00 - Cybersecurity Assessment - Delivery Guide - En.pt

Traduzido do Inglês para o Português - www.onlinedoctranslator.
com
Avaliação de segurança
cibernética
Guia de entrega v1.0 – outubro de 2023
Certifique-se sempre de ter a versão mais recente deste

documento antes de iniciar um novo compromisso!
Índice
1. Introdução............................................................................................................................................................................
1.1 Finalidade do documento..................................................................................................................................
1.2 Público.......................................................................................................................................................................
1.3 Formato de entrega.............................................................................................................................................
2. Fases e Atividades de Engajamento...........................................................................................................................
2.1 Pré-engajamento...................................................................................................................................................
2.2 Configuração de engajamento........................................................................................................................
2.3 Coleção de dados.................................................................................................................................................
2.4 Exploração................................................................................................................................................................
2,5 Apresentação de Resultados............................................................................................................................
2.6 Desativação do Engajamento...........................................................................................................................
3. Objetivos de engajamento............................................................................................................................................
4. Esforço de engajamento..............................................................................................................................................
5. Escopo de engajamento...............................................................................................................................................
Na mira............................................................................................................................................................................
Fora do escopo.............................................................................................................................................................
6. Requisitos de aprovação de engajamento............................................................................................................
7. Requisitos do cliente.....................................................................................................................................................
8. Recursos recomendados..............................................................................................................................................
8.1 Recursos recomendados do cliente.............................................................................................................
8.2 Recursos de entrega recomendados...........................................................................................................
9. Pré-engajamento............................................................................................................................................................
9.1 Chamada de pré-compromisso.....................................................................................................................
9.2 Preparar, enviar e revisar o questionário de avaliação de segurança cibernética.....................
10. Configuração de engajamento.............................................................................................................................
10.1 Reunião de Configuração de Engajamento e Definição de Escopo................................................
10.2 Gerenciamento de mudanças (opcional)...................................................................................................
10.3 Configuração Geral............................................................................................................................................
10.4 Configuração de gerenciamento de vulnerabilidades do Microsoft Defender..........................
10,5 Configuração de análise de gerenciamento de risco interno............................................................
11. Coleção de dados.......................................................................................................................................................
11.1 Coleta de logs do Cloud Discovery (opcional)........................................................................................
12. Exploração.....................................................................................................................................................................
12.1 Exploração de vulnerabilidades.....................................................................................................................
12.2 Exploração de segurança de dados.............................................................................................................
1
12.3 Exploração do Cloud Discovery (opcional)...............................................................................................
13. Apresentação de Resultados.................................................................................................................................
13.1 Apresentação de Resultados e Discussão dos Próximos Passos......................................................
14. Desativação do Engajamento................................................................................................................................
Apêndice A - Prontidão e conteúdo técnico............................................................................................................
Apêndice B - Kit de ferramentas de avaliação de segurança cibernética......................................................
Apêndice C - Modelo de e-mail de ação necessária.............................................................................................
2
Histórico de versões
Versão Mudanças Data
Outubro de
1,0 Lançamento inicial
2023
3
Isenção de responsabilidade
© 2023 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no
estado em que se encontra". As informações e opiniões expressas neste documento, incluindo
URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio.
Este documento não fornece quaisquer direitos legais sobre qualquer propriedade intelectual de
qualquer produto Microsoft. Os clientes e parceiros da Microsoft podem copiar, usar e
compartilhar esses materiais para planejamento, implantação e operação de produtos Microsoft.
Aguardamos seu feedback!

Obrigado pela confiança e parceria contínuas. Os recursos deste kit de
ferramentas serão melhorados iterativamente com base nos lançamentos de
produtos, bem como no feedback direto dos compromissos entregues.
Incentivamos você a fornecer feedback para nos ajudar a melhorar nossos
produtos e kits de ferramentas. Use o processo de feedback disponível neste
site:https://aka.ms/PartnerSolutionAssessment/Feedback
4
1. Introdução
Este documento contém as orientações de entrega necessárias para entregar com sucesso a
Avaliação de Segurança Cibernética.
A Avaliação de Segurança Cibernética ajuda os clientes a avaliar sua postura de segurança e o

risco a ameaças internas e inclui os seguintes componentes:
 Um questionário para ajudá-lo a analisar o ambiente dos clientes e seu nível atual de
maturidade de segurança cibernética com base na v8 dos Controles Críticos de
Segurança do CIS.
 Uma avaliação de vulnerabilidade usando:
o Gerenciamento de vulnerabilidades do Microsoft Defender.
o Pontuação segura da Microsoft.
 Uma avaliação de segurança de dados usando:
o Proteção de informações do Microsoft Purview
o Análise de gerenciamento de riscos do Microsoft Purview Insider.
 Uma descoberta opcional na nuvem usando o Microsoft Defender for Cloud.
 Uma lista das próximas etapas com base nas necessidades, objetivos e resultados do
cliente na avaliação de segurança cibernética.
1.1 Finalidade do documento

Este guia de entrega descreve um envolvimento em várias etapas que a Microsoft ou um
parceiro da Microsoft pode oferecer a um cliente para ajudá-lo a obter insights sobre
vulnerabilidades em cargas de trabalho locais e na nuvem. Para cada etapa, este guia fornece
orientações e dicas de execução e discute recursos e resultados. No geral, o foco está em um
envolvimento bem-sucedido e em resultados valiosos.
1.2 Público
Este documento destina-se principalmente a ser usado por parceiros da Microsoft ou de campo
da Microsoft com Competência em Segurança como orientação sobre como fornecer a
1.3 Formato de entrega

O compromisso foi projetado para permitir entregas on-line e no local de todas as atividades.
5
2. Fases e Atividades de Engajamento
Em alto nível, as atividades da Avaliação de Segurança Cibernética podem ser agrupadas nas
seguintes fases, que são realizadas durante um período de cinco semanas:
 Pré-engajamento
o Chamada de pré-compromisso
o Preparar, enviar e revisar o questionário de avaliação de segurança cibernética
 Configuração de engajamento
o Reunião de Configuração de Engajamento e Definição de Escopo
o Gerenciamento de Mudanças (opcional)
o Configuração Geral
o Configuração de gerenciamento de vulnerabilidades do Microsoft Defender
o Configuração de análise de gerenciamento de risco interno
 Coleção de dados
o Coleta de logs do Cloud Discovery (opcional)
 Exploração
o Exploração de vulnerabilidades
o Exploração de segurança de dados
o Exploração do Cloud Discovery (opcional)
 Apresentação de Resultados
o Apresentação de Resultados e Discussão dos Próximos Passos
 Desativação do Engajamento
6
A ilustração abaixo fornece uma visão geral de alto nível de todas as fases que fazem parte da
Avaliação de Segurança Cibernética e o que essas fases incluem:
7
2.1 Pré-engajamento
A fase de Pré-compromisso inclui a Chamada de Pré-compromisso, que normalmente é uma
reunião online organizada como a primeira etapa do envolvimento. Durante esta reunião online,
o recurso de entrega apresentará ao cliente a Avaliação de Segurança Cibernética, discutirá as
próximas atividades, alinhará expectativas e estabelecerá cronogramas. Após a teleconferência
de pré-compromisso, o cliente receberá o questionário de avaliação de segurança cibernética e
será solicitado a responder às perguntas na semana seguinte à teleconferência.
A fase de Pré-engajamento inclui as seguintes atividades:
 Chamada de pré-compromisso- Use esta atividade para apresentar ao cliente a Avaliação

de Segurança Cibernética, discutir as próximas atividades, alinhar expectativas e
estabelecer cronogramas.
 Preparar, enviar e revisar o Questionário de Avaliação de Segurança Cibernética- Use esta
atividade para preparar, enviar e revisar o Questionário de Avaliação de Segurança
Cibernética, que o ajudará a compreender o ambiente do cliente e seu nível atual de
maturidade de segurança cibernética com base na v8 dos Controles Críticos de
Segurança do CIS, como preparação para as atividades de engajamento.
A fase de pré-engajamento é realizada na semana 1 da Avaliação de Segurança Cibernética.
Mais detalhes sobre a fase de pré-engajamento podem ser encontrados na seção9 Pré-
engajamentodeste documento.
2.2 Configuração de engajamento

A fase de Configuração do Engajamento inclui a Reunião de Kick-off, que fornece uma visão
geral do engajamento para toda a equipe do projeto, seguida de uma atividade para definição
do escopo do engajamento e, por fim, configuração das ferramentas de engajamento.
A fase de Configuração do Engajamento inclui as seguintes atividades:
 Reunião de Configuração de Engajamento e Definição de Escopo- Use esta atividade da

Avaliação de Segurança Cibernética para trabalhar em conjunto com o cliente para
definir e finalizar o escopo do envolvimento e as configurações necessárias para as
ferramentas de envolvimento.
 Gerenciamento de Mudanças (opcional)- Nesta atividade da Avaliação de Segurança
Cibernética, o cliente passa pelos seus processos de gestão de mudanças para obter as
aprovações necessárias para a implantação das ferramentas de engajamento de acordo
com o escopo de engajamento acordado.
8
 Configuração Geral- Utilize esta atividade da Avaliação de Segurança Cibernética para
trabalhar em conjunto com o cliente para configurar os seus inquilinos do Azure e do
Microsoft 365.
 Configuração de gerenciamento de vulnerabilidades do Microsoft Defender- Use esta
atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para implantar e configurar o Microsoft Defender Vulnerability Management.
 Configuração de análise de gerenciamento de risco interno- Use esta atividade da
Avaliação de Segurança Cibernética para trabalhar em conjunto com o cliente para
configurar o Insider Risk Management Analytics.
A fase de Configuração do Engajamento é entregue na semana 2 da Avaliação de Segurança

Cibernética.
Mais detalhes sobre a fase de Configuração do Engajamento podem ser encontrados na

seção10 Configuração de engajamentodeste documento.
2.3 Coleção de dados

A fase de coleta de dados inclui os preparativos técnicos necessários para concluir a atividade
opcional do Cloud Discovery.
A fase de coleta de dados inclui as seguintes atividades:
 Coleta de logs do Cloud Discovery (opcional) -Utilize esta atividade opcional para
trabalhar em conjunto com o cliente para concluir os preparativos técnicos necessários
para concluir a atividade Cloud Discovery.
A fase de coleta de dados abrange as semanas 2 a 3 da Avaliação de Segurança Cibernética.
Mais detalhes sobre a fase de Coleta de Dados podem ser encontrados na seção11 Coleção de
dadosdeste documento.
2.4 Exploração
A fase de Exploração inclui trabalhar em conjunto com o cliente para descobrir, analisar e
documentar vulnerabilidades detectadas como parte do trabalho.
A fase de Exploração inclui as seguintes atividades:
 Exploração de vulnerabilidades -Use esta atividade para trabalhar em conjunto com o

cliente para descobrir e analisar vulnerabilidades detectadas como parte do
9
envolvimento, resumindo e documentando suas descobertas como parte da
apresentação de resultados.
 Exploração de segurança de dados -Use esta atividade para trabalhar em conjunto com o
cliente para descobrir e analisar vulnerabilidades detectadas como parte do
envolvimento, resumindo e documentando suas descobertas como parte da
apresentação de resultados.
 Exploração de descoberta em nuvem (opcional) -Use esta atividade opcional para
trabalhar em conjunto com o cliente para descobrir e analisar o uso de aplicativos em
nuvem, resumindo e documentando suas descobertas como parte da apresentação de
resultados.
A fase de Exploração é entregue no início da semana 3 da Avaliação de Segurança Cibernética.
Mais detalhes sobre a fase de Exploração podem ser encontrados na seção12 Exploraçãodeste
documento.
2.5 Apresentação de Resultados

