você a
implementar medidas para proteger dados
confidenciais
ou
importantes
contra
a
proliferação descontrolada e o acesso não
autorizado em toda a propriedade de dados.
uniacademy.com.br
101
O Mapa de Dados do Microsoft Purview fornece uma
funcionalidade
de
classificação
automatizada enquanto você verifica suas fontes
de dados. Você recebe mais de 200
classificações internas do sistema e pode criar classificações
personalizadas para seus dados.
Você pode classificar os ativos automaticamente
quando eles são ingeridos como parte de uma verificação
configurada
ou
editá-los
manualmente no portal de governança do
Microsoft Purview depois que eles são
examinados e ingeridos.
uniacademy.com.br
102
RÓTULO DE
CONFIDENCIALIDADE
Para fazer o trabalho deles, as pessoas em sua organização
colaboram com outras pessoas
dentro e fora da organização. Isso significa que o conteúdo não fica
mais atrás de um firewall , ele pode percorrer todos os lugares, entre
dispositivos, aplicativos e serviços. E quando ele percorre, você
deseja que ele faça isso de forma
segura e protegida que atenda às políticas de conformidade e
negócios da sua organização.
Os rótulos de confidencialidade da Proteção
Informações do Microsoft Purview permitem que você classifique e
proteja os dados da
organização, ao mesmo tempo que garante que a
produtividade do usuário e sua capacidade de colaboração não sejam
prejudicadas.
O exemplo a seguir do Excel mostra como os usuários
podem
ver
um
rótulo
de
confidencialidade aplicado da barra de janelas e
como eles podem alterar facilmente o rótulo usando a barra de
confidencialidade disponível com as versões mais recentes do Office.
Os rótulos também estão disponíveis no botão
Confidencialidade na guia Página Inicial da faixa de opções.
uniacademy.com.br
103
O exemplo a seguir do Excel mostra como os usuários
podem
ver
um
rótulo
de
confidencialidade aplicado da barra de janelas e
como eles podem alterar facilmente o rótulo usando a barra de
confidencialidade disponível com as versões mais recentes do Office.
Os rótulos também estão disponíveis no botão Confidencialidade na
guia Página Inicial da faixa de opções.
uniacademy.com.br
104
Quando
você
atribui
um
rótulo
de
confidencialidade a um conteúdo, isso é como um carimbo aplicado e
é:
Personalizável:
Específico
para
sua
organização e necessidades comerciais, você
pode criar categorias para diferentes níveis de conteúdo confidencial
na sua organização.
Por exemplo, Pessoal, Público, Geral,
Confidencial e Altamente Confidencial.
Texto não criptografado: Como um rótulo é armazenado em texto
não criptografado nos
metadado para arquivos e emails, aplicativos
e serviços de terceiros podem lê-lo e aplicar suas próprias ações de
proteção, se
necessário.Persistente: Como o rótulo é armazenado em metadados para
arquivos e emails, o rótulo
permanece com o conteúdo, não importa
onde seja salvo ou armazenado. A
identificação exclusiva do rótulo se torna a base para aplicar e impor
políticas que você configura.
uniacademy.com.br
105
uniacademy.com.br
106
DLP
As organizações têm informações confidenciais sob seu controle,
como dados financeiros, dados
proprietários, números de cartão de crédito, registros de integridade
ou números de
segurança social.
Para ajudar a proteger esses dados confidenciais
e reduzir o risco, eles precisam de uma maneira de impedir que seus
usuários os compartilhem inadequadamente com pessoas que não
deveriam tê-los. Essa prática é chamada de
prevenção contra perda de dados (DLP).
No Microsoft Purview, você implementa a
prevenção contra perda de dados definindo e aplicando políticas DLP.
uniacademy.com.br
107
Com uma política DLP, você pode identificar, monitorar e proteger
automaticamente itens
confidenciais em:
Serviços do Microsoft 365, como contas do
Teams, Exchange, SharePoint e OneDrive.
Aplicativos do Office como Word, Excel e
PowerPoint.
Windows 10, Windows 11 e macOS (três
versões
mais
recentes)
pontos
de
extremidade.
Aplicativos de nuvem não Microsoft.
Compartilhamentos de arquivos locais e
SharePoint local.
Power BI.
uniacademy.com.br
108
O DLP detecta itens confidenciais usando uma análise de conteúdo
profunda, não apenas por uma simples verificação de texto.
O conteúdo é analisado para correspondências de dados primários
com palavras-chave, pela
avaliação de expressões regulares, pela
validação
de
função
interna
e
por
correspondências de dados secundários que
estão próximas à correspondência de dados
primários.
Além disso, o DLP também usa algoritmos de machine learning e
outros métodos para detectar
conteúdo que corresponda às políticas de DLP.
uniacademy.com.br
109
Você pode aplicar políticas DLP a dados em repouso, dados em uso e
dados em movimento em locais, como:
Exchange Online email.
Sites do SharePoint Online.
Contas do OneDrive.
Bater papo e canal de mensagens do Teams.
Microsoft Defender for Cloud Apps.
Windows 10, Windows 11 e macOS (três
versões mais recentes).
Repositórios locais.
Power BI sites
uniacademy.com.br
110
GERENCIAMENTO DE
RISCO INTERNO
O Gerenciamento de Risco Interno do Microsoft Purview é uma
solução de conformidade que
ajuda a minimizar os riscos internos, permitindo que você detecte,
investigue e atue em
atividades mal-intencionadas e inadvertidas em sua organização.
As políticas de risco interno permitem que você defina os tipos de
riscos a serem identificados e detectados em sua organização,
incluindo a ação
em casos e o escalonamento de casos para a Descoberta Eletrônica
da Microsoft (Premium), se necessário.
Os analistas de risco em sua organização podem
executar rapidamente as ações apropriadas para garantir
que
os
usuários
estejam
em
conformidade com os padrões de conformidade
da sua organização.
uniacademy.com.br
111
O gerenciamento e a minimização de riscos na organização começam
com a compreensão dos
tipos de riscos encontrados no local de trabalho moderno. Alguns
riscos são impulsionados por eventos externos e fatores que estão
fora do controle direto. Outros riscos são impulsionados por eventos
internos e ações do usuário que podem ser minimizadas e evitadas.
Alguns
exemplos são riscos de comportamentos e ações
ilegais, inadequadas, não autorizadas ou
antiéticas dos usuários em sua organização.
Esses comportamentos incluem uma ampla gama
de riscos internos dos usuários:
Vazamentos de dados confidenciais e análise
de dados.
Violações de confidencialidade.
Direitos de Propriedade Intelectual (IP).
Fraude.
Informações privilegiadas.
Soluções de conformidade regulamentar.
uniacademy.com.br
112
AZURE POLICY
O Azure Policy ajuda a impor padrões
organizacionais e a avaliar a conformidade em escala. Por meio do
painel de conformidade, ele fornece uma exibição agregada para
avaliar o estado geral do ambiente, com a capacidade de drill down
para a granularidade por recurso, por política. Ele também ajuda a
deixar seus
recursos em conformidade por meio da correção em massa de
recursos existentes e da correção automática para novos recursos.
Casos de uso comuns do Azure Policy incluem implementar a
governança para consistência de recursos, conformidade regulatória,
segurança, custo e gerenciamento. As definições de política
para esses casos de uso comuns já estão
disponíveis em seu ambiente do Azure como
itens interno para ajudar você a começar a usar.
uniacademy.com.br
113
Especificamente, algumas ações úteis de
governança que você pode impor com o Azure Policy incluem:
Garantir que a equipe implante recursos do
Azure apenas em regiões permitidas.
Impor a aplicação consistente de marcas
taxonômicas.
Exigir que os recursos enviem logs de
diagnóstico a um workspace do Log
Analytics.
É importante reconhecer que, com a introdução do Azure Arc, você
pode estender a governança baseada em políticas para diferentes
provedores de nuvem e até mesmo para os datacenters
locais.
Todos os dados e objetos do Azure Policy são criptografados em
repouso.
uniacademy.com.br
114
O Azure Policy avalia os recursos e as ações no Azure comparando as
propriedades desses
https://learn.microsoft.com/pt-br/azure/azure-arc/overview
recursos com as regras de negócios. Essas regras
de negócio, descritas em Formato JSON, são
conhecidas como definições de política. Para simplificar o
gerenciamento, várias regras de negócio podem ser agrupadas para
formar uma iniciativa de política (às vezes chamada de policySet).