A fase de Apresentação de Resultados inclui a apresentação das conclusões do trabalho e uma
discussão e acordo sobre os próximos passos que estão prestes a ser executados após a
A fase de Apresentação de Resultados inclui as seguintes atividades:
 Apresentação de Resultados e Discussão dos Próximos Passos -Apresente e discuta as

conclusões gerais e chegue a um acordo sobre os próximos passos que ajudarão o
cliente a aumentar a sua postura de segurança com base nas conclusões da Avaliação de
Segurança Cibernética.
A fase de Apresentação de Resultados é entregue na semana 4 da Avaliação de Segurança
Cibernética.
Mais detalhes sobre a fase de Apresentação de Resultados podem ser encontrados na seção13
Apresentação de Resultadosdeste documento.
2.6 Desativação do Engajamento

A fase de desativação do envolvimento inclui trabalhar em conjunto com o cliente para remover
todas as configurações e recursos criados durante a avaliação de segurança cibernética.
A fase de desativação do envolvimento é entregue no final da semana 4 da avaliação de

segurança cibernética.
10
Mais detalhes sobre a fase de desativação do engajamento podem ser encontrados na seção14
Desativação do Engajamentodeste documento.
11
3. Objetivos de engajamento
Os objetivos da Avaliação de Segurança Cibernética são:
 Entenda o nível atual de maturidade da segurança cibernética:Ajude o cliente a

entender seu nível atual de maturidade em segurança cibernética usando um
questionário baseado no CIS Critical Security Controls v8, fornecendo recomendações e
orientações sobre as próximas etapas para melhorar sua postura de segurança
cibernética.
 Descubra e entenda como lidar com vulnerabilidades em clientes e servidores:Ajude
o cliente a entender como usar o Microsoft Defender Vulnerability Management para
descobrir, priorizar e resolver vulnerabilidades e configurações incorretas em clientes e
servidores em sua organização.
 Descubra e analise o uso de aplicativos em nuvem (opcional):Ajude o cliente a
entender o uso atual de aplicativos em nuvem usando o Microsoft Defender for Cloud,
demonstrando como detectar e bloquear aplicativos arriscados.
 Descubra e compreenda os riscos relacionados à segurança de dados e ameaças
internas:Ajude o cliente a compreender as possíveis informações confidenciais
existentes no ambiente do Microsoft 365 e os tipos de ações que os usuários estão
realizando nesses dados que podem ser vistas como atividades potencialmente
arriscadas.
 Defina os próximos passos:O cliente trabalhará em conjunto com o recurso de entrega
para definir uma lista de próximos passos com base nas suas necessidades, objetivos e
resultados da Avaliação de Segurança Cibernética.
12
4. Esforço de engajamento
O esforço típico de entrega da Avaliação de Segurança Cibernética (sem módulos opcionais) é
estimado em aproximadamente 12 (+2 opcionais) horas ao usar o exemplo de cronograma e
escopo fornecidos neste guia, excluindo o tempo necessário para os preparativos, que é
estimado em ~6 (+1 opcional) horas. Essas estimativas também não incluem tempo para
recursos opcionais (externos) de gerenciamento de projetos/engajamentos. Se for necessário
um gerente de projeto/engajamento (externo), horas adicionais deverão ser adicionadas
adequadamente.
Importante
Trate o escopo e o cronograma padrão como um modelo para usar como orientação ao criar sua
própria oferta com base neste kit de ferramentas. Você deve ajustar o escopo e o cronograma para
que correspondam.
A tabela abaixo fornece estimativas de alto nível do esforço para atividades de Avaliação de
Segurança Cibernética incluídas no escopo padrão do trabalho. Os números fornecidos são
considerados indicativos e podem sofrer alterações em função da personalização do
cronograma de entrega e/ou das atividades individuais.
FASE / ATIVIDADE Preparação Entrega[horas

[horas] ]
Semana 1 - Pré-engajamento
Chamada de pré-compromisso 1 1
Preparar, enviar e revisar o questionário de avaliação de segurança 1 0,5
cibernética
Semana 2 – Configuração de engajamento
Reunião de Configuração de Engajamento e Definição de Escopo 1 1
Gerenciamento de mudanças (opcional) 1 0
Configuração Geral 0 0,5
Configuração de gerenciamento de vulnerabilidades do Microsoft 0 1,5
Defender
Configuração de análise de gerenciamento de risco interno 0 0,5
Semana 2-4 - Coleta de Dados
Coleta de logs do Cloud Discovery (opcional) 1 1
Semana 5 - Exploração
Exploração de vulnerabilidades 0 1
Exploração de segurança de dados 0 1
Exploração do Cloud Discovery (opcional) 0 1
Semana 5 - Apresentação de Resultados
Apresentação dos resultados e discussão dos próximos passos 1 2
Semana 5 - Desativação do Engajamento
Desativação do Engajamento 0 1
RESUMO [horas]: 6 12
13
Opcional:
1 2
5. Escopo de engajamento
Na mira
O escopo padrão desta parte do trabalho inclui:
 Análise do questionário do cliente.
 Implantação de licenças de avaliação do Microsoft 365 para avaliação de segurança
cibernética no locatário do cliente, se necessário.
 Configuração dos produtos Microsoft usados como parte do contrato, conforme
orientação fornecida neste documento.
 Correção de possíveis problemas técnicos durante a implantação.
 Verificação e avaliação de vulnerabilidades em servidores e clientes Windows locais em
um único domínio do Active Directory.
 Exploração de vulnerabilidades para descobrir e priorizar vulnerabilidades e
configurações incorretas.
 Exploração de informações confidenciais identificadas no ambiente Microsoft 365
usando recursos prontos para uso do Microsoft Purview.
 Análise opcional de aplicativos em nuvem usados pelos usuários no ambiente do cliente
por meio da parte Cloud Discovery do Microsoft Defender para Aplicativos em Nuvem,
com base no Microsoft Defender para Endpoint, se já implantado pelo cliente, ou com
base em um upload manual único de logs de um único dispositivo de segurança de
perímetro local, como um firewall ou servidor proxy.
 Descomissionamento de configuração e licenças no final do contrato.
Fora do escopo
O âmbito padrão desta parte do trabalho exclui tudo o que não foi incluído no âmbito, em
particular:
 Configuração de produtos Microsoft além das orientações fornecidas neste documento.
 Verificação e avaliação de vulnerabilidades em máquinas fora das redes corporativas
locais.
 Carregamento automático de logs de firewall ou servidor proxy para o Microsoft
Defender para aplicativos em nuvem (por meio do Log Collector).
 Análise (investigação) de incidentes de segurança.
 Análise forense.
 Projetos técnicos ou implementações.

14
6. Requisitos de aprovação de engajamento
Para garantir a entrega e aprovação bem-sucedidas do envio do Comprovante de Execução,
certifique-se de preencher os seguintes requisitos de trabalho:
 O preenchimento do questionário, incluindo a análise e recomendações resultantes.

 Implantação e configuração dos seguintes produtos Microsoft no locatário de produção
do cliente:
o Gerenciamento de vulnerabilidades do Microsoft Defender
 Verificando um mínimo de 50 máquinas Windows 10/11 ou Windows
Server
o Análise de gerenciamento de risco do Microsoft Purview Insider
 Prepare e discuta com o cliente as próximas etapas propostas.
Importante
Você precisará fornecer capturas de tela como parte do processo de Prova de Execução para
demonstrar que cumpriu os requisitos acima. O não cumprimento dos requisitos pode resultar na
rejeição do envio do Comprovante de Execução.
Para obter detalhes sobre como documentar que esses requisitos foram atendidos, consulte
06 - Avaliação de segurança cibernética - modelo POE.pptx
15
7. Requisitos do cliente
A entrega bem-sucedida do trabalho depende do envolvimento do cliente em todos os
aspectos do trabalho. O cliente deve garantir que informações precisas e completas sejam
fornecidas em tempo hábil, conforme necessário, que recursos apropriados sejam
comprometidos e que quaisquer atividades sejam concluídas de maneira oportuna e eficaz.
NOTA: Esta seção descreve os requisitos do cliente aplicáveis ao trabalho geral. Requisitos
adicionais específicos para as atividades serão descritos nas seções individuais abaixo.
O cliente precisará executar as tarefas, fornecer os recursos e assumir a responsabilidade pelas

seguintes atividades:
 O cliente precisará fornecer acesso adequado ao pessoal necessário para concluir com
êxito o trabalho, incluindo:
a) Um gerente de projeto do cliente responsável pela coordenação geral e pelo
agendamento da logística.
b) Proprietários de objetos de TI para identidade e segurança durante todas as fases
da avaliação.
c) Um patrocinador executivo.
 O cliente precisará fornecer uma ou mais máquinas virtuais ou físicas para serem usadas
pelo scanner Microsoft Defender Vulnerability Management. Os requisitos para as
máquinas estão especificados no10.4 Configuração de gerenciamento de vulnerabilidades
do Microsoft DefendereAppendix C - Modelo de e-mail de ação necessáriaseções deste
documento.
 O cliente fornecerá o seguinte ao recurso de entrega:
 Acesso a qualquer documentação relevante.
 Conectividade de rede, espaço de trabalho adequado, licenças de
estacionamento, acesso ao edifício e crachás de identificação apropriados no
primeiro dia, se você estiver planejando realizar o trabalho no local.
 Sala de tamanho adequado com quadro branco e projetor para sessões de
transferência de conhecimento.
16
8. Recursos recomendados
8.1 Recursos recomendados do cliente

Patrocinador executivo
 Possui o caso de negócios.
 Mantém o projeto alinhado com a estratégia da organização e a direção do portfólio.
 Governa o risco do projeto.
 Concentra-se na realização de benefícios.
 Fornece garantia.
 Candidatos sugeridos: CSO, CISO, CEO, CFO, CIO, CRO ou CTO.
Recomendamos garantir que o patrocinador executivo participe das seguintes atividades:

 Chamada de pré-compromisso.
 Apresentação de Resultados e Discussão dos Próximos Passos.
Arquitetos
 ISTO
 Segurança
 Rede
 Infraestrutura de Servidor
 Identidade
Recomendamos que os Arquitetos participem nas seguintes atividades:

 Preparar, enviar e revisar o questionário de avaliação de segurança cibernética
 Reunião de Configuração de Engajamento e Definição de Escopo.
 Gerenciamento de mudanças (opcional).
 Exploração de vulnerabilidades.
 Exploração de segurança de dados.
 Apresentação de Resultados e Discussão dos Próximos Passos.
Administradores
 Segurança
 Rede
 Infraestrutura de Servidor
 Identidade
 Administradores de locatários do Microsoft 365 e do Azure
17
Recomendamos garantir que os Administradores participem das seguintes atividades:
 Gerenciamento de mudanças (opcional).
 Configuração Geral.
 Configuração de gerenciamento de vulnerabilidades do Microsoft Defender.
 Configuração de análise de gerenciamento de risco interno.
 Apresentação de Resultados e Discussão dos Próximos Passos
 Desativação do Engajamento.
Recomendamos garantir que as Operações de Segurança participem das seguintes atividades:

 Configuração Geral.
 Configuração de gerenciamento de vulnerabilidades do Microsoft Defender.
 Configuração de análise de gerenciamento de risco interno.
 Apresentação de Resultados e Discussão dos Próximos Passos
 Desativação do Engajamento
8.2 Recursos de entrega recomendados

Consultor de Segurança
 Forte experiência e conhecimento em segurança cibernética.
 Bom conhecimento do Microsoft 365 e dos componentes de segurança do Microsoft
365.
 Bom entendimento do Azure e dos Serviços de Segurança do Azure.
 Tem experiência prática de implantação com produtos de segurança da Microsoft,
incluindo:
o ID de entrada da Microsoft
o Microsoft 365 Defensor
o Microsoft Defender para aplicativos em nuvem
o Microsoft Defender para Ponto de Extremidade
o Proteção de informações do Microsoft Purview
o Análise de gerenciamento de risco do Microsoft Purview Insider
18
Gerente de Projeto ou Engajamento (opcional)
 Compreensão básica de segurança cibernética.
 Compreensão básica dos produtos de segurança Microsoft 365 Defender.
 Compreensão básica da segurança do Azure.
 Experiência em gerenciamento de compromissos de segurança.
19
9. Pré-engajamento
9.1 Chamada de pré-compromisso

A chamada de pré-compromisso normalmente é uma reunião on-line organizada como a
primeira etapa do envolvimento. Durante esta reunião, o recurso de entrega apresentará ao
cliente a Avaliação de Segurança Cibernética, discutirá as próximas atividades, alinhará
expectativas e estabelecerá cronogramas. Para clientes que não tiveram exposição prévia aos
produtos e ferramentas que serão utilizados durante o envolvimento, é possível incluir uma
introdução e demonstração de alto nível explicando recursos e funcionalidades. Após a
teleconferência de pré-compromisso, o cliente receberá o Questionário de Avaliação de
Segurança Cibernética e será solicitado a responder às perguntas na semana seguinte à
teleconferência.
Objetivos
O objetivo da Chamada de Pré-engajamento é fornecer uma visão geral do trabalho e chegar a
um acordo sobre o escopo, cronograma e recursos necessários, especialmente os seguintes:
 Apresente a equipe ao cliente e prepare o cenário para o projeto.

 Apresente a Avaliação de Segurança Cibernética.
 Descreva e discuta as próximas atividades.
 Alinhe expectativas e cronogramas.
 Alocar recursos.
 Discuta e registre quaisquer alterações no escopo do trabalho de acordo com o
processo de gestão de mudanças do cliente, se necessário.
 Confirme as informações sobre os requisitos do cliente.
 Combine a data para o preenchimento do questionário.
Duração e esforço
 Preparação 1 hora
 Entrega 1 hora
Materiais de suporte
 01 - Avaliação de segurança cibernética - Chamada de pré-engajamento.pptx
20
Preparação
Antes de entregar a Chamada de Pré-engajamento, o recurso de entrega que lidera a reunião
precisará se familiarizar com:
 O formato geral de envolvimento da Avaliação de Segurança Cibernética.

 O cliente e sua estrutura organizacional. Certifique-se de pesquisar quaisquer
compromissos anteriores que sua organização tenha entregue ao cliente.
 Os requisitos do cliente.
 Conteúdo da apresentação 01 - Avaliação de segurança cibernética - Chamada de pré-
engajamento.pptx.
Se uma demonstração for incluída, o recurso de entrega deverá se preparar para entregar a
demonstração usando seu próprio ambiente de demonstração/laboratório ou com a
demonstração click-through. Informações adicionais sobre como preparar e entregar uma
demonstração podem ser encontradas emAppendix A -Prontidão e conteúdo técnico.
Pré-requisitos
Não existem pré-requisitos.
Orientação
Realize a reunião usando as notas do palestrante e as orientações fornecidas na apresentação
01 - Avaliação de segurança cibernética - Chamada de pré-engajamento.pptx.
Orientação para a verificação autenticada do gerenciamento de vulnerabilidades do

Microsoft Defender para Windows:
A verificação autenticada para Windows oferece a capacidade de executar verificações de
vulnerabilidades em dispositivos Windows. É possível direcionar remotamente por intervalos de
IP ou nomes de host e verificar os serviços do Windows, fornecendo ao Microsoft Defender
Vulnerability Management credenciais para acessar remotamente os dispositivos. Uma vez
configurados, os dispositivos alvo serão verificados regularmente em busca de vulnerabilidades
de software. Por padrão, a verificação será executada a cada quatro horas com opções para
alterar esse intervalo ou executá-la apenas uma vez.
Os administradores de segurança podem então ver as recomendações de segurança mais

recentes e revisar as vulnerabilidades recentemente descobertas para o dispositivo visado
noPortal do Microsoft 365 Defender.
Requisitos do scanner
O cliente precisa fornecer uma máquina local onde você possa instalar o scanner. O scanner é
compatível com Windows 10, versão 1903 e Windows Server, versão 1903 e posterior,
atendendo aos requisitos mínimos de hardware do sistema operacional e pode ser uma
máquina virtual ou física associada ao Active Directory do cliente.
21
Importante
A máquina do scanner deve estar integrada ao Microsoft Defender para Endpoint antes da
instalação do scanner. Se o Microsoft Defender para Endpoint ainda não estiver implantado, você
precisará implantá-lo como parte do10.4 Configuração de gerenciamento de vulnerabilidades do
Microsoft Defender atividade.
Conta de digitalização
É necessária uma conta de digitalização para acessar remotamente os dispositivos. Esta deve ser
uma conta de serviço gerenciado por grupo (gMSA) que precisa ser criada antes que você possa
configurar a verificação autenticada. Orientações adicionais sobre contas de serviço gerenciado
por grupo (gMSA) podem ser encontradas aqui:
Contas de serviço gerenciado por grupo (gMsa)
Importante
Recomendamos que a conta gMSA seja uma conta com menos privilégios, com apenas as
permissões mínimas de digitalização exigidas.
A conta será removida como parte do14 Desativação do Engajamentoatividade.
Configuração de dispositivo necessária

Cada dispositivo a ser verificado precisa ser configurado com as permissões exigidas pelo
scanner. Isso pode ser feito manualmente ou usando políticas de grupo. É altamente
recomendável que você use uma política de grupo para aplicar em massa as configurações
necessárias, com escopo para as máquinas que o cliente gostaria que fossem incluídas como
parte do envolvimento.
Orientações adicionais sobre a configuração necessária do dispositivo podem ser encontradas

aqui:
Requisitos de permissões de dispositivo de verificação autenticado
 Durante a apresentação da chamada de pré-engajamento, usando o slide Visão geral da

verificação autenticada do gerenciamento de vulnerabilidades do Microsoft Defender como
suporte, discuta e, se possível, chegue a um acordo sobre um plano para garantir que o cliente
se comprometa a concluir a configuração necessária antes de iniciar o envolvimento.
Orientações adicionais sobre o scanner de verificação autenticada para Windows podem ser
encontradas aqui:
Verificação autenticada para Windows no Defender Vulnerability Management
22
Importante
O cliente só precisa implantar a máquina como preparação para o trabalho. A instalação do

software do scanner, a conta de digitalização e a configuração necessária do dispositivo serão
configuradas em conjunto com o cliente como parte do10 Configuração de engajamentoEstágio.
Instruções detalhadas para permitir que o cliente implante a máquina necessária para o scanner a
tempo para o trabalho foram incluídas como parte doAppendix C - Modelo de e-mail de ação
necessária. Você enviará este e-mail ao cliente após concluir a chamada de pré-engajamento.
Se uma demonstração fizer parte da chamada de pré-compromisso, consulteAppendix A -

Prontidão e conteúdo técnico para orientação e instruções de configuração.
23
9.2 Preparar, enviar e revisar o questionário de avaliação de
segurança cibernética
Para poder se preparar para as atividades de trabalho, é importante ter um bom entendimento
do ambiente de produção do cliente. O kit de ferramentas de avaliação de segurança
cibernética vem com um modelo de e-mail de ação necessária e um questionário que o cliente
deverá preencher.
O questionário será enviado ao cliente após a Chamada de Pré-engajamento.
Objetivos
Os objetivos dessas atividades são:
 Personalize e prepare o e-mail de ação necessária.

 Envie o e-mail com o Questionário de Avaliação de Segurança Cibernética ao cliente.
 O Cliente deve preencher e devolver o Questionário de Avaliação de Segurança
Cibernética.
 Revise o Questionário de Avaliação de Segurança Cibernética preenchido assim que for
devolvido pelo cliente.
 Entrega 0.5 horas
 04 - Avaliação de segurança cibernética - Questionário do cliente.xlsx
 Ação requeridae-mail localizado emAppendix C - Modelo de e-mail de ação necessária
Preparação
Antes de enviar o questionário ao cliente, o recurso de entrega deve customizar as perguntas do
questionário com base nas informações obtidas na Chamada de Pré-engajamento.
 Personalize o e-mail de ação necessária localizado emAppendix C - Modelo de e-mail de

ação necessária.
Pré-requisitos
As atividades descritas no parágrafo9.1 Chamada de pré-compromisso deverá ser concluída
antes de iniciar esta atividade.
24
Orientação
 Crie um e-mail usando o modelo fornecido emAppendix C - Modelo de e-mail de ação
necessária.
 Anexe e envie ao cliente o questionário 04 - Avaliação de Cibersegurança - Questionário
do Cliente.xlsx.
 Depois que o cliente tiver preenchido e devolvido o questionário 04 - Avaliação de
segurança cibernética - Questionário do cliente.xlsx, revise e identifique as respostas que
requerem maiores esclarecimentos durante o engajamento.
 Depois que o cliente tiver preenchido e devolvido o questionário 04 - Avaliação de
segurança cibernética - Questionário do cliente.xlsx, revise e atualize a apresentação 02 -
Avaliação de segurança cibernética - Resultados e próximas etapas.pptx:
o Preencha os slides “Cenário de ameaça – Avaliação de ransomware operado por
humanos” com as ações priorizadas de melhoria e implementação e as próximas
etapas que você acredita que melhorariam as defesas do cliente contra ataques
de ransomware operados por humanos.
 Substitua as pontuações de Conscientização/Prontidão do questionário
por capturas de tela do questionário 04 - Avaliação de segurança
cibernética - Questionário do cliente.xlsx.
o Preencha os slides “Cenário de ameaça – Riscos internos” com as ações
priorizadas de melhoria e implementação e as próximas etapas que você acredita
que melhorariam as defesas do cliente contra o risco interno.
 Substitua as pontuações de Conscientização/Prontidão do questionário
por capturas de tela do questionário 04 - Avaliação de segurança
cibernética - Questionário do cliente.xlsx.
Importante
O preenchimento do questionário, incluindo a análise e as recomendações resultantes, é

um componente crítico para uma entrega bem-sucedida do compromisso de Avaliação de
Segurança Cibernética!
25
10. Configuração de engajamento
10.1 Reunião de Configuração de Engajamento e Definição de

Escopo
Use esta atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para definir e finalizar o escopo do engajamento e as definições de configuração
necessárias para as ferramentas de engajamento.
Objetivos
 O objetivo é finalizar o escopo e a configuração das ferramentas de engajamento.
 Entrega 1 hora
 10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
 11 - Avaliação de segurança cibernética - Configuração de engajamento e definição de
escopo.pptx
Preparação
O recurso de entrega precisará se familiarizar com:
 O questionário 04 - Avaliação de segurança cibernética - Questionário do cliente.xlsx

preenchido, observando informações incompletas e/ou ausentes que devem ser
levantadas durante a discussão do escopo.
 O documento 11 - Avaliação de Segurança Cibernética - Configuração de Engajamento e
Definição de Escopo.pptx que será usado para cobrir uma visão geral das ferramentas de
engajamento e as decisões de escopo necessárias.
 O documento 10 - Avaliação de segurança cibernética - Design de pontos de
decisão.xlsx que será usado para registrar o escopo do trabalho e as configurações das
ferramentas de trabalho.
Pré-requisitos
As atividades descritas no9 Pré-engajamentofase deve ser concluída antes de iniciar esta
atividade.
26
Orientação
Realize a atividade apresentando a apresentação 11 - Avaliação de segurança cibernética -
Configuração de engajamento e definição de escopo.pptx, usando a planilha 10 - Avaliação de
segurança cibernética - Pontos de decisão de design.xlsx para registrar o escopo e as decisões
de design.
• Ao apresentar, seja conciso e atenha-se aos fatos.