Depois que as regras de negócios tiverem sido formadas, a definição
ou a iniciativa da política será atribuída a qualquer escopo de
recursos compatível com o Azure, como grupos de
gerenciamento, assinaturas, grupos de recursos ou recursos
individuais.
A atribuição se aplica a todos os recursos dentro do escopo do
Resource Manager dessa
atribuição. Os subescopos podem ser excluídos, se necessário.
uniacademy.com.br
115
O Azure Policy usa um formato JSON para formar
a lógica que a avaliação usa para determinar se um recurso está em
conformidade.
As definições incluem metadados e a regra de política. A regra
definida pode usar funções, parâmetros, operadores lógicos,
condições e
aliases de propriedade para corresponder
exatamente ao cenário desejado. A regra de
política determina quais recursos no escopo da atribuição são
avaliados.
uniacademy.com.br
116
AZURE BLUEPRINTS
Assim como um blueprint permite que um
engenheiro ou arquiteto desenhe os parâmetros de um projeto, o
Azure Blueprints permite que arquitetos de nuvem e grupos centrais
de
tecnologia da informação definam um conjunto repetitivo de recursos
do Azure que implementa e adere aos padrões, padrões e requisitos
de uma organização.
O Azure Blueprints permite que as equipes de desenvolvimento criem
e iniciem novos
ambientes rapidamente, sabendo que eles são
criados de acordo com as especificações da
organização e contêm um conjunto de
componentes integrados, como redes, para
acelerar o desenvolvimento e a entrega.
uniacademy.com.br
117
O Blueprints é uma maneira declarativa de
orquestrar a implementação de vários modelos de recursos e outros
artefatos, como:
Atribuições de Funções.
Atribuições de Políticas.
Modelos do ARM (modelos do Azure Resource
Manager).
Grupos de recursos.
O serviço do Azure BluePrint é apoiado pelo
Azure Cosmos DB distribuído globalmente.
Objetos de blueprint são replicados para várias regiões do Azure.
Essa replicação oferece baixa latência, alta disponibilidade e acesso
consistente a seus
objetos de blueprint, independentemente de em qual região o Azure
Blueprints implanta seus recursos.
uniacademy.com.br
118
CONCLUSÃO
Nesta conclusão, após percorrer todo o
conteúdo deste livro preparatório para a
certificação SC-900 da Microsoft, você
alcançouum conhecimento sólido e
https://learn.microsoft.com/pt-br/azure/cosmos-db/introduction
abrangente sobre os fundamentos de
segurança, conformidade e identidade na
nuvem. Parabéns por ter se dedicado a
aprofundar seus conhecimentos nessa área
em constante evolução.
Ao longo deste livro, exploramos os
principais conceitos e práticas relacionados
à segurança de dados, gerenciamento de
identidade, privacidade e conformidade
dentro do ecossistema do Microsoft 365 e
Azure. Você aprendeu sobre as diversas
soluções de segurança oferecidas pela
Microsoft, incluindo recursos como Azure
Active
Directory,
Azure
Information
Protection e Microsoft Defender.
uniacademy.com.br
119
Esperamos que o conhecimento adquirido
aqui não apenas o ajude a passar no exame de certificação SC-900,
mas também a
aplicar esses conceitos no mundo real. A
segurança cibernética é uma preocupação
global cada vez mais relevante, e você está agora preparado para
enfrentar os desafios e
contribuir para a proteção dos dados e da
infraestrutura de TI em seu ambiente de
trabalho.
Lembre-se de que a aprendizagem é um
processo contínuo. À medida que novas
tecnologias
e
ameaças
emergem,
é
fundamental estar atualizado e sempre
buscar aprimorar suas habilidades e
conhecimentos.
Continue
explorando
recursos e oportunidades de aprendizado
oferecidos pela Microsoft e pela comunidade
de profissionais de segurança.
uniacademy.com.br
120
Espero que o conhecimento adquirido aqui
não apenas o ajude a passar no exame de
certificação SC-900, mas também a aplicar
esses conceitos no mundo real. A segurança
cibernética é uma preocupação global cada
vez mais relevante, e você está agora
preparado para enfrentar os desafios e
contribuir para a proteção dos dados e da
infraestrutura de TI em seu ambiente de
trabalho.
Lembre-se de que a aprendizagem é um
processo contínuo. À medida que novas
tecnologias
e
ameaças
emergem,
é
fundamental estar atualizado e sempre
buscar aprimorar suas habilidades e
conhecimentos.
Desejo sucesso em sua jornada profissional e
que você possa colher os frutos desse
investimento em seu desenvolvimento. Boa
sorte no exame de certificação SC-900 e em suas futuras conquistas
na área de segurança
da Microsoft. Mantenha-se atualizado e
nunca pare de aprender!
Um grande abraço do seu amigo,
Wellington Agápto
uniacademy.com.br
QUER
APRENDER
MAIS?
Conheça meus treinamentos
preparatórios para
Certificações Microsoft
Simulados de Bônus
Acesso vitalício
CLIQUE AQUI
https://uniacademy.com.br/a um roteador para acessar a
Internet, a criptografia ajuda a torná-lo
seguro.
Você pode usá-lo para proteger e proteger
arquivos no armazenamento externo ou
interno.
uniacademy.com.br
15
Os smartphones mudaram a maneira como
nos comunicamos, de chamadas de vídeo e
áudio para mensagens de texto. A criptografia
é usada para manter a confidencialidade e a integridade dessas
comunicações.
Assim como em todos os sistemas, a criptografia tem a própria
linguagem de termos e frases. Dois
dos mais importantes são texto não criptografado
e texto cifrado.
O termo texto não criptografado representa qualquer mensagem,
incluindo documentos,
música, imagens, filmes, dados e programas
de computador, aguardando para serem
transformados criptograficamente.
Quando o texto não criptografado é
transformado em uma mensagem secreta, ele
é chamado de texto cifrado. Esse termo representa
os
dados
criptografados/protegidos.
uniacademy.com.br
16
CONFORMIDADE
A área de tecnologia da informação deve dar suporte a diversas áreas
de negócios para que atendam a demandas específicas, evitando, por
exemplo, que a empresa fique vulnerável a
multas. Registros para auditoria fiscal, padrões de pagamento
eletrônico, proteção de dados etc.
estão entre os grupos de regras aos quais as tecnologias oferecem
suporte.
O compliance em TI significa adotar as práticas de uso da tecnologia
que permitam não apenas promover
desempenho
eficiente,
integrar
diferentes plataformas, mas também cumprir as regras específicas de
cada segmento de negócio.
Aplicada à segurança da informação, a
conformidade significa tanto o cumprimento da política de segurança
peculiar a cada empresa (política de segurança), quanto o respeito
aos padrões específicos da indústria à qual a empresa está vinculada.
uniacademy.com.br
17
DEFINIR CONCEITOS
DE IDENTIDADE
De acordo com o Gartner, a Gestão de
identidades e acesso (IAM) é a disciplina de segurança que permite
que os indivíduos
certos acessem os recursos certos, nos
momentos certos, pelos motivos certos. O
IAM atende à necessidade de missão crítica
de garantir o acesso apropriado a recursos
em ambientes de tecnologia cada vez mais
heterogêneos.
As empresas costumavam usar software IAM
local para gerenciar identidades e políticas de acesso, mas hoje em
dia, à medida que as empresas adicionam mais serviços em nuvem
a seus ambientes, o processo de gestão de
identidades está ficando mais complexo.
Portanto, adotar soluções de identidade como
serviço (IDaaS) baseadas em nuvem e IAM em
nuvem torna-se uma etapa lógica.
uniacademy.com.br
18
O IAM na nuvem normalmente inclui os seguintes
recursos:
Interface de controle de acesso único: As soluções IAM na
nuvem fornecem uma
interface de controle de acesso limpa e
consistente para todos os serviços de
plataforma em nuvem. A mesma interface
pode ser usada para todos os serviços em
nuvem.
Segurança aprimorada: Você pode definir maior segurança para
aplicações críticas.
Controle de acesso em nível de recurso: Você pode definir
funções e conceder permissões
aos usuários para acessar recursos em
diferentes níveis de granularidade.
uniacademy.com.br
19
AUTENTICAÇÃO
Um dos principais recursos de uma plataforma de
identidade é verificar ou autenticar as
credenciais quando um usuário entra em um
dispositivo, um aplicativo ou um serviço. No Azure AD (Azure Active
Directory), a autenticação envolve mais do que apenas a verificação
de um nome de usuário e uma senha. Para aprimorar a segurança e
reduzir a necessidade de suporte técnico, a autenticação do Azure AD
inclui os seguintes componentes:
Redefinição de senha de autoatendimento.