• Permita que o cliente tire suas próprias conclusões.
• Certifique-se de reservar algum tempo para perguntas e respostas.
• Discuta e documente o escopo e as decisões de design como parte da planilha 10 - Uso -
Defesa contra ameaças com SIEM Plus XDR Workshop - Design Decision Points.xlsx.
Note o10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsxdocumento foi

pré-preenchido com o escopo do trabalho conforme definido como parte do5 Escopo de
engajamentoseção.
Se o cliente não tiver processos de gerenciamento de alterações (controle de alterações) em sua

organização, você poderá prosseguir com as atividades restantes na10 Configuração de
engajamentofase do noivado.
Se o cliente tiver processos de gerenciamento de mudanças (controle de mudanças) em sua

organização, ao final desta atividade, junto com o cliente:
 Reveja o10 - Avaliação de segurança cibernética - Projetar pontos de
decisão.xlsxdocumento, destacando quaisquer alterações em seu ambiente que, à luz de
suas políticas de gerenciamento de mudanças, exijam gerenciamento de
mudançasaprovação.
 Auxiliar o cliente a formular solicitações para quaisquer aprovações de gerenciamento
de mudanças necessárias.
Depois que as solicitações de gerenciamento de mudanças forem aprovadas, você poderá

prosseguir com as atividades restantes na10 Configuração de engajamentofase do noivado.
27
10.2 Gerenciamento de mudanças (opcional)
Nesta atividade da Avaliação de Segurança Cibernética, o cliente passa pelos seus processos de
gestão de mudanças para obter as aprovações necessárias para a implantação das ferramentas
de trabalho de acordo com o escopo de trabalho acordado.
Objetivos
Os objetivos dessas atividades são:
 Obter as aprovações necessárias para a implantação das ferramentas de trabalho de

acordo com o escopo de trabalho acordado.
 Entrega 0 horas
Preparação
Nenhum.
Pré-requisitos
As atividades descritas no parágrafo10.1 Reunião de Configuração de Engajamento e Definição
de Escopodeverá ser concluída antes desta atividade.
Orientação
 Orientar o cliente para obter as aprovações necessárias para a implantação das
ferramentas de engajamento de acordo com o escopo de engajamento acordado
registrado em 10 - Avaliação de segurança cibernética - Design Decision Points.xlsx.
 Se necessário, certifique-se de que o cliente, como parte do processo de aprovação,
selecione as datas.
28
10.3 Configuração Geral
cliente para configurar seu locatário do Microsoft 365 e implantar as ferramentas de
engajamento.
Objetivos
O objetivo é configurar os produtos de segurança Microsoft 365 Defender incluídos como parte
do envolvimento no locatário do cliente, especialmente os seguintes:
 Implantar licenças de avaliação do Microsoft 365 de avaliação de segurança cibernética

necessárias para os produtos e serviços de segurança do Microsoft 365 Defender usados
durante o envolvimento no locatário do cliente.
 Defina todas as configurações de locatário do Microsoft 365 necessárias.
 Configure o Microsoft Defender para aplicativos em nuvem (opcional).
 Configure os pré-requisitos para verificação autenticada do gerenciamento de
vulnerabilidades do Microsoft Defender para Windows:
 Entrega 0,5 hora
 05 - Avaliação de segurança cibernética - Questionário do cliente.docx
 12 - Avaliação de segurança cibernética - Scripts.zip
Preparação e materiais de apoio

 O documento 10 - Avaliação de segurança cibernética - Design Decision Points.xlsx

concluído.
preenchido.
29
Pré-requisitos
 O recurso de entrega que lidera o envolvimento precisará adquirir licenças de avaliação
do Microsoft 365 para avaliação de segurança cibernética, necessárias para os produtos
e serviços de segurança do Microsoft 365 Defender usados durante o envolvimento.
Para obter licenças de avaliação do Cybersecurity Assessment Microsoft 365, acesse:

https://aka.ms/PartnerLedCustomerTrials
Para mais informações consulte:
https://aka.ms/PartnerLedCustomerTrialGuide
Importante
Obtenha URLs de inscrição antes de iniciar a entrega da Avaliação de Segurança

Cibernética.
 Máquina dedicada à função de scanner de gerenciamento de vulnerabilidades do

Microsoft Defender disponível de acordo com os requisitos enviados ao cliente como
parte doAppendix C - Modelo de e-mail de ação necessária.
 As atividades descritas no parágrafo10.1 Reunião de Configuração de Engajamento e
Definição de Escopoe10.2 Gerenciamento de mudanças (opcional),se necessário, deve ser
concluído antes de iniciar esta atividade.
Orientação
Importante
O envolvimento foi projetado para não causar impacto nas experiências dos usuários ou
em seus dispositivos. Isso significa que:
• Os produtos de segurança do Microsoft 365 Defender usados serão configurados de

uma forma que não altere as experiências dos usuários (por exemplo, nenhum link
será reescrito em emails, etc.).
• Nadaserá instalado nos dispositivos dos usuários finais.
• Nãopolíticas para resposta automática serão definidas como parte da configuração

dos produtos de segurança Microsoft 365 Defender.
• Se o cliente já tiver implantado e configurado um dos produtos incluídos como parte

do contrato em seu locatário de produção, não será necessário concluir nenhuma
configuração desse produto como parte desse contrato. Em vez disso, ignore a seção
específica de configuração do produto desta atividade.
30
Tenha muito cuidado ao tomar quaisquer medidas além das listadas neste Guia de
Entrega ou você corre o risco de ter um impacto indesejado, durante ou após o trabalho
Siga estas etapas usando o escopo registrado no documento 10 - Avaliação de segurança

cibernética - Design Decision Points.xlsx.
Implante as licenças de avaliação do Microsoft 365 para avaliação de segurança

cibernética:
o Abra uma nova sessão anônima/privada do navegador da Web e entre no centro de
administração do Microsoft 365 do locatário do Microsoft 365 do cliente:
https://admin.microsoft.com
o Em uma nova guia da sessão existente do navegador da Web, cole a primeira URL de
inscrição da licença de avaliação do Microsoft 365 E3 para avaliação de segurança
cibernética.
o Aceite todas as outras solicitações a seguir (não haverá seleções a serem feitas).
o Repita as etapas acima para a segunda URL de inscrição, para a licença de avaliação do
Microsoft 365 E5 Security for Cybersecurity Assessment.
o Repita as etapas acima para a segunda URL de inscrição, para a licença de avaliação do
Microsoft 365 E5 Compliance for Cybersecurity Assessment.
o Repita as etapas acima para a terceira URL de inscrição, para a licença de avaliação do
complemento Microsoft Defender Vulnerability for Cybersecurity Assessment.
Importante
Não atribua essas licenças de avaliação a nenhum usuário.
Ative a auditoria:
o Abra uma nova guia na sessão do navegador da web e siga as orientações abaixo para
ativar a pesquisa de auditoria (se ainda não estiver ativada):
Ativar a auditoria - Microsoft Purview
Microsoft 365 Defensor:

 Abra uma nova guia na sessão do navegador da Web e acesse a central de segurança do
Microsoft 365:
https://security.microsoft.com
 Use as seguintes orientações para integrar o serviço Microsoft 365 Defender:
Integração ao serviço Microsoft 365 Defender
31
 Use as seguintes orientações para confirmar se o serviço Microsoft 365 Defender está
ativado:
Confirme se o serviço Microsoft 365 Defender está ativado
Microsoft Defender para aplicativos em nuvem (opcional):

 Abra uma nova guia na sessão do navegador da Web e acesse o portal Microsoft 365
Defenderhttps://security.microsoft.com.
 Se durante as atividades de definição do escopo realizadas conforme a seção10.1
Reunião de Configuração de Engajamento e Definição de Escopo, foi tomada a decisão de
usar o Microsoft Defender for Endpoint para fornecer informações sobre aplicativos e
serviços em nuvem acessados pelos usuários do cliente e, em seguida, usar as seguintes
orientações para integrar o Microsoft Defender for Endpoint com o Microsoft Defender
for Cloud Apps:
EUIntegrar o Microsoft Defender para Endpoint com o Microsoft Defender para
Aplicativos em Nuvem
Então, em ConfiguraçõesAplicativos em nuvemDescoberta na nuvemMicrosoft
Defender para Endpoint, verifique se a caixa de seleção “Impor acesso ao aplicativo” não
está marcada. Se necessário, desmarque e clique em “Salvar”.
 Se durante as atividades de definição do escopo realizadas conforme a seção10.1
Reunião de Configuração de Engajamento e Definição de Escopo,foi tomada a decisão de
usar logs do dispositivo de segurança de perímetro local do cliente, como um firewall ou
servidor proxy, para fornecer informações sobre aplicativos e serviços em nuvem
acessados pelos usuários do cliente e, em seguida, certifique-se de que esses logs serão
coletados pelo cliente e disponibilizado a você para upload no Microsoft Defender para
aplicativos em nuvem e a criação de um relatório instantâneo do Cloud Discovery. Os
logs devem ser coletados em formato FTP e armazenados em arquivos que não devem
exceder 1 GB por arquivo. Para mais detalhes veja aqui:
Criar relatórios instantâneos do uso do aplicativo em nuvem Cloud Discovery
NOTA: em ambientes de produção, o upload automático de logs para o Microsoft
Defender for Cloud Apps é altamente recomendado, mas isso está fora do escopo do
envolvimento.
Pré-requisitos para verificação autenticada do gerenciamento de vulnerabilidades do

Microsoft Defender para Windows:
Conta de digitalização:
Uma conta de verificação deve ser criada no Active Directory do cliente para permitir que a
verificação autenticada do Microsoft Defender Vulnerability Management acesse
32
remotamente os dispositivos que serão verificados. A conta de digitalização deve ser uma
conta de serviço gerenciado por grupo (gMSA).
Uma vez criada a conta de digitalização, ela deve ser instalada na máquina onde o scanner
será executado, para permitir a recuperação da senha dessa conta de digitalização.
Use as seguintes orientações para primeiro criar uma conta de digitalização e depois instalá-
la na máquina onde o scanner será executado:
Verificação autenticada para Windows - Conta de verificação
Por exemplo, no domínio contoso.local do Active Directory com o nome de máquina

scannerwin11i, você executaria o seguinte cmdlet para criar a conta de verificação gmsa1:
New-ADServiceAccount -Name gmsa1 -DNSHostName

scannerwin11i.contoso.local -PrincipalsAllowedToRetrieveManagedPassword
scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
NOTA 1: Embora a criação da conta de verificação possa ser feita em um controlador de

domínio AD ou em qualquer dispositivo associado ao AD (desde que tenha
oFerramentas de administração de servidor remoto (RSAT) – Serviços de domínio Active
Directory e ferramentas leves de serviços de diretórioinstalado), a instalação da conta de
varredura deverá ser feita na máquina onde o scanner será executado, que não deve ser
um controlador de domínio (por motivos de desempenho).
NOTA 2: ao criar a conta de digitalização usando o Novo-cmdlet ADServiceAccount

seguindo o exemplo fornecido na documentação, um parâmetro
adicional-DNSHostName será exigido pelo novo-cmdlet ADServiceAccount.
Forneça a esse parâmetro um valor que seja o FQDN da máquina onde o
agente de scanner estará em execução.
Por exemplo, se o nome do host da máquina do scanner for scanner-win11-i (como o
exemplo na documentação) e o nome de domínio DNS do Active Directory
for contoso.local, então o-Parâmetro DNSHostName do Novo-O cmdlet
ADServiceAccount deve ter um valor de scanner-win11-i.contoso.local
NOTA 3: ao criar a conta de digitalização usando o Novo-cmdlet ADServiceAccount