Autenticação multifator do Azure AD.
Integração híbrida para o write-back de
alterações de senha no ambiente local.
Integração híbrida para imposição de
políticas de proteção de senha em um
ambiente local.
Autenticação sem senha.
uniacademy.com.br
20
AUTORIZAÇÃO
Autorização é o ato de conceder a uma parte autenticada a
permissão para fazer algo. Ele especifica quais dados você tem
permissão para acessar e o que pode fazer com esses dados. Às
vezes, a autorização é abreviada para AuthZ. A plataforma de
identidade da Microsoft utiliza o protocolo OAuth 2.0 para processar a
autorização.
Autenticação multifator
A autenticação multifator é o ato de fornecer um
fator adicional de autenticação a uma conta. Ela costuma ser usada
como proteção contra ataques
de força bruta. Às vezes, o termo é abreviado como MFA ou 2FA. O
Microsoft Authenticator
pode ser usado como um aplicativo para lidar com a autenticação de
dois fatores.
uniacademy.com.br
21
AZURE AD
O Azure AD (Azure Active Directory) é um serviço
de gerenciamento de identidade e acesso
baseado em nuvem. O Azure AD permite que seus
funcionários acessem recursos externos, como o Microsoft 365, o
portal do Azure e milhares de outros aplicativos SaaS. O Azure Active
Directory também ajuda a acessar os recursos internos, como
aplicativos na intranet corporativa e com os aplicativos de nuvem
desenvolvidos para sua própria organização. Para saber como criar
um locatário, confira Início Rápido: criar um novo locatário no Azure
Active Directory.
Serviços comerciais do Microsoft Online, como o Microsoft 365 ou o
Microsoft Azure, usam o Azure
AD para atividades de entrada e para ajudar a proteger suas
identidades.
Para aprimorar a implementação do Azure AD, também é possível
adicionar recursos pagos
atualizando para as licenças do Azure Active Directory Premium P1 ou
Premium P2. As
licenças pagas do Azure AD são criadas no
diretório gratuito existente. As licenças fornecem autoatendimento,
monitoramento aprimorado,
relatórios de segurança e acesso seguro para seus usuários móveis.
uniacademy.com.br
22
LICENÇAS DO AZURE AD
Azure Active Directory Gratuito. Fornece gerenciamento de
usuários e de grupos,
sincronização de diretório local, relatórios
básicos, autoatendimento para alteração de
senha e logon único no Azure, no Microsoft 365 e
em muitos aplicativos SaaS populares.
Azure Active Directory Premium P1. Além dos recursos gratuitos,
o P1 também permite que seus usuários híbridos acessem recursos
locais e de nuvem. Ele também dá suporte à
administração avançada, como grupos dinâmicos,
gerenciamento de grupos de autoatendimento,
Microsoft Identity Manager e recursos de write-back de nuvem, que
permitem a redefinição de senha por autoatendimento para os
usuários
locais.
uniacademy.com.br
23
LICENÇAS DO AZURE AD
Azure Active Directory Premium P2: Além dos recursos nos
planos Gratuito e P1, o P2 também
oferece o Azure Active Directory Identity
Protection, a fim de fornecer Acesso Condicional
baseado em risco para seus aplicativos e dados críticos da empresa,
e o Privileged Identity Management, para ajudar a descobrir,
restringir e monitorar os administradores e o acesso deles a recursos
e fornecer acesso Just-In-Time quando for necessário.
Licenças de recurso de "Pagamento conforme o uso": Você
também pode obter licenças para recursos como o Azure Active
Directory B2C
(Entre empresa e consumidor). O B2C pode ajudar
você a fornecer soluções de gerenciamento de acesso e identidade
para seus aplicativos
voltados ao cliente.
uniacademy.com.br
https://learn.microsoft.com/PT-BR/azure/active-directory/identity-protection/overview-identity-protection
https://learn.microsoft.com/PT-BR/azure/active-directory/identity-protection/overview-identity-protection
24
AD FS
O AD FS fornece recursos simplificados e seguros
de federação de identidade e de logon único (SSO) da Web. A
federação com o Azure AD ou o O365 habilita os usuários a se
autenticar usando credenciais locais e acessar todos os recursos na
nuvem. Como resultado, é importante ter uma infraestrutura
altamente disponível do AD FS
para garantir o acesso a recursos locais e na nuvem. Implantar o AD
FS no Azure pode ajudar a
atingir a alta disponibilidade necessária com esforço mínimo. Há
várias vantagens na
implantação do ADFS no Azure. Algumas delas são listadas abaixo:
Alta disponibilidade: com a tecnologia de Conjuntos de
Disponibilidade do Azure, você
garante
uma
infraestrutura
altamente
disponível.
Fácil de dimensionar: precisa de mais desempenho?
Migre
facilmente
para
computadores mais eficientes com apenas
alguns cliques no Azure
uniacademy.com.br
25
AD FS
Redundância geográfica cruzada: com a
Redundância Geográfica do Azure, você pode
ter certeza de que sua infraestrutura é
altamente disponível em todo o mundo.
Fácil de gerenciar: com opções de
gerenciamento altamente simplificado no
portal do Azure, o gerenciamento da
infraestrutura é muito fácil e não tem
complicações.
ARQUITETURA
uniacademy.com.br
26
O diagrama acima mostra a topologia básica
recomendada para começar a implantar a
infraestrutura do AD FS no Azure. Os princípios por trás dos vários
componentes da topologia são
listados abaixo:
Servidores de AD FS/DC: se tiver menos de 1.000
usuários, você pode simplesmente instalar a
função do AD FS nos controladores de domínio.
Se não quiser que haja impacto no desempenho nos controladores de
domínio ou se tiver mais de
1.000 usuários, implante o AD FS em servidores separados.
Servidor WAP é necessário implantar servidores de Proxy de
Aplicativo Web para que os usuários também possam acessar o AD
FS quando não
estiverem na rede da empresa.
Rede de Perímetro: os servidores de Proxy de Aplicativo Web serão
colocados na rede de
perímetro, e o acesso TCP/443 só será permitido entre a rede de
perímetro e a sub-rede interna.
Balanceadores de Carga: para garantir a alta disponibilidade do
AD FS e dos servidores de Proxy de Aplicativo Web, é recomendável
usar um balanceador de carga interno para servidores do AD FS e o
Azure Load Balancer para servidores
Proxy de Aplicativo Web.
uniacademy.com.br
27
Conjuntos de disponibilidade: para fornecer redundância para
sua implantação do AD FS, é recomendável agrupar duas ou mais
máquinas
virtuais em um Conjunto de Disponibilidade para cargas
de
trabalho
semelhantes.
Essa
configuração garante que durante um evento de manutenção
planejada ou não planejada, pelo
menos uma máquina virtual esteja disponível.
Contas de armazenamento: é recomendável ter duas contas de
armazenamento. Ter uma única conta de armazenamento pode levar
à criação de
um ponto único de falha e pode fazer com que a
implantação fique indisponível em um cenário improvável, em que a
conta de armazenamento fica inativa. Duas contas de
armazenamento
ajudarão a associar uma conta de armazenamento
a cada linha de falha.
Segregação de rede: é necessário implantar os servidores Proxy de
aplicativo Web em uma rede de DMZ separada. Você pode dividir
uma rede virtual em duas sub-redes e implantar servidores de Proxy
de Aplicativo Web em uma sub-rede isolada. Você pode simplesmente
definir as
configurações de grupo de segurança de rede para cada sub-rede e
permitir somente a
comunicação necessária entre as duas sub-redes.
uniacademy.com.br
28
DESCREVER AS
FUNCIONALIDADE
S DO MICROSOFT
AZURE AD
(AZURE ACTIVE
DIRECTORY),
PARTE DO
MICROSOFT
ENTRA
29
ACTIVE DIRECTORY NO LOCAL
Um diretório é uma estrutura hierárquica que armazena informações
sobre os objetos na rede.
Um serviço de diretório, como o AD DS (Active Directory Domain
Services), fornece os métodos necessários para armazenar dados de
diretório e disponibilizá-los para administradores e usuários de rede.
Por exemplo, o AD DS armazena
informações sobre contas de usuário, como
nomes, senhas, números de telefone etc., e
permite que outros usuários autorizados da
mesma rede acessem essas informações.