seguindo o exemplo fornecido na documentação, o nome da máquina onde o
agente de scanner será executado, fornecido como valor para o-Parâmetro
PrincipalsAllowedToRetrieveManagedPassword do Novo-cmdlet
ADServiceAccount, deve terminar com $ (cifrão).
33
NOTA 4: caso o cliente ainda não tenha implantado a primeira chave raiz KDS em seu
Active Directory, você receberá um erro “A chave não existe” ao tentar criar a conta de
digitalização usando o novo-cmdlet ADServiceAccount. Nesse caso, use as
seguintes orientações para criar a primeira chave raiz KDS:
Criar a chave raiz KDS dos serviços de distribuição de chavesObserve que você precisará
aguardar 10 horas para que a chave seja propagada para todos os controladores de
domínio do Active Directory antes de poder ser usada.
NOTA 5: para instalar a conta de digitalização na máquina onde o scanner será

executado, será necessário ter o módulo Azure Directory para Windows PowerShell, que
faz parte doFerramentas de administração de servidor remoto (RSAT) – Serviços de
domínio Active Directory e ferramentas leves de serviços de diretório.
Orientações adicionais sobre contas de serviço gerenciadas por grupo (gMSA) podem ser
encontradas aqui:
Contas de serviço gerenciado por grupo (gMSA).
Dispositivos a serem verificados:
Os dispositivos que serão verificados pela verificação autenticada do gerenciamento de

vulnerabilidades do Microsoft Defender para Windows precisam ter determinadas
configurações aplicadas a eles. Essas configurações podem ser aplicadas manualmente,
localmente em cada dispositivo. Ou, o que é recomendado, eles podem ser configurados
automaticamente usando um Objeto de Política de Grupo (GPO).
Orientações sobre as configurações necessárias para os dispositivos a serem verificados

podem ser encontradas aqui:
Verificação autenticada para Windows - Pré-requisitos - Dispositivos a serem verificados
Para simplificar a tarefa de definir essas configurações usando um Objeto de Política de

Grupo (GPO), bem como para torná-lo menos sujeito a erros, fornecemos scripts do
PowerShell como parte do kit de ferramentas de Avaliação de Segurança Cibernética. Esses
scripts irão:
1. Crie um Objeto de Política de Grupo (GPO) no domínio do Active Directory do

cliente e aplique-o somente aos dispositivos verificados no engajamento.
2. Use o Gerenciamento Remoto do Windows para executar remotamente o
seguinte script do PowerShellpara conceder permissões aos seus namespaces
WMI Root\CIMV2 emdispositivos a serem verificados no engajamento, ajudando
a evitar a necessidade de reinicialização desses dispositivos caso o script esteja
configurado no GPO para ser executado apenas na inicialização do dispositivo:
34
Verificação autenticada para Windows – Pré-requisitos – Dispositivos a serem
verificados – Exemplo de script do PowerShell.
Esses scripts do PowerShell são fornecidos no arquivo ZIP 12 – Avaliação de segurança

cibernética – Scripts.zip. Este arquivo ZIP precisa ser descompactado em um controlador de
domínio ativo no domínio que foi selecionado como escopo para o envolvimento. Em
seguida, conclua as seguintes personalizações:
 Os nomes de máquinas (sem sufixo de domínio) que foram selecionados para o

envolvimento devem ser inseridos no arquivo SelectedComputers.csv. Devem ser
fornecidos em uma única linha, separados por vírgula, por exemplo:
Servidor001,Cliente001,Cliente002
NOTA: você pode usar o Bloco de notas para editar o arquivo
SelectedComputers.csv.
 O nome da conta de serviço gerenciado de grupo (gMSA) usada como conta de

verificação deve ser inserido na coluna Nome de destino da primeira linha no arquivo
MigrationTable.migtable:
Nome da fonte Tipo de fonte Nome do destino
CONTOSO\gmsa1$ Computador SEU-DOMÍNIO\seu-gmsa$
Usuários do Texto Livre ou <Igual à fonte>

Monitor de SID
Desempenho
NOTA 1: não use o Bloco de Notas para editar o arquivo MigrationTable.migtable.

Clique duas vezes no arquivo MigrationTable.migtable para iniciar o Editor de Tabela
de Migração ou abra-o no Gerenciamento de Política de GrupoDomíniosAbra o
Editor de Tabela de Migração.
NOTA 2: certifique-se de que SEU-DOMÍNIO\seu-gmsa$ termine com “$”.
NOTA 3: não modifique a segunda linha do arquivo MigrationTable.migtable.
35
Após as atualizações, o primeiro script do PowerShell CybersecurityAssessment-Script1.ps1
pode ser executado. Aqui está um exemplo de saída:
PS C:\CybersecurityAssessmentScripts> .\CybersecurityAssessment-Script1.ps1
Criando novo GPO "Política de Avaliação de Segurança Cibernética" no domínio contoso.local
Importando para as configurações de GPO "Política de avaliação de segurança cibernética" do backup
"Política de avaliação de segurança cibernética" em C:\CybersecurityAssessmentScripts\
Removendo permissões de "Usuários Autenticados" para o GPO "Política de Avaliação de Segurança
Cibernética" no domínio contoso.local
Atribuir permissões para ler e aplicar o GPO "Política de Avaliação de Segurança Cibernética" no
domínio contoso.local
para computadores selecionados em C:\CybersecurityAssessmentScripts\SelectedComputers.cvs
Atribuindo permissões ao computador CLIENT1
Atribuindo permissões ao computador CLIENT2
Criando link para o GPO "Política de Avaliação de Segurança Cibernética" para
OU=Branch1,DC=contoso,DC=local
Criando link para o GPO "Política de Avaliação de Segurança Cibernética" para
OU=Branch2,DC=contoso,DC=local
Feito.
Se o script foi executado com êxito, aguarde pelo menos 2 horas para permitir que os
dispositivos listados no arquivo SelectedComputers.csv selecionem o GPO recém-criado.
Em seguida, o segundo script do PowerShell CybersecurityAssessment-Script2.ps1 pode ser

executado. Aqui está um exemplo de saída:
C:\CybersecurityAssessmentScripts> .\CybersecurityAssessment-Script2.ps1
Executando remotamente o script "C:\CybersecurityAssessmentScripts\CybersecurityAssessment-Grant-
Permissions-to-Root-CIMV2-WMI-Namespace.ps1" em computadores selecionados de C:\
CybersecurityAssessmentScripts\SelectedComputers.txt
Executando o script remotamente em CLIENT1
Executando o script remotamente em CLIENT1
Feito.
Se você encontrar erros em alguns dispositivos, não se preocupe. Provavelmente significa

que eles estavam offline ou fora da rede corporativa, ou de outra forma inacessíveis por
meio do Gerenciamento Remoto do Windows quando o segundo script do PowerShell
CybersecurityAssessment-Script2.ps1 foi executado. Esses dispositivos selecionarão o GPO
criado pelo primeiro script do PowerShell CybersecurityAssessment-Script1.ps1
posteriormente e, após serem reinicializados, estarão prontos para serem verificados pela
verificação autenticada do gerenciamento de vulnerabilidades do Microsoft Defender para
Windows.
36
10.4 Configuração de gerenciamento de vulnerabilidades do
Microsoft Defender
Utilize esta atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para configurar o Microsoft Defender Vulnerability Management.
Objetivos
O objetivo é configurar o Microsoft Defender Vulnerability Management no locatário do cliente,
particularmente o seguinte:
 Configure o Microsoft Defender para Endpoint, se necessário.

 Implante a verificação autenticada do gerenciamento de vulnerabilidades do Microsoft
Defender para o scanner do Windows.
 Configurando uma nova verificação autenticada do gerenciamento de vulnerabilidades
do Microsoft Defender para Windows.
 Entrega 1 hora
Preparação

concluído.
Pré-requisitos
• As atividades descritas no parágrafo10.3 Configuração Geraldeverá ser concluída antes de
iniciar esta atividade.
Orientação
Microsoft Defender para Endpoint, se ainda não estiver configurado

Primeiro, se ainda não estiver configurado anteriormente, você precisará configurar o Microsoft
Defender para Endpoint.
37
Importante
A máquina de verificação do Microsoft Defender Vulnerability Management deve estar
integrada ao Microsoft Defender para Endpoint para permitir a descoberta de máquinas.
Apenas uma configuração mínima do Microsoft Defender for Endpoint é necessária para dar
suporte aos requisitos de engajamento.
Configuração inicial do Microsoft Defender para Endpoint:
Inicie o processo de integração do Microsoft Defender para Endpoint acessando oPortal do

Microsoft 365 Defendere selecionando qualquer item na seção Pontos de Extremidade ou
qualquer recurso do Microsoft 365 Defender, como Incidentes, Caça, Centro de Ação ou
Análise de Ameaças.
Importante
O usuário que inicia o processo de integração do Microsoft Defender para Endpoint
deve ter a função de Administrador Global ou Administrador de Segurança atribuída a
ele. Este usuário receberá automaticamente direitos de acesso completos ao Microsoft
Defender para Endpoint e poderá conceder acesso a usuários adicionais usando as
permissões básicas ou habilitando o controle de acesso baseado em função (RBAC)
para o Microsoft Defender para Endpoint, se necessário.
 Peça ao cliente para abrir oPortal do Microsoft 365 Defender e, em seguida, faça
login com a conta para receber acesso total ao Microsoft Defender para Endpoint
conforme o escopo registrado no documento 10 - Avaliação de segurança
cibernética - Design Decision Points.xlsx e conclua a configuração inicial.
Detalhes adicionais sobre a configuração inicial podem ser encontrados aqui:

Configurar a implantação do Microsoft Defender para Endpoint
Configure o Microsoft Defender para Endpoint:
Em seguida, você precisa configurar o Microsoft Defender for Endpoint para o engajamento.
Como usaremos apenas a verificação autenticada do gerenciamento de vulnerabilidades do
Microsoft Defender para Windows, só precisamos definir as configurações mínimas
necessárias.
38
Grupos de dispositivos
No Microsoft Defender para Endpoint, você pode criar grupos de dispositivos e usá-
los para:
o Limite o acesso a alertas e dados relacionados a grupos específicos de

utilizadores do Azure AD com funções RBAC atribuídas.
o Defina diferentes configurações de correção automática para diferentes
conjuntos de dispositivos.
o Atribua níveis de correção específicos a serem aplicados durante
investigações automatizadas.
o Numa investigação, filtre a lista Dispositivos apenas para grupos de
dispositivos específicos utilizando o filtro Grupo.
 Usando a conta com direitos de acesso totais ao Microsoft Defender for
Endpoint, abra oPortal do Microsoft 365 Defender e em
ConfiguraçõesPontos finaisPermissõesGrupos de dispositivos e
configure um grupo de dispositivos necessário usando o escopo registrado
no documento 10 - Avaliação de segurança cibernética - Design Decision
Points.xlsx, aproveitando as orientações abaixo:
Criar e gerenciar grupos de dispositivos
Importante
É necessário configurar um novo grupo de dispositivos contendo os dispositivos
Windows 10/11 a serem incluídos como parte do compromisso.
Características avançadas
Os recursos avançados do Microsoft Defender para Endpoint incluem configurações

para configurar a integração com produtos de segurança da Microsoft, bem como
vários recursos projetados para obter melhor proteção contra arquivos
potencialmente maliciosos e obter melhores insights durante investigações de
segurança.
Importante
Recursos avançados adicionais podem ser configurados, mas esteja ciente do impacto
potencial no cronograma do engajamento.
 Usando a conta com direitos de acesso totais ao Microsoft Defender for

Endpoint, abra oPortal do Microsoft 365 Defender e em
ConfiguraçõesPontos finaisEm geralOs recursos avançados garantem
que os seguintes recursos foram ativados:
39
o Descoberta de dispositivos
Detalhes adicionais sobre recursos avançados podem ser encontrados aqui:

Configurar recursos avançados no Microsoft Defender para Endpoint
Configuração de rede, se necessário (configuração de proxy)
NOTA: se a organização do cliente não exigir que o dispositivo de verificação do

Microsoft Defender Vulnerability Management use um proxy para acessar a Internet,
ignore esta seção.
O sensor Microsoft Defender for Endpoint requer serviços HTTP do Microsoft

Windows (WinHTTP) para relatar dados do sensor e se comunicar com o serviço
Microsoft Defender for Endpoint.
A configuração do WinHTTP é independente das configurações de proxy de

navegação na Internet do Windows Internet (WinINet) e só pode descobrir um
servidor proxy usando os seguintes métodos de descoberta:
Métodos de descoberta automática:
 Proxy transparente
 Protocolo de descoberta automática de proxy da Web (WPAD)
Se alguma das opções acima tiver sido implementada, não há necessidade de

definições de configuração especiais. Se precisar definir manualmente as
configurações de proxy, você terá as seguintes duas alternativas:
 Configuração baseada em registro.

 WinHTTP configurado usando o comando netsh - Adequado apenas para
desktops em uma topologia estável (por exemplo: um desktop em uma rede
corporativa atrás do mesmo proxy).
Detalhes adicionais sobre como configurar servidores proxy podem ser encontrados
aqui:
Definir configurações de proxy do dispositivo e conectividade com a Internet
A bordo doDispositivo de scanner do Microsoft Defender Vulnerability Management

para o Microsoft Defender para Endpoint:
Trabalhe em conjunto com o cliente para integrar o dispositivo de scanner do

Microsoft Defender Vulnerability Management ao Microsoft Defender para Endpoint
com a opção de script local, usando as orientações abaixo:
Microsoft Defender para Endpoint integrando o cliente Windows
40
Depois de integrar o dispositivo de varredura do Microsoft Defender Vulnerability
Management, você deverá verificar o status de integração na página Inventário de
dispositivos aqui:
Dispositivo – Segurança do Microsoft 365
Descoberta de dispositivos – Configuração de descoberta:

Siga as instruções abaixo para configurar a descoberta de dispositivos:
o Vá para as configuraçõesDescoberta de dispositivosConfigure a descoberta e defina

as configurações usando o escopo registrado no documento 10 - Avaliação de
segurança cibernética - Design Decision Points.xlsx.
Configure o gerenciamento de vulnerabilidades do Microsoft Defender:

Implante a verificação autenticada do gerenciamento de vulnerabilidades do Microsoft
Defender para scanner do Windows:
o Use as seguintes orientações para instalar o scanner no dispositivo fornecido pelo

cliente:
Instale o scanner
o Siga as seguintes orientações para instalar e registrar o scanner:
Instalação e registro do scanner
Configurando uma nova verificação autenticada do gerenciamento de vulnerabilidades
do Microsoft Defender para Windows:
o Vá para as configuraçõesDescoberta de dispositivosVerificações autenticadas e

configuração usando o escopo registrado no documento 10 - Avaliação de segurança
cibernética - Projetar pontos de decisão.xlsx.
Informações adicionais sobre como configurar uma nova verificação autenticada podem
ser encontradas aqui:
Configurar uma nova verificação autenticada
Descoberta de dispositivos – Redes monitoradas:

O Microsoft Defender for Endpoint analisa a rede à qual os dispositivos estão conectados para
determinar se a rede é corporativa (pertencente à organização) ou não corporativa (como Wi-Fi
pública ou rede doméstica). Isso é feito comparando identificadores de rede (como nome da
rede, gateway padrão e endereço do servidor DHCP) em todos os dispositivos da organização.
Se a maioria dos dispositivos reportar os mesmos identificadores de rede, presume-se que a
rede é corporativa. As redes corporativas geralmente são monitoradas pelo Microsoft Defender
for Endpoint, enquanto as redes não corporativas são ignoradas. No entanto, você tem a opção
41
de anular esta decisão e optar por monitorar qualquer rede onde seu dispositivo esteja
localizado.
Siga as instruções abaixo para verificar o estado de monitoramento das redes a serem
monitoradas:
o Após a conclusão de pelo menos uma verificação bem-sucedida, vá para Configurações

à Descoberta de dispositivos à Redes monitoradas e verifique/configure as redes
monitoradas usando o escopo registrado no documento 10 - Avaliação de segurança
NOTA: Para que a verificação autenticada do gerenciamento de vulnerabilidades do
Microsoft Defender para o scanner do Windows verifique os dispositivos com êxito, as
redes que contêm esses dispositivos devem estar no estado “monitorado”. Este estado
pode ser definido automática ou manualmente.
Importante
Se as redes monitoradas esperadas não tiverem sido adicionadas após uma verificação bem-
sucedida, verifique novamente após a conclusão do próximo ciclo de verificação.
Informações adicionais sobre descoberta de dispositivos e estados de monitoramento de rede

podem ser encontradas aqui:
Configurar o estado do monitor de rede
Importante
Depois de configurar os produtos de engajamento, você precisa permitir que os produtos
coletem dados por pelo menos sete dias antes de começar a analisar os resultados como parte
do12 ExploraçãoEstágio.
42
10.5 Configuração de análise de gerenciamento de risco interno
cliente para configurar seu locatário do Microsoft 365 e implantar as ferramentas de
engajamento.
Objetivos
O objetivo é configurar os produtos Microsoft Purview Insider Risk Management incluídos como
parte do envolvimento no locatário do cliente, particularmente os seguintes:
 Permissões de gerenciamento de risco interno

 Análise de gerenciamento de risco interno
 Entrega 0,5 hora
Preparação

concluído.
 Comece com o gerenciamento de risco interno
 Habilite análises no gerenciamento de riscos internos
Pré-requisitos
 As atividades descritas no parágrafo10.3 Configuração Geraldeve ser concluído antes de
iniciar esta atividade especificamente:
o Uma assinatura do Microsoft 365 que inclui o Insider Risk Management
o Auditoria de usuários e administradores habilitada por meio do Log de Auditoria
do Microsoft 365.
Orientação
A análise do Microsoft Purview Insider Risk Management permite-lhe realizar uma avaliação de
potenciais riscos internos na sua organização sem configurar quaisquer políticas de risco
interno. Essa avaliação pode ajudar sua organização a identificar possíveis áreas de maior risco
43
para o usuário, fornecendo insights retornados como atividades agregadas e anônimas do
usuário.
Configurar permissões de gerenciamento de risco interno

Para disponibilizar a gestão de risco Insider como uma opção de menu no Microsoft Purview e
para continuar com estes passos de configuração, deve ser-lhe atribuída uma função apropriada
dentro da organização.
Configurar permissões de ID de entrada
 Navegue até o Portal do Azure emhttps://portal.azure.come faça login com suas

credenciais de administrador de locatário ou com uma conta que tenha a função de
administrador global atribuída.
 Na caixa de pesquisa, pesquise Microsoft Entra ID.
 Na navegação à esquerda, selecione Funções e administradores.
 Na caixa de diálogo de pesquisa em Funções de administrador, procure Administrador
de dados de conformidade.
 Clique em Administrador de Dados de Conformidade e na próxima tela clique em

Adicionar atribuições.
 No painel Adicionar atribuições, selecione todos os membros da equipe que devem
receber a função de Administrador de Dados de Conformidade.
Configurar permissões do Microsoft Purview
 Navegue até o portal de conformidade do Microsoft Purview

emhttps://purview.microsoft.com/compliancee faça login com suas credenciais de
administrador de locatário ou com uma conta que tenha a função de administrador
global atribuída.
 No painel de navegação à esquerda, expanda Funções e escopos e clique em
Permissões.
 No painel Permissões, abaixo de soluções Microsoft Purview, clique em Funções.
44
 No painel Permissões > Grupos de funções para soluções do Microsoft Purview, procure
por Risco Interno.
 Clique em Gerenciamento de risco interno.

 No flyout Insider Risk Management, clique em Editar.
 No painel Editando Escolher Membros, clique em Escolher Usuários.

 No painel Escolher membros, selecione todos os membros da equipe que devem receber
a função de Insider Risk Management.
 No painel Escolher usuários, clique em Selecionar.
 No painel Editando Escolher Membros, clique em Avançar.
 Na página Revisar o grupo de funções e concluir, clique em Salvar.
 Clique em Concluído.
 Repita o processo acima para Administrador de Dados de Proteção e Conformidade de
Informações
Importante
Pode levar até 30 minutos para que as permissões sejam aplicadas à conta.
Importante
A atribuição de todos os membros da equipe de avaliação de segurança cibernética ao
grupo de gerenciamento de riscos internos estará, em algumas regiões do mundo, sujeita a
leis de privacidade e afetada por leis e regulamentos trabalhistas. Recomenda-se discutir
isso com o cliente antes da implementação.
Habilitando análise de risco interno

emhttps://purview.microsoft.com/compliancee faça login com a conta que recebeu as
permissões de gerenciamento de risco interno
 No painel de navegação à esquerda, selecione Insider Risk Management
45
 No canto superior direito da página Insider Risk Management, clique na engrenagem
para abrir as configurações.
 SelecionePrivacidade nas listas de configurações. Confirme se Mostrar versões anônimas
de nomes de usuário está selecionado. Clique em Salvar
 SelecioneAnalytics na lista de configurações. Alterne o botão de configuração para
Ligado. Clique em Salvar.
Importante
Para proteger a privacidade do usuário, todas as atividades do usuário retornadas pelas
verificações são anonimizadas. Nenhum detalhe do usuário está incluído.
Depois de configurar os produtos de engajamento, você precisa permitir que os produtos

coletem dados por pelo menos sete dias antes de poder começar a analisar os resultados
como parte da 12ª fase de Exploração
46
11. Coleção de dados
A fase de recolha de dados permitirá que os produtos de envolvimento incluídos recolham
dados para serem analisados como parte do envolvimento. Para garantir que você tenha dados
suficientes para analisar, é necessário permitir que os produtos coletem dados por pelo menos
sete dias.
11.1 Coleta de logs do Cloud Discovery (opcional)

Se foi decidido usar logs de dispositivos de segurança locais, como firewalls ou servidores proxy,
durante as atividades de definição de escopo na seção10.1 Reunião de Configuração de
Engajamento e Definição de Escopo, use esta atividade para carregar esses logs no Microsoft
Defender para Aplicativos de Nuvem junto com o cliente.
NOTA: Se foi decidido usar o Microsoft Defender for Endpoint como fonte para os logs de
descoberta na nuvem, ignore esta atividade.
Importante.
As atividades descritas nesta seção devem ser realizadas no final do período de coleta de dados,
mas pelo menos 24 horas antes das atividades descritas na seção12 Exploraçãopara permitir que
o Microsoft Defender for Cloud Apps tenha tempo suficiente para analisar os logs carregados.
Objetivos
O objetivo é criar relatório(s) de instantâneo de descoberta de nuvem no Microsoft Defender
para aplicativos em nuvem, carregando arquivos de log do dispositivo de segurança de
perímetro local do cliente, como um firewall ou servidor proxy, que foram coletados e
armazenados em formato FTP durante a coleta de dados. período.
 Entrega 1 hora
47
Preparação

concluído.
Pré-requisitos
As atividades descritas em10.3 Configuração Geral deve ser concluído antes de iniciar esta
atividade.
Orientação
o Abra uma nova sessão anônima/privada do navegador da Web e entre no portal
Microsoft 365 Defender do locatário do Microsoft 365 do cliente:
o Vá para aplicativos em nuvemDescoberta na nuvem.
o Na página Cloud Discovery, escolha AçõesCrie um relatório instantâneo do
Cloud Discovery.
o Peça ao cliente para carregar logs coletados de seu dispositivo de segurança de
perímetro local, como um firewall ou servidor proxy, para fornecer informações
sobre aplicativos e serviços em nuvem acessados pelos usuários do cliente para o
Microsoft Defender para aplicativos em nuvem e criar relatórios instantâneos do
Cloud Discovery .
Use as etapas a seguir para criar relatórios instantâneos do Cloud Discovery no
Microsoft Defender para aplicativos em nuvem:
Criar relatórios instantâneos do Cloud Discovery
Microsoft Defender para aplicativos em nuvem no Microsoft 365 Defender
NOTA: Se houvesse mais de 100 arquivos com logs armazenados, você precisaria
criar vários relatórios separados de instantâneo do Cloud Discovery.
48
12. Exploração
12.1 Exploração de vulnerabilidades