O Active Directory armazena informações sobre objetos na rede e
torna essas informações fáceis de
serem
encontradas
e
usadas
por
administradores e usuários. O Active Directory usa um
armazenamento de dados estruturado
como base para uma organização lógica e
hierárquica de informações de diretório.
Esse armazenamento de dados, também
conhecido como diretório, contém informações
sobre os objetos do Active Directory. Esses objetos
normalmente
incluem
recursos
compartilhados, como servidores, volumes,
impressoras, além das contas de usuário e de computador da rede.
uniacademy.com.br
30
ACTIVE DIRECTORY NO LOCAL
O Active Directory também inclui:
Um conjunto de regras, o esquema, que
define as classes de objetos e atributos
contidos no diretório, as restrições e os
limites nas instâncias desses objetos e o
formato dos nomes.
Um catálogo global que contém informações
sobre todos os objetos do diretório. Isso
permite que os usuários e os administradores encontrem
informações
do
diretório,
independentemente do domínio no diretório
que realmente contenha os dados.
uniacademy.com.br
31
Um mecanismo de consulta e índice, de
maneira que os objetos e as respectivas
propriedades possam ser publicadas e
encontradas por aplicativos ou usuários da
rede.
Um serviço de replicação que distribui os
dados do diretório por meio de uma rede.
Todos os controladores de domínio de um
domínio participam da replicação e contêm
uma cópia completa de todas as informações
de diretório do respectivo domínio. Qualquer alteração nos dados do
diretório é replicada em todos os controladores de domínio.
uniacademy.com.br
32
TIPOS DE IDENTIDADE
GERENCIADA
Um desafio comum para desenvolvedores é o
gerenciamento
de
segredos,
credenciais,
certificados e chaves usados para proteger a comunicação entre
serviços. As identidades
gerenciadas eliminam a necessidade de os
desenvolvedores gerenciarem essas credenciais.
Embora os desenvolvedores possam armazenar
com segurança os segredos no Azure Key Vault,
os serviços precisam de uma forma de acessar o Azure Key Vault. As
identidades gerenciadas
fornecem uma identidade automaticamente
gerenciada no Azure Active Directory (Azure AD) para os aplicativos
usarem ao se conectarem a recursos que dão suporte à autenticação
do Azure
AD.
Os
aplicativos
podem
usar
identidades
gerenciadas para obter tokens do Azure AD sem ter que gerenciar
credenciais.
uniacademy.com.br
33
https://learn.microsoft.com/pt-br/azure/key-vault/general/overview
Há dois tipos de identidades gerenciadas:
Atribuída pelo sistema: Alguns recursos do Azure, como máquinas
virtuais, permitem a
habilitação de uma identidade gerenciada
diretamente no recurso. Ao habilitar uma
identidade gerenciada atribuída pelo sistema:
Uma entidade de serviço de um tipo
especial é criada no Azure AD para a
identidade. A entidade de serviço é
vinculada ao ciclo de vida desse recurso
do Azure. Quando o recurso do Azure é
excluído, o Azure exclui a entidade de
serviço automaticamente.
Por design, somente o recurso do Azure
pode usar essa identidade para solicitar
tokens do Azure AD.
Você autoriza a identidade gerenciada a
ter acesso a um ou mais serviços.
O nome da entidade de serviço atribuída
pelo sistema é sempre idêntico ao nome
do recurso do Azure para o qual ela foi
criada. Em um slot de implantação, o
nome da identidade atribuída ao sistema é
/slots/.
uniacademy.com.br
34
Atribuída pelo usuário: Você também pode criar uma identidade
gerenciada como um
recurso autônomo do Azure. Você pode criar
uma identidade gerenciada atribuída pelo
usuário e atribuí-la a um ou mais Recursos do
Azure. Ao habilitar uma identidade gerenciada
atribuída pelo usuário:
Uma entidade de serviço de um tipo
especial é criada no Azure AD para a
identidade. A entidade de serviço é
gerenciada separadamente dos recursos
que a utilizam.
As identidades atribuídas pelo usuário
podem ser usadas por vários recursos.
https://learn.microsoft.com/pt-br/azure/active-directory/managed-identities-azure-resources/how-to-manage-ua-identity-portal
https://learn.microsoft.com/pt-br/azure/active-directory/managed-identities-azure-resources/how-to-manage-ua-identity-portal
https://learn.microsoft.com/pt-br/azure/active-directory/managed-identities-azure-resources/how-to-manage-ua-identity-portalVocê autoriza a identidade gerenciada a
ter acesso a um ou mais serviços.
uniacademy.com.br
35
IDENTIDADE HÍBRIDA COM O
AZURE ACTIVE DIRECTORY
Hoje, as empresas e corporações estão se
tornando cada vez mais uma mistura de
aplicativos locais e na nuvem. Os usuários
precisam ter acesso local e na nuvem a esses aplicativos. Gerenciar
usuários locais e na nuvem apresenta cenários desafiadores.
As soluções de identidade da Microsoft abrangem
funcionalidades locais e baseadas em nuvem.
Essas soluções criam uma identidade de usuário comum para
autenticação e autorização para
todos os recursos, independentemente da
localização. Chamamos isso de identidade
híbrida.
A identidade híbrida é realizada por meio de provisionamento
e
sincronização.
O
provisionamento é o processo de criação de um objeto com base em
determinadas condições,
mantendo o objeto atualizado e excluindo o
objeto quando as condições não são mais
atendidas. Além disso, é responsável por garantir que as informações
de identidade dos usuários e grupos locais correspondam às da
nuvem.
uniacademy.com.br
36
IDENTIDADES EXTERNAS NO
AZURE ACTIVE DIRECTORY
O recurso Identidades Externas do Azure AD
refere-se a todas as maneiras pelas quais você pode interagir com
usuários fora da organização com segurança. Se você quiser
colaborar com parceiros,
distribuidores
ou
fornecedores,
compartilhe seus recursos e defina como os
usuários internos poderão acessar organizações externas. Se você é
um desenvolvedor que cria aplicativos voltados para o consumidor,
pode gerenciar as experiências de identidade dos
clientes.
Com identidades externas, os usuários externos podem "trazer suas
próprias identidades". Se eles tiverem uma identidade digital emitida
pela
empresa ou pelo governo ou uma identidade
social não gerenciada, como o Google ou o
Facebook, eles poderão usar as próprias
credenciais para entrar. O provedor de identidade do usuário externo
gerencia a identidade dele e você gerencia o acesso aos seus
aplicativos com o Azure AD ou o Azure AD B2C para manter seus
recursos protegidos.
uniacademy.com.br
37
As seguintes funcionalidades compõem
identidades externas:
Colaboração B2B: Colabore com usuários externos deixando que
eles usem a
identidade preferida para entrar nos
aplicativos Microsoft ou em outros aplicativos
empresariais (aplicativos SaaS, aplicativos
personalizados
etc.).
Os
usuários
de
colaboração B2B são representados em seu
diretório,
normalmente
como
usuários
convidados.
Conexão direta B2B: estabeleça uma relação de confiança mútua e
de duas vias com outra organização do Azure AD para colaboração
contínua. Atualmente, o B2B Direct Connect
dá suporte Teams canais compartilhados,
permitindo que usuários externos acessem
seus recursos de dentro de suas instâncias de
Teams. Os usuários do B2B Direct Connect
não são representados em seu diretório, mas são visíveis de dentro
do canal compartilhado
Teams e podem ser monitorados em relatórios
Teams centro de administração.
uniacademy.com.br
38
Azure AD B2C: Publique aplicativos SaaS
modernos ou aplicativos personalizados
(exceto
aplicativos
Microsoft)
para
consumidores e clientes, enquanto usa o
Azure AD B2C para gerenciamento de
identidades e acesso.
Organização multilocatário do Azure AD:
Colabore com vários locatários em uma única organização do Azure
AD por meio da
sincronização entre locatários.
uniacademy.com.br
39
MÉTODOS DE AUTENTICAÇÃO
DO AZURE AD
A Microsoft recomenda métodos de autenticação sem senha, como
Windows Hello, chaves de
segurança FIDO2 e o aplicativo Microsoft
Authenticator
porque
eles
oferecem
a
experiência de entrada mais segura. Embora um usuário possa entrar
usando outros métodos
comuns, como nome de usuário e senha, as
senhas devem ser substituídas por métodos de autenticação mais
seguros.
Segue alguns métodos de autenticação:
Windows Hello for Business
Aplicativo Microsoft Authenticator
Chave de segurança FIDO2
Autenticação baseada em certificado
Tokens de hardware OATH (versão prévia)
Tokens de software OATH
Entrada e verificação de SMS
Verificação por chamada de voz
uniacademy.com.br
https://learn.microsoft.com/pt-br/windows/security/identity-protection/hello-for-business/hello-overview
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-authentication-authenticator-app
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-authentication-passwordless#fido2-security-keys
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-certificate-based-authentication
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-authentication-oath-tokens#oath-hardware-tokens-preview
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-authentication-oath-tokens#oath-software-tokens
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/howto-authentication-sms-signin
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-authentication-phone-options#mobile-phone-verification
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-authentication-phone-options
40
Os seguintes métodos de verificação adicionais podem ser usados em
determinados cenários:
Senhas de aplicativo: são usadas para aplicativos antigos que não
são compatíveis
com a autenticação moderna e podem ser
configuradas para a autenticação multifator
do Azure AD por usuário.
Perguntas de segurança: usadas somente para a SSPR.
Endereço de email: usado somente para a SSPR.
uniacademy.com.br
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/howto-mfa-app-passwords
https://learn.microsoft.com/pt-br/azure/active-directory/authentication/concept-sspr-howitworks#authentication-methods
41
AUTENTICAÇÃO MULTIFATOR
DO AZURE AD
Pelo processo de autenticação multifator é
solicitado
ao
usuário
outra
forma
de
identificação durante a entrada, como inserir um código no celular ou
digitalizar a impressão digital.
Se você usar apenas uma senha para autenticar um usuário, isso
deixará um vetor inseguro para ataque. Se a senha for fraca ou tiver
sido exposta em outro lugar, um invasor poderá usá-la para obter
acesso indevido. Quando você exige uma segunda forma de
autenticação, a segurança é aprimorada porque esse fator adicional
não é algo fácil de ser obtido ou duplicado por um invasor.
uniacademy.com.br
42
A Autenticação Multifator do Azure AD funciona exigindo dois ou mais
dos seguintes métodos de autenticação:
Algo que você sabe, normalmente, uma senha.
Algo que você tem, como um dispositivo confiável que não seja
facilmente duplicado, como um telefone ou uma chave de hardware.
Algo que você é: uma biometria, como uma impressão digital ou
uma verificação facial.
uniacademy.com.br
43
Métodos de verificação disponíveis
Quando os usuários entram em um aplicativo ou serviço e recebem
um prompt de MFA, eles
podem escolher uma das formas registradas de verificação adicional.
Os usuários podem acessar o Meu perfil para editar ou adicionar
métodos de
verificação.
É possível usar estas formas de verificação adicional com a
Autenticação Multifator do Azure
AD:
Microsoft Authenticator
Autenticador Lite (no Outlook)
Windows Hello for Business
Chave de segurança FIDO2
Token de hardware OATH (versão prévia)
Token de software OATH
sms
Chamada de voz
uniacademy.com.br
44
SSPR (REDEFINIÇÃO DE SENHA
POR AUTOATENDIMENTO)
A
SSPR
(redefinição
de
senha
por
autoatendimento) do Microsoft Azure AD (Active Directory) dá aos
usuários a capacidade de
alterar ou redefinir a senha, sem envolvimento do administrador ou
do suporte técnico.
Se a conta de um usuário for bloqueada pelo Azure AD ou se ele
esquecer a senha, ele poderá seguir os avisos para desbloquear a si
mesmo e voltar ao trabalho.
Essa capacidade reduz as chamadas de suporte técnico e a perda de
produtividade quandoum usuário não consegue entrar no dispositivo
ou em um aplicativo.
uniacademy.com.br
45
ACESSO CONDICIONAL
O perímetro de segurança moderno agora se
estende para além da rede de uma organização para incluir a
identidade do usuário e do
dispositivo. As organizações podem usar esses sinais de identidade
como parte de suas decisões
de controle de acesso.
O acesso condicional reúne sinais para tomar decisões e impor
políticas organizacionais. O
Acesso Condicional do Azure Active Directory está no centro do novo
plano de controle
controlado por identidade.
uniacademy.com.br
46
Em sua definição mais simples, as políticas de acesso condicional são
instruções if-then, se um usuário quiser acessar um recurso, então
ele deverá concluir uma ação. Exemplo: um gerente de folha de
pagamento deseja acessar o
aplicativo de folha de pagamento e deve a fazer autenticação
multifator para acessá-lo.
uniacademy.com.br
47
Os administradores enfrentam dois objetivos
principais:
Capacitar os usuários para serem produtivos sempre e em qualquer
lugar.
Proteger os ativos da organização.
Use as políticas de Acesso Condicional, para aplicar os controles de
acesso certos, quando necessário, para manter sua organização
segura.
uniacademy.com.br
48
FUNÇÕES DO AZURE AD
No Azure AD (Azure Active Directory), se outro administrador ou não
administrador precisar
gerenciar recursos do Azure AD, atribua a ele uma função do Azure
AD que forneça as
permissões necessárias.
Por exemplo, você pode atribuir funções para permitir a adição ou
alteração de usuários, a redefinição
de
senhas
de
usuário,
o
gerenciamento de licenças de usuário ou o
gerenciamento de nomes de domínio.
Funções internas do Azure AD podem ser
atribuídas para permitir o gerenciamento de
recursos do Azure AD.
uniacademy.com.br
49
RBAC DO AZURE (CONTROLE
DE ACESSO BASEADO EM
FUNÇÃO DO AZURE)
O gerenciamento de acesso para recursos de
nuvem é uma função crítica para qualquer
organização que esteja usando a nuvem. O RBAC
do Azure (controle de acesso baseado em funções
do Azure) ajuda a gerenciar quem tem acesso aos
recursos do Azure, o que pode fazer com esses recursos e a quais
áreas tem acesso.
O RBAC do Azure é um sistema de autorização baseado no Azure
Resource Manager que fornece gerenciamento de acesso refinado
para recursos do Azure.
Como o RBAC do Azure funciona
A maneira de controlar o acesso aos recursos usando o RBAC do
Azure é atribuir funções do Azure. Esse é um conceito fundamental
que deve
ser entendido: como as permissões são aplicadas.
Uma atribuição de função consiste em três
elementos: entidade de segurança, definição de função e escopo.
uniacademy.com.br
50
O que posso fazer com o RBAC do Azure?
Aqui estão alguns exemplos do que você pode fazer com o RBAC do
Azure:
Permitir que um usuário gerencie máquinas
virtuais em uma assinatura e outro usuário
gerencie redes virtuais.
Permitir que um grupo de DBA gerencie
bancos de dados SQL em uma assinatura.
Permitir que um usuário gerencie todos os
recursos em um grupo de recursos, como
https://learn.microsoft.com/pt-br/azure/azure-resource-manager/management/overview
máquinas virtuais, sites e sub-redes.
Permitir que um aplicativo acesse todos os
recursos em um grupo de recursos.
uniacademy.com.br
51
GOVERNANÇA DE IDENTIDADE
A governança de identidade do Microsoft Entra permite que você
equilibre a necessidade da sua organização de segurança e
produtividade dos funcionários com os processos e a visibilidade.
Ele fornece recursos para garantir que as pessoas certas tenham o
acesso certo aos recursos certos.
Esses recursos e aqueles relacionados ao Azure AD e Enterprise
Mobility + Security permitem que
você reduza o risco de acesso, protegendo,
monitorando e auditando o acesso a ativos
críticos, garantindo, ao mesmo tempo, a
produtividade dos funcionários e dos parceiros empresariais.
O Identity Governance dá às organizações a
capacidade de fazer as seguintes tarefas entre funcionários,
parceiros
empresariais
e
fornecedores, entre serviços e aplicativos,
localmente e em nuvens:
Controlar o ciclo de vida de identidade.
Controlar o ciclo de vida de acesso.
Proteger o acesso privilegiado para
administração.
uniacademy.com.br
52
Especificamente,
destina-se
a
ajudar
as
organizações a abordar estas quatro perguntas importantes:
Quais usuários devem ter acesso a quais
recursos?
O que esses usuários estão fazendo com esse acesso?
Existem controles organizacionais em vigor
para gerenciar o acesso?
Auditores podem verificar se os controles
estão funcionando?
uniacademy.com.br
53
REVISÕES DE ACESSO
Revisões de Acesso do Azure AD (Azure Active Directory), parte do
Microsoft Entra permitem que as organizações gerenciem com
eficiência as
associações a grupos, o acesso a aplicativos empresariais e a
atribuições de função. O acesso do usuário pode ser examinado
regularmente
para garantir que somente as pessoas corretas tenham acesso
contínuo.