Esta atividade permitirá que você trabalhe em conjunto com o cliente, usando os produtos de
segurança da Microsoft incluídos como parte do envolvimento e relatórios relacionados para
explorar e analisar vulnerabilidades, recomendações de segurança e, opcionalmente, resultados
e relatórios de uso de aplicativos em nuvem gerados durante a fase de coleta de dados.
Objetivos
O objetivo é trabalhar em conjunto com o cliente para analisar e documentar vulnerabilidades e
recomendações de segurança no âmbito da atividade de Exploração de Vulnerabilidades,
nomeadamente as seguintes:
 Exploração de vulnerabilidades usando o Microsoft Defender Vulnerabilities

Management.
 Exploração de ações recomendadas no Microsoft Secure Score.
 Opcionalmente, explore o uso de aplicativos em nuvem descobertos pelo Microsoft
Defender para aplicativos em nuvem.
 Entrega 1 hora
Não existem materiais de apoio.
49
Preparação

preenchido.
 Como usar o Microsoft Defender Vulnerability Management para analisar
vulnerabilidades.
 Como usar o Microsoft Secure Score para descobrir e analisar recomendações de
segurança.
 Como usar e analisar dados fornecidos pelos relatórios de segurança no portal Microsoft
365 Defender.
Pré-requisitos
As atividades descritas em10.3 Configuração Gerale11.1 Coleta de logs do Cloud Discovery
(opcional)deve ser concluído antes de iniciar esta atividade.
 Permitir que os produtos de engajamento incluídos coletem dados por pelo menos 7
dias durante a fase de coleta de dados.
Orientação
Trabalhe em conjunto com os recursos do cliente para explorar recomendações e relatórios:
 Orientação para o cenário de ameaça de ransomware operado por humanos:

Importante
Certifique-se de ler o conteúdo de ransomware operado por humanos emAppendix A -
Prontidão e conteúdo técnicopois isso o ajudará a analisar e fornecer recomendações e
próximas etapas relacionadas ao ransomware operado por humanos.
o Analise cada recomendação, considerando táticas/técnicas comuns usadas como

parte de um ataque de ransomware, e ajude o cliente a priorizar mitigações que
melhorarão as defesas do cliente contra ataques de ransomware operados por
humanos.
ObservaçãoSe possível, tente agrupar recomendações que você poderá incluir em um ou

mais compromissos futuros nos quais poderá ajudar o cliente. Por exemplo, em vez de
criar Próximas etapas individuais para cada recomendação relacionada ao aumento das
defesas contra ataques à segurança de contas locais, você pode agrupar as recomendações
em uma única recomendação conforme o exemplo a seguir:
Reduza o risco de movimentação lateral usando contas de administrador local

comprometidas:
- Habilitar gerenciamento de senha de administrador local - Habilitar 'proteção de
50
autoridade de segurança local (LSA)' - Desabilitar o armazenamento local de senhas e
credenciais
Próximos passos):
Configuração de segurança de base do sistema operacional de endpoint, implantação do
Windows e do Azure AD LAPS
o Anote todas as recomendações que você deseja incluir como parte da seção
Ransomware operado por humanos na apresentação 02 - Avaliação de segurança
cibernética - Resultados e próximas etapas.pptx.
 Explore vulnerabilidades no Microsoft Defender Vulnerability Management:

o Usando oPortal do Microsoft 365 Defender, explore o Gerenciamento de
vulnerabilidades do Microsoft Defender, anote e capture todas as capturas de tela
necessárias de falhas de segurança e recomendações que você gostaria de incluir
como parte da apresentação de resultados.
Recomendamos que você explore pelo menos estes elementos do Gerenciamento de
Vulnerabilidades do Microsoft Defender:
o Painel de gerenciamento de vulnerabilidades
o Recomendações
o Os inventários
o Programas
o Fraquezas
o CVEs
o Usando oPortal do Microsoft 365 Defender, explore o relatório de gerenciamento de
vulnerabilidades do Microsoft Defender em RelatóriosPontos finaisDispositivos
vulneráveis, anote e capture todas as capturas de tela necessárias que você gostaria
de incluir como parte da apresentação dos resultados.
 Explore a pontuação segura da Microsoft:

o Usando o portal Microsoft 365 Defender, explore o Microsoft Secure Score, fazendo
anotações e capturando todas as capturas de tela necessárias que você gostaria de
incluir como parte da apresentação de resultados.
 Atualize a apresentação dos resultados:

o Personalize e atualize a apresentação 02 - Avaliação de Segurança Cibernética
- Resultados e Próximas Etapas.pptx. Substitua as capturas de tela de
exemplo na apresentação de resultados usando dados (capturas de tela) dos
produtos de segurança Microsoft 365 Defender usados como parte do
envolvimento.
51
o Certifique-se de preencher os slides de avaliação de ransomware operado por
humanos com as recomendações priorizadas e as próximas etapas que você
acredita que melhorariam as defesas do cliente contra ataques de
ransomware operados por humanos.
 Atualize os gráficos Secure Score e Exposure Score clicando com o
botão direito nos gráficos e selecionando “Editar dados”. Insira as
pontuações do locatário do cliente.
o Inclua uma ou mais das Próximas Etapas recomendadas de cada um dos
Cenários de Ameaça no slide geral da Discussão das Próximas Etapas do
engajamento.
Orientações adicionais podem ser encontradas nas notas do palestrante e nos slides
ocultos da apresentação 02 - Avaliação de segurança cibernética - Resultados e
próximas etapas.pptx.
52
12.2 Exploração de segurança de dados
Esta atividade permitirá trabalhar em conjunto com o cliente, utilizando produtos de segurança
da Microsoft e relatórios relacionados para explorar e analisar os incidentes, alertas e
vulnerabilidades gerados durante a fase de recolha de dados.
Importante
É importante permanecer dentro do âmbito desta actividade enquanto analisa as conclusões e as

ameaças identificadas. A menos que sejam identificadas ameaças excepcionais e de alto impacto
que exijam acção imediata, as actividades desta etapa devem limitar-se à análise e não estender-
se à mitigação ou acção correctiva. Se for necessária ação corretiva ou mitigação, isso deverá ser
discutido e aprovado pelo cliente antes de se envolver nessas atividades fora do escopo. O objetivo
da atividade de Exploração de Segurança de Dados é destacar dados potencialmente confidenciais
e os tipos de atividades realizadas pelos usuários com esses dados confidenciais na organização
do cliente e compreender, aprender e aconselhar sobre o que pode ser feito para mitigar esses
riscos potenciais.
Objetivos
O objetivo é trabalhar em conjunto com o cliente para analisar e documentar potenciais riscos
relacionados com o armazenamento e tratamento de dados sensíveis dentro da organização,
nomeadamente os seguintes:
 Explore os tipos de informações confidenciais no ambiente Microsoft 365 (SharePoint,

Teams, OneDrive for Business, Exchange) por meio do uso de classificadores treináveis e
tipos de informações confidenciais no Microsoft Purview Information Protection
 Explore possíveis áreas de risco identificadas no tratamento de dados organizacionais no
Microsoft 365 por meio do uso do Insider Risk Management Analytics.
 Preparação 0,25 hora
 Entrega 1 hora
53
Preparação

preenchido.
 Como usar itens de revisão de proteção de informações do Microsoft Purview que
contêm informações confidenciais
o Como usar o painel de classificação de dados da Microsoft
 Como utilizar o Microsoft Purview Insider Risk Management para identificar e investigar
atividades potencialmente arriscadas na organização.
o Análise de gerenciamento de risco interno - YouTube
Pré-requisitos
As atividades descritas em10.3 Configuração Gerale10.5 Configuração de análise de
gerenciamento de risco interno deve ser concluído antes de iniciar esta atividade.
Orientação
Importante
As informações fornecidas durante as atividades de Exploração de Segurança de Dados serão
propositalmente apresentadas de forma resumida e, em alguns casos, anonimizada. Isto é
intencional, pois em algumas regiões do mundo as leis de privacidade podem limitar ou direcionar
as informações coletadas. É recomendável que você discuta quaisquer possíveis preocupações de
privacidade com seu cliente no início da avaliação.
Com base nos tipos de informações confidenciais e nas atividades dos usuários identificadas, você
deve trabalhar com o cliente para determinar o que é mais impactante para sua organização.
Aqui estão alguns exemplos de observações “impactantes”:
o Usuários que copiam informações confidenciais para locais de nuvem pessoal.

o Usuários criando ou copiando arquivos para USB fora das normas organizacionais ou
departamentais.
o Os usuários realizam uma série de atividades que podem indicar comportamento suspeito
após enviarem seu pedido de demissão.
o Informações confidenciais ou do cliente armazenadas em sites ou locais não aprovados.
O cliente deve ser capaz de fornecer orientação sobre quais atividades considera “impactantes”
com base em suas necessidades.
54
Explore informações confidenciais descobertas pela Proteção de Informações do
Microsoft Purview
permissões atribuídas na seção10.5 Configuração de análise de gerenciamento de risco
interno.
 No painel de navegação à esquerda, expanda Classificação de dados e clique em Visão
geral
 Revise os classificadores treináveis mais usados em seu conteúdo e os tipos de
informações confidenciais mais usados em seu conteúdo. Anote todos os insights
compartilhados pelo cliente e faça capturas de tela das imagens para serem usadas
como parte da apresentação de encerramento.
 Cliqueno Content Explorer na navegação à esquerda em Classificação de dados.
 Junto com seu cliente, revise os tipos de informações confidenciais e classificadores
treináveis identificados no ambiente, selecione tipos específicos de informações
confidenciais para se aprofundar e identificar a(s) localização(ões) dos dados.
o Comece com o explorador de conteúdo
Explore atividades de manipulação de dados potencialmente arriscadas identificadas pelo