O Azure AD permite que você colabore com
usuários de dentro de sua organização e com usuários externos. Os
usuários podem ingressar em grupos, convidar pessoas, conectar-se
aos aplicativos de nuvem e trabalhar remotamente com seus
dispositivos pessoais ou de trabalho. A conveniência de usar o
autoatendimento levou a uma necessidade de melhores recursos de
gerenciamento de acesso.
Conforme novos funcionários ingressam,
como garantir que eles tenham o acesso de
que precisam para serem produtivos?
Quando as pessoas mudam de equipes ou
saem da empresa, como garantir que seu
antigo acesso seja removido?
uniacademy.com.br
54
Direitos de acesso excessivos podem levar a
comprometimentos.
Eles também podem levar a descobertas em
auditorias, pois indicam uma falta de controle
sobre o acesso.
Você tem que se envolver proativamente com
os proprietários do recurso para garantir que
eles revisam regularmente quem tem acesso a
seus recursos.
uniacademy.com.br
55
AZURE AD PRIVILEGED
IDENTITY MANAGEMENT
O PIM (Privileged Identity Management) é um serviço no Azure AD
(Azure Active Directory) que permite gerenciar, controlar e monitorar
o acesso a importantes recursos na sua organização. Esses
recursos incluem os recursos no Azure AD, no Azure e em outros
Microsoft Online Services, como o Microsoft 365 ou o Microsoft
Intune. O
vídeo a seguir explica os principais conceitos e recursos do PIM.
As empresas desejam minimizar o número de
pessoas que têm acesso a informações seguras ou recursos, porque
isso reduz a chance de
Um usuário mal-intencionado obter esse tipo
de acesso.
Um usuário autorizado inadvertidamente
afetar um recurso confidencial.
uniacademy.com.br
56
No entanto, os usuários ainda precisam executar operações
privilegiadas em aplicativos do Azure AD, Azure, Microsoft 365 ou
SaaS.
As organizações podem dar aos usuários o acesso
privilegiado just-in-time aos recursos do Azure e do Azure AD, além
de poderem supervisionar o que esses usuários estão fazendo com
seu acesso
privilegiado.
uniacademy.com.br
57
PROTEÇÃO DE IDENTIDADE
O
Identity
Protection
permite
que
as
organizações executem três tarefas importantes:
Automatizar a detecção e a correção de riscos
baseados em identidade.
Investigar os riscos usando os dados no
portal.
Exportar dados de detecção de risco para
outras ferramentas.
uniacademy.com.br
58
O Identity Protection usa os aprendizados que a Microsoft adquiriu
com sua posição em
organizações com o Azure Active Directory, com o espaço do
consumidor nas Contas Microsoft e com os jogos do Xbox para
proteger seus
usuários.
A Microsoft analisa trilhões de sinais por dia para identificar e
proteger os clientes contra ameaças.
Os sinais gerados pelo Identidade Protection e fornecidos a ele
podem ser alimentados
posteriormente em ferramentas como o Acesso
Condicional para tomar decisões de acesso ou retroalimentar
uma
ferramenta
de
SIEM
(gerenciamento de eventos e informações de
segurança)
parauma
investigação
mais
detalhada.
uniacademy.com.br
59
DESCREVER AS
FUNCIONALIDADES
DAS SOLUÇÕES DE
SEGURANÇA DA
MICROSOFT
60
PROTEÇÃO CONTRA DDOS
DO AZURE
Ataques de DDoS (negação de serviço distribuído)
são uma das maiores preocupações de
disponibilidade e de segurança enfrentadas pelos
clientes que estão migrando seus aplicativos para a nuvem.
Um ataque de DDoS tenta esgotar os recursos de
um aplicativo, fazendo com que o aplicativo fique indisponível para
usuários legítimos.
Ataques de DDoS podem ser direcionadas a
qualquer ponto de extremidade publicamente
acessível pela Internet.
uniacademy.com.br
61
A Proteção contra DDoS do Azure, combinada
com as práticas recomendadas de design de
aplicativos, oferece recursos aprimorados de
mitigação de DDoS para a defesa contra ataques de DDoS. Se ajusta
automaticamente para
proteger os recursos específicos do Azure em uma rede virtual.
É muito simples habilitar a proteção em qualquer
rede virtual nova ou existente, e ela não exige nenhum aplicativo ou
alterações de recursos.
uniacademy.com.br
62
FIREWALL DO AZURE
O Firewall do Azure é um serviço de segurança de firewall de rede
inteligente e nativo de nuvem que fornece o que há de melhor em
proteção contra ameaças para suas cargas de trabalho de nuvem em
execução no Azure. Trata-se de um firewall como serviço, totalmente
com estado, de
alta disponibilidade interna e escalabilidade de nuvem irrestrita.
Ele fornece inspeção de tráfego de leste a oeste e de norte a sul.
Para saber o que é o tráfego leste-oeste e norte-sul, confira Tráfego
leste-oeste e norte-sul.
O Firewall do Azure é oferecido em três SKUs: Standard, Premium e
Basic.
uniacademy.com.br
63
Firewall do Azure Standard
O Firewall do Azure Standard fornece filtragem L3-L7 e feeds de
inteligência contra ameaças diretamente da Segurança Cibernética da
Microsoft. A filtragem baseada em inteligência contra ameaças pode
alertar e negar o tráfego de/para domínios e endereços IP mal-
intencionados conhecidos que são atualizados
em tempo real para proteger contra ataques
novos e emergentes.
uniacademy.com.br
64
FIREWALL DO APLICATIVO
WEB DO AZURE
O WAF (Firewall do Aplicativo Web) fornece
proteção centralizada de seus aplicativos Web contra vulnerabilidades
e explorações comuns.
Os aplicativos Web cada vez mais são alvos de ataques
mal-intencionados
que
exploram
vulnerabilidades conhecidas comuns.
A injeção de SQL e o script entre sites estão entre os ataques mais
comuns.
uniacademy.com.br
65
A prevenção de tais ataques no código do
aplicativo é desafiadora. Isso pode exigir
manutenção rigorosa, aplicação de patches e
monitoramento em várias camadas da topologia do aplicativo.
Um firewall de aplicativo Web centralizado ajuda
a tornar o gerenciamento de segurança muito mais simples. Um WAF
também oferece aos
administradores de aplicativos melhor garantia de proteção contra
ameaças e invasões.
Uma solução WAF pode reagir a uma ameaça de segurança mais
rapidamente, corrigindo uma
vulnerabilidade conhecida de modo central, em vez de proteger cada
um dos aplicativos Web individuais.
uniacademy.com.br
66
AZURE BASTION?
O Azure Bastion é um serviço implantado que permite que você se
conecte a uma máquina
virtual usando o navegador e o portal do Azure ou por meio do
cliente nativo de SSH ou RDP já instalado em seu computador local.
O serviço do Azure Bastion é um serviço PaaS
totalmente gerenciado por plataforma que pode ser provisionado
dentro de sua rede virtual.
Fornece uma conectividade RDP/SSH segura e
contínua para suas máquinas virtuais diretamente
via TLS a partir do portal do Azure ou via cliente nativo.
Ao se conectar por meio do Azure Bastion, suas máquinas virtuais
não precisarão de um endereço
IP público, nem de um agente e tampouco de um
software cliente especial.
O Bastion fornece conectividade segura de RDP e
SSH a todas as VMs na rede virtual em que ele é
provisionado. O uso do Azure Bastion protege suas máquinas virtuais
contra a exposição das portas RDP/SSH ao mundo externo,
fornecendo
acesso seguro usando o RDP/o SSH.
uniacademy.com.br
67
uniacademy.com.br
68
GPSN (GERENCIAMENTO DA
POSTURA DE SEGURANÇA NA
NUVEM)
Um dos principais pilares de segurança da nuvem
do Microsoft Defender para Nuvem é o GPSN
(gerenciamento da postura de segurança na
nuvem). O GPSN fornece diretrizes de proteção que ajudam você a
melhorar a segurança de
forma eficiente e eficaz. O GPSN também oferece
visibilidade sobre a situação de segurança atual.
O Defender para Nuvem avalia continuamente
seus recursos, suas assinaturas e a organização em busca de
problemas de segurança. O Defender
para Nuvem mostra sua postura de segurança na classificação de
segurança. A classificação de segurança é uma pontuação agregada
das
conclusões de segurança que informa sua
situação de segurança atual. Quanto maior a pontuação, menor o
nível de risco identificado.
uniacademy.com.br
69
MICROSOFT DEFENDER
PARA NUVEM
O Microsoft Defender para Nuvem é uma CNAPP
(plataforma de proteção de aplicativo nativa de nuvem) com um
conjunto de medidas e práticas de
segurança
projetadas
para
proteger
aplicativos baseados em nuvem contra várias
ameaças e vulnerabilidades cibernéticas. O
Defender para Nuvem combina os recursos de:
Uma solução de operações de segurança de
desenvolvimento (DevSecOps) que unifica o
gerenciamento de segurança no nível do
código em ambientes multinuvem e de vários
pipelines.
Uma solução de CSPM (gerenciamento da
postura de segurança na nuvem) que
apresenta ações que você pode executar para
evitar violações.
Uma CWPP (plataforma de proteção de carga
de trabalho de nuvem) com proteções
específicas para servidores, contêineres,
armazenamento, bancos de dados e outras
cargas de trabalho
uniacademy.com.br
70
MICROSOFT DEFENDER
PARA NUVEM
Uma CWPP (plataforma de proteção de carga
de trabalho de nuvem) com proteções
específicas para servidores, contêineres,
armazenamento, bancos de dados e outras
cargas de trabalho.
uniacademy.com.br
71
SIEM
SIEM é a fusão moderna de gerenciamento de informações de
segurança (SIM) e gerenciamento de eventos de segurança (SEM).
Enquanto o SIM
envolve coleta, armazenamento e análise de logs
de várias fontes para acompanhar as atividades da rede, o SEM é dar
um passo adiante e avaliar os logs em tempo real para detectar
atividades anormais. A combinação dos dois — SIEM —
rastreia as pegadas de um invasor nas fontes, conecta os pontos
usando regras de correlação estabelecidas e emite alertas para a
equipe de segurança, tudo em um único painel.
As informações básicas de um log devem incluir: qual usuário
executou qual atividade, em qual host e quando. Um evento de
segurança é
qualquer alteração observada no comportamento normal na rede.
Exemplos de eventos incluem sessões de logon inesperadas em uma
rede,
bloqueios de conta e tentativas de senha com falha.
uniacademy.com.br
72
SOAR
Normalmente, a equipe de operações de
segurança está exausta por lidar continuamente com alertas que
variam de gravidade baixa a alta.
Cada alerta, concorda-se, requer uma resposta rápida, mas não
precisa ser dependente de
humanos. O SOAR propõe automatizar e agilizar essas tarefas
rotineiras de resposta a incidentes por meio de fluxos de trabalho
predefinidos, economizando tempo e esforço.
Componentes do SOAR
O SOAR se concentra em obter mais contexto sobre uma ameaça,
automatizando tarefas de
rotina e ajudando o SOC a responder a incidentes
mais rapidamente. Seus componentes principais são:
Alertas de ingestão: busca feeds de ameaças do SIEM, inteligência
de ameaças externas e outras plataformas baseadas em API.
uniacademy.com.br
73
Orquestração
e
automação:
investiga
automaticamente as ameaças integrando-se a
várias ferramentas e soluções associadas.
Resposta a ameaças: implementa uma
correção rápida e automática conforme
instruído por um manual ou fluxo de trabalho.
Resolução:cria insights com análise avançada de ameaças e escala,
se necessário,
atribuindo automaticamente tíquetes para
acompanhamento e investigação adicional
por um analista.
Além dos feeds de ameaças, o SOAR também
coleta dados de plataformas externas de
inteligência de ameaças, software de segurança de endpoints e
outras fontes de terceiros para determinar o quadro completo da
situação.
uniacademy.com.br
74
Os alertas são investigados após serem mapeados
para casos de uso específicos e as medidas corretivas predefinidas
são executadas. Os
usuários também podem criar e personalizar
caminhos investigativos e ações corretivas. Para garantir que nenhum
incidente crítico seja
perdido, os tickets automatizados podem ser
atribuídos pela integração com uma central de atendimento ou outras
plataformas de tickets.
O SOAR permite que a equipe de segurança
aborde mais ameaças com eficiência e reduza o tempo de reação.
uniacademy.com.br
75
MICROSOFT 365 DEFENDER
O portal Microsoft 365 Defender combina
proteção, detecção, investigação e resposta a ameaças de email,
colaboração, identidade,
dispositivo e aplicativo de nuvem, em um local central. O portal
Microsoft 365 Defender enfatiza o acesso rápido a informações,
layouts mais simples e a junção de informações relacionadas para
facilitar o uso. Isso inclui:
Microsoft Defender para Office 365 Microsoft Defender para
Office 365 ajuda as
https://learn.microsoft.com/pt-br/microsoft-365/security/office-365-security/defender-for-office-365
organizações a proteger sua empresa com um
conjunto de recursos de prevenção, detecção, investigação e caça
para proteger os recursos
de email e Office 365.
Microsoft
Defender
para
Ponto
de
Extremidade fornece proteção preventiva, detecção
pós-violação,
investigação
automatizada e resposta para dispositivos em
sua organização.
uniacademy.com.br
76
MICROSOFT 365 DEFENDER
Microsoft Defender para Identidade é uma solução de segurança
baseada em nuvem que
aproveita seus sinais Active Directory local para identificar, detectar e
investigar
ameaças
avançadas,
identidades
comprometidas e ações internas mal-
intencionadas direcionadas à sua organização.
Microsoft Defender para Aplicativos de Nuvem
é uma solução abrangente entre SaaS e PaaS
que traz visibilidade profunda, controles de dados fortes e proteção
avançada contra
ameaças para seus aplicativos de nuvem.
uniacademy.com.br
77
MICROSOFT DEFENDER PARA
OFFICE 365
Microsoft Defender para Office 365 é um serviço
de filtragem de email baseado em nuvem que
ajuda a proteger sua organização contra ameaças
avançadas a ferramentas de email e colaboração,
como phishing, compromisso de email comercial
e ataques de malware. Defender para Office 365
também fornece recursos de investigação, busca
e correção para ajudar as equipes de segurança a
identificar, priorizar, investigar e responder a
ameaças com eficiência.
Veja a seguir as principais maneiras de usar
Defender para Office 365 para proteção de
mensagens:
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
Em um cenário somente filtragem Defender
para Office 365: O Defender para Office 365
fornece proteção por email baseada em
nuvem para seu ambiente Exchange Server
local ou qualquer outra solução de email
SMTP local.
uniacademy.com.br
78
O Defender para Office 365 pode ser habilitado
para proteger Exchange Online caixas de correio
hospedadas na nuvem.
Em uma implantação híbrida: O Defender para
Office 365 pode ser configurado para proteger
seu ambiente de mensagens e controlar o
roteamento de email quando você tiver uma
mistura de caixas de correio locais e de nuvem
com Proteção do Exchange Online para filtragem
de email de entrada.
uniacademy.com.br
79
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
MICROSOFT DEFENDER PARA
PONTO DE EXTREMIDADE
O Microsoft Defender para Ponto de Extremidade
é uma plataforma empresarial para a segurança
de ponto de extremidade projetada para ajudar a
prevenir, detectar, investigar e responder a
ameaças avançadas.
O Microsoft Defender para Ponto de Extremidade
usa a seguinte combinação de tecnologias
incorporada ao Windows 10 e ao robusto serviço de nuvem da
Microsoft:
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
Sensores comportamentais de ponto
de
extremidade: incorporados no Windows 10, esses sensores coletam
e processam sinais
comportamentais do sistema operacional. Os
sensores enviam os dados para sua instância de nuvem privada e
isolada do Microsoft
Defender para Ponto de Extremidade.
uniacademy.com.br
80
Análise de segurança na nuvem: Usando big data, aprendizado
de máquina e óticas
exclusivas da Microsoft em todo o
ecossistema do Windows, produtos de nuvem
corporativa (como o Office 365) e ativos
online, os sinais comportamentais são
traduzidos em insights, detecções e respostas
recomendadas para ameaças avançadas.
Inteligência contra ameaças: gerada pelas equipes de buscas e
segurança da Microsoft, e
aumentada pela inteligência contra ameaças
fornecida pelos parceiros, a inteligência
contra ameaças permite que o Microsoft
Defender para Ponto de Extremidade
identifique
ferramentas,
técnicas
e
procedimentos do invasor e gere alertas
quando eles forem observados nos dados
coletados do sensor.
uniacademy.com.br
81
O Defender para Ponto de Extremidade integra-se diretamente a
várias soluções da Microsoft, incluindo:
Microsoft Defender para Nuvem.