Microsoft Purview Insider Risk Management Analytics
permissões atribuídas na seção10.5 Configuração de análise de gerenciamento de risco
interno.
 No painel de navegação à esquerda, clique em Insider Risk Management
 Na página principal, role para baixo até o cartão Insider Risk Analytics e clique em
Visualizar resultados.
 Revise os resultados da última verificação de atividades de risco. Anote todos os insights
compartilhados pelo cliente e faça capturas de tela das imagens para serem usadas
como parte da apresentação de encerramento.
o Visualize insights analíticos após a primeira verificação analítica
 Cliqueem Exibir detalhes em cada um dos insights identificados para obter mais
informações sobre as informações coletadas.
o Ao revisar os detalhes das principais atividades de exfiltração, preste atenção ao
número de usuários no 1% principal, bem como à porcentagem de usuários
identificados com atividades fora das normas organizacionais. Isso o ajudará a
identificar possíveis áreas de foco com seu cliente.
55
 Atualize a apresentação dos resultados:
o Personalize e atualize a apresentação 02 - Avaliação de Segurança Cibernética
- Resultados e Próximas Etapas.pptx. Substitua as capturas de tela de
exemplo na apresentação de resultados usando dados (capturas de tela) dos
painéis Microsoft Purview Insider Risk Analytics e Visão Geral da Classificação
de Dados.
o Certifique-se de preencher os slides de resumo de segurança de dados e
risco interno e os slides detalhados de exploração de segurança de dados
com recomendações priorizadas, insights e próximas etapas que você
acredita que melhorariam as defesas do cliente contra vazamentos de dados
e roubo de ameaças internas.
o Inclua uma ou mais das Próximas Etapas recomendadas de cada um dos
Cenários de Ameaça no slide geral da Discussão das Próximas Etapas do
engajamento.
Orientações adicionais podem ser encontradas nas notas do palestrante e nos slides
ocultos da apresentação 02 - Avaliação de segurança cibernética - Resultados e
próximas etapas.pptx.
56
12.3 Exploração do Cloud Discovery (opcional)
Esta atividade permitirá que você trabalhe em conjunto com o cliente, usando produtos de
segurança da Microsoft e relatórios relacionados para explorar e resultados da descoberta de
aplicativos em nuvem usados por usuários na organização do cliente.
Objetivos
O objetivo é trabalhar em conjunto com o cliente para analisar e documentar os resultados da
Cloud Discovery Exploration, examinando e registrando as descobertas dos aplicativos em
nuvem utilizados pelos usuários dentro da organização do cliente. Quaisquer conexões com
vulnerabilidades ou ameaças à segurança de dados serão sinalizadas.
 Entrega 1 hora
Preparação

preenchido.
 Como explorar o uso de aplicativos em nuvem descobertos pelo Microsoft Defender
para aplicativos em nuvem.
Pré-requisitos
As atividades descritas em10.3 Configuração Gerale11.1 Coleta de logs do Cloud Discovery
(opcional) deve ser concluído antes de iniciar esta atividade.
Orientação
 Explore o uso de aplicativos em nuvem descobertos pelo Microsoft Defender para
aplicativos em nuvem:
NOTA 1: O Microsoft Cloud Application pode descobrir o uso de aplicativos em
nuvem que, por si só, podem não indicar uma ameaça à segurança. No entanto, a
correlação com possíveis vulnerabilidades ou ameaças à segurança dos dados
descobertas na exploração anterior pode fornecer evidências adicionais sobre
ameaças à segurança da organização do cliente.
57
Por exemplo, se um determinado dispositivo que foi verificado anteriormente no
envolvimento foi considerado altamente vulnerável à ameaça de ransomware
operado por humanos e, ao mesmo tempo, a descoberta na nuvem realizada pelo
Microsoft Defender para aplicativos em nuvem revelou que um upload massivo de
dados foi realizado a partir de este dispositivo para um aplicativo em nuvem que não
é aprovado (não sancionado) pela organização do cliente e tem uma pontuação de
segurança baixa, então pode-se suspeitar que um incidente de segurança de
ransomware operado por humanos com exfiltração de dados pode ter acontecido.
NOTA 2: para obter mais informações sobre como explorar o uso de aplicativos em
nuvem fornecidos pelo Microsoft Defender para Cloud Apps, acesse:
Trabalhando com aplicativos descobertos no Microsoft Defender para aplicativos em
nuvem
o Abra uma nova guia na sessão do navegador da web, acesse o portal Microsoft
365 Defender:https://security.microsoft.com
e escolha aplicativos em nuvemDescoberta na nuvem.
o Se durante as atividades de definição do escopo realizadas no10.1 Reunião de
Configuração de Engajamento e Definição de Escopoatividade, foi tomada a
decisão de usar o Microsoft Defender for Endpoint para fornecer informações
sobre aplicativos e serviços em nuvem acessados pelos usuários do cliente e, em
seguida, no menu no canto superior direito do painel “Cloud Discovery”,
selecione “Windows 10/11 Endpoint Usuários” de “Relatórios contínuos”.
o Se durante as atividades de definição do escopo realizadas no10.1 Reunião de
Configuração de Engajamento e Definição de Escopoatividade, foi tomada a
decisão de usar logs dos dispositivos de segurança de perímetro locais do
cliente, como firewall ou servidor proxy, para fornecer informações sobre
aplicativos e serviços em nuvem acessados pelos usuários do cliente e, em
seguida, no menu no canto superior direito do painel “Cloud Discovery”,
selecione o nome do relatório que você forneceu quando os logs dos
dispositivos de segurança de perímetro locais foram carregados conforme
descrito no11.1 Coleta de logs do Cloud Discovery (opcional)seção deste
documento.
o Na guia “Aplicativos descobertos”, sancione os aplicativos e serviços em nuvem
que são oficialmente aprovados na organização do cliente e cancele a aprovação
dos aplicativos e serviços em nuvem cujo uso não é permitido ou que estão
bloqueados no ambiente do cliente.
58
o Primeiro, explore o tráfego dos aplicativos e serviços em nuvem sancionados.
Espera-se que o tráfego sancionado de aplicativos e serviços em nuvem constitua
uma maioria significativa do mix geral de tráfego analisado pelo Microsoft
Defender para aplicativos em nuvem e mostrado no relatório Cloud Discovery,
em qualquer uma das categorias disponíveis.
NOTA: o uso de aplicativos e serviços em nuvem “sancionados” deve ser

investigado quanto a picos “incomuns” ou “inesperados” de seu uso (vs. nível
“normal/típico” ou “esperado”), pois essas situações, se inexplicáveis, podem
indicar violações de segurança. De qualquer forma, tente destacar essas
situações e recomende que o cliente faça uma investigação mais
aprofundada.
EXEMPLO: um aplicativo de correio em nuvem sancionado XYZ, totalmente

aprovado pela organização do cliente, normalmente gera tráfego de 2 GB
diariamente. Porém, em determinado dia da semana, observa-se que o
tráfego atingiu 10 GB, sendo que a maior parte desse tráfego vem de um
único endereço IP. Isto pode significar a ressincronização completa de uma
única caixa de correio (por exemplo, quando um novo dispositivo é
provisionado pela primeira vez) ou pode significar o download não
autorizado dos e-mails desse usuário. Em qualquer caso, tais “anomalias”
devem ser investigadas.
o Em seguida, explore o tráfego de aplicativos e serviços em nuvem não

sancionados, se houver (em teoria - tal tráfego não deveria existir). Tente
trabalhar com o cliente para entender quem, quando e quanto tráfego é gerado
para esses aplicativos e serviços em nuvem. É um único usuário, um pequeno
grupo do mesmo departamento ou é usado “de forma geral” dentro da
organização? Foi usado ocasionalmente ou é usado permanentemente? O
tráfego era insignificante ou pesado? Uma única ou muitas transações?
NOTA: o uso de aplicativos e serviços em nuvem “não sancionados” não é

necessariamente uma indicação de uma ameaça à segurança, embora em
alguns casos possa ser. Destaque essas situações em seu relatório final e
tente investigá-las para possíveis explicações.
EXEMPLO: para o cliente, o aplicativo de armazenamento em nuvem XYZ não

está aprovado em sua organização e o acesso a ele está bloqueado em seus
proxies. No entanto, os relatórios do Cloud Discovery de duas em cada cinco
regiões de clientes mostram um certo número de transações direcionadas ao
aplicativo de armazenamento em nuvem XYZ. Uma investigação mais
aprofundada revela que os filtros de bloqueio foram configurados
incorretamente nos firewalls da primeira região. Assim, a recomendação aqui
59
é corrigir a configuração dos firewalls daquela região. No caso da segunda
região, a investigação mostra que o acesso Wi-Fi dos convidados à Internet é
fornecido através dos mesmos firewalls que o acesso à Internet a partir da
rede de produção/interna. Embora o acesso ao aplicativo de armazenamento
em nuvem XYZ seja legítimo a partir do Wi-Fi de Internet convidado, a
recomendação aqui é excluir ainda mais o tráfego de intervalos de IP
dedicados ao Wi-Fi de Internet convidado nos relatórios do Microsoft
Defender para Aplicativos em Nuvem.
o Por fim, explore o tráfego de aplicativos e serviços em nuvem “desconhecidos”.

Tente trabalhar com o cliente para entender quem, quando e quanto tráfego foi
gerado para aplicativos e serviços de nuvem desconhecidos. É um único usuário,
um pequeno grupo do mesmo departamento ou é usado “de forma geral”
dentro da organização? Foi usado ocasionalmente ou é usado
permanentemente? O tráfego era insignificante ou intenso? Transações únicas ou
múltiplas? Por fim, ele acionou algum alerta do Microsoft Defender para
aplicativos em nuvem?
NOTA: o uso de aplicativos e serviços em nuvem “desconhecidos” não é

necessariamente uma indicação de ameaças à segurança. É mais provável que
seja um caso de atividade de “TI sombra” de usuários que não estão cientes
dos aplicativos ou serviços em nuvem “aprovados” ou que estão faltando
treinamento sobre como usá-los. Ou podem ser determinados utilizadores ou
mesmo departamentos que utilizam legitimamente determinadas aplicações
ou serviços em nuvem para conduzir os seus negócios (por exemplo, partilha
de informações com parceiros de negócios utilizando as suas aplicações ou
serviços em nuvem) e estas são atividades plenamente justificadas. Tente
investigar esses casos e destaque aqueles para os quais você não encontra
boas explicações.
EXEMPLO: Cloud Discovery mostra um número significativo de transações

para serviços de colaboração em nuvem (chat) XYZ que são muito populares
na China. Uma investigação mais aprofundada revela que está a ser
legitimamente utilizado para conduzir comunicações empresariais (chat) com
parceiros comerciais chineses, uma vez que os serviços de colaboração na
nuvem utilizados globalmente pelo cliente não fornecem capacidades de
federação ao serviço de colaboração na nuvem XYZ. A recomendação
provável aqui é sancionar o uso deste serviço de colaboração em nuvem XYZ
no Microsoft Defender para aplicativos em nuvem, com um comentário de
que ele ainda deve ser monitorado, pois se espera que as transações para
este serviço venham principalmente (ou apenas) do cliente. rede na China.
60
o Como os exemplos “mais impactantes” de uso de aplicativos em nuvem são
encontrados e explorados no Microsoft Defender para Aplicativos em Nuvem, faça
capturas de tela deles, pois você precisará deles mais tarde, quando atualizar a
apresentação dos resultados.
61
13. Apresentação de Resultados
13.1 Apresentação de Resultados e Discussão dos Próximos Passos

Apresente e discuta os resultados das ameaças da Avaliação de Segurança Cibernética e discuta
e chegue a um acordo sobre as próximas etapas junto com o cliente.
Objetivos
Faça a apresentação 02 - Avaliação de segurança cibernética - Resultados e próximas
etapas.pptx. Se apropriado, atualização 02 - Avaliação de Segurança Cibernética - Resultados e
Próximas Etapas. apresentação pptx.
 Entrega 2 horas
 02 - Avaliação de Segurança Cibernética - Resultados e Próximos Passos.pptxapresentação
Preparação
 02 - Avaliação de Segurança Cibernética - Resultados e Próximos Passos.pptxapresentação
Pré-requisitos
As atividades descritas em12 Exploração deve ser concluído antes de iniciar esta atividade.
Orientação
Apresente a apresentação 02 - Avaliação de Segurança Cibernética - Resultados e Próximas
Etapas.pptx concluída anteriormente em12 Exploração.
 Ao apresentar, seja conciso e atenha-se aos fatos.
 Não tente usar todos os slides. Eles são fornecidos apenas como exemplos.
 Concentre-se nas “ameaças e riscos mais impactantes” encontrados no envolvimento.
 Destaque os principais insights e, quando apropriado, forneça ações recomendadas.
 Permita que o cliente tire suas próprias conclusões.
 Se, durante a discussão sobre ameaças, quaisquer próximos passos ou recomendações
forem formulados e acordados, certifique-se de documentá-los na seção Discussão dos
Próximos Passos da apresentação 02 - Avaliação de Segurança