Microsoft Sentinel.
Intune.
Microsoft Defender for Cloud Apps.
Microsoft Defender para Identidade.
Microsoft Defender para Office.
uniacademy.com.br
82
MICROSOFT DEFENDER FOR
CLOUD APPS
O Microsoft Defender para Aplicativos de Nuvem
é um CASB (agente de segurança de acesso à
nuvem) que oferece suporte a vários modos de
implantação, como coleta de log, conectores de
API e proxy reverso. Ele fornece visibilidade
avançada, controle sobre a viagem de dados e
análises sofisticadas para identificar e combater
ameaças cibernéticasem todos os seus serviços
de nuvem da Microsoft e de terceiros.
O Microsoft Defender for Cloud Apps integra-se
nativamente às principais soluções da Microsoft
e foi desenvolvido com profissionais de
segurança em mente. Ele fornece implantação
simples, gerenciamento centralizado e recursos
de automação inovadores.
uniacademy.com.br
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
83
O QUE FAZ UM CASB?
A migração para a nuvem aumenta a flexibilidade
tanto para funcionários quanto para equipes de
TI. No entanto, ela também apresenta novos
desafios e complexidades para manter sua
organização segura. Para obter todos os
benefícios dos aplicativos e serviços de nuvem,
uma equipe de TI precisa encontrar o equilíbrio
ideal entre dar suporte ao acesso e proteger
dados críticos.
É aqui que um agente de segurança de acesso à
nuvem entra para dar o equilíbrio, adicionando
proteções ao uso de serviços de nuvem por sua
organização ao impor suas políticas de segurança
corporativa. Como o nome sugere, os CASBs
atuam como um gatekeeper para intermediar o
acesso em tempo real entre os usuários
corporativos e os recursos de nuvem que eles
usam, onde quer que os usuários estejam
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
localizados e qualquer dispositivo que estejam
usando.
uniacademy.com.br
84
Para isso, os CASBs descobrem e fornecem
visibilidade sobre o uso de aplicativos e TI
sombra, monitoram as atividades do usuário em
busca de comportamentos anormais, controlam o
acesso aos recursos, fornecem a capacidade de
classificar e impedir o vazamento de informações
confidenciais, oferecem proteção contra agentes
mal-intencionados e avaliam a conformidade dos
serviços de nuvem.
Os CASBs abordam lacunas de segurança no uso
de serviços de nuvem por uma organização,
fornecendo visibilidade detalhada e controle
sobre as atividades do usuário e os dados
confidenciais. O escopo de cobertura dos CASBs
se aplica em grande escala a SaaS, PaaS e IaaS.
Para a cobertura de SaaS, os CASBs normalmente
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
trabalham com as mais populares CCPs
(plataformas de colaboração de conteúdo),
sistemas de CRM, sistemas de RH, soluções ERP
(planejamento de recursos empresariais), central
de serviços, pacotes de produtividade do Office e
sites de rede social corporativa. Para a cobertura
de IaaS e PaaS, vários CASBs regem o uso
baseado em API de CSPs (provedores de serviços
de nuvem) conhecidos e estendem a visibilidade
e a governança para aplicativos executados
nessas nuvens.
uniacademy.com.br
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
85
uniacademy.com.br
86
MICROSOFT DEFENDER
PARA IDENTIDADE
O Microsoft Defender para Identidade é uma
solução de segurança baseada em nuvem que
aprimora os sinais locais do Active Directory para
identificar, detectar e investigar ameaças
avançadas, identidades comprometidas e ações
de
pessoas
internas
mal-intencionadas,
direcionadas à sua organização.
O Defender para Identidade permite aos analistas
de SecOp e profissionais de segurança com
dificuldades para detectar ataques avançados em
ambientes híbridos:
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
Monitorar usuários, comportamento de
entidade e atividades com a análise baseada
em aprendizado.
Proteger as identidades do usuário e as
credenciais armazenadas no Active Directoryuniacademy.com.br
87
Identificar e investigar atividades de usuário
suspeitas e ataques avançados em toda a
cadeia do ataque cibernético.
Fornecer informações claras sobre incidentes
em uma linha do tempo simples para triagem
rápida.
O Defender para Identidade era conhecido
anteriormente como Azure ATP (Proteção
Avançada contra Ameaças do Azure).
uniacademy.com.br
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
88
DESCREVER AS
FUNCIONALIDADES
DAS SOLUÇÕES DE
CONFORMIDADE
DA MICROSOFT
89
PORTAL DE CONFIANÇA
DO SERVIÇO
O Microsoft Service Trust Portal fornece uma
variedade de conteúdo, ferramentas e outros
recursos sobre como os serviços de nuvem da
Microsoft protegem seus dados e como você pode
gerenciar a segurança e a conformidade de dados
de nuvem para sua organização.
O Portal de Confiança do Serviço é o site público da Microsoft para
publicar relatórios de auditoria e
outras
informações
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
relacionadas
à
conformidade associadas aos serviços de nuvem da Microsoft. Os
usuários de STP podem baixar relatórios de auditoria produzidos por
auditores externos e obter informações de whitepapers de autoria da
Microsoft que fornecem detalhes sobre
como os serviços de nuvem da Microsoft
protegem seus dados e como você pode gerenciar
a segurança e a conformidade dos dados de
nuvem para sua organização. Para acessar alguns
dos recursos no Portal de Confiança do Serviço, você deve fazer
logon como um usuário
autenticado com sua conta de serviços de nuvem
da Microsoft (conta de organização do Azure Active Directory) e
examinar e aceitar o Contrato de Não Divulgação da Microsoft para
Materiais de
Conformidade.
uniacademy.com.br
90
PRIVACIDADE
A base da abordagem da Microsoft para a
privacidade baseia-se nos seguintes seis
princípios: controle do cliente, transparência,
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
segurança,
fortes
proteções
legais
para
privacidade, sem direcionamento baseado em
conteúdo e benefícios para os clientes de todos
os dados que coletamos.
O SDL (Ciclo de Vida do Desenvolvimento de
Segurança) e a Instrução de Privacidade
fornecem detalhes sobre nosso processo de
desenvolvimento como parte de nossas práticas
de privacidade transparentes para proteger
nossos clientes.
Além disso, a Microsoft detalha nossas
respectivas
obrigações
em
torno
do
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
processamento de dados no DPA (Adendo de
Proteção de Dados dos Serviços Online).
uniacademy.com.br
91
A Microsoft mantém a Política de Privacidade
Corporativa da Microsoft e o Microsoft Privacy
Standard para garantir que cumpramos nossos
compromissos de privacidade em toda a empresa.
Para dar suporte a esses compromissos, o CDBG
(Conselho de Governança de Dados do Cliente) da
Microsoft mantém uma Taxonomia e Uma
Estrutura para garantir a categorização adequada
dos dados e especificar requisitos de segurança e
privacidade para cada categorização de dados.
As normas relacionadas de tratamento de dados
fornecem diretrizes sobre como gerenciar cada
tipo de classificação de dados em atividades ou
cenários específicos, incluindo requisitos para
atender às obrigações descritas no OST/DPA e
outros padrões e regulamentos.
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
https://learn.microsoft.com/pt-br/defender-for-identity/what-is
uniacademy.com.br
92
MICROSOFT PURVIEW
O Microsoft Purview é uma família de soluções de governança, risco e
conformidade de dados que podem ajudar sua organização a
controlar, proteger e gerenciar todo o seu patrimônio de dados. As
soluções do Microsoft Purview
fornecem cobertura integrada e ajudam a lidar com os recentes
aumentos na conectividade
remota do usuário, a fragmentação de dados
entre as organizações e o desfoque das funções tradicionais de
gerenciamento de TI.
O Microsoft Purview combina as antigas
soluções e serviços do Azure Purview e
conformidade do Microsoft 365 em uma única
marca. Juntas, essas soluções ajudam sua
organização a:
Obtenha visibilidade dos ativos de dados em toda a sua organização.
Habilitar o acesso aos seus dados, segurança
e soluções de risco.
uniacademy.com.br
93
Proteger e gerenciar dados confidenciais em
nuvens, aplicativos e pontos de extremidade
Gerenciar riscos de dados de ponta a ponta e a conformidade
regulatória
Capacite sua organização para controlar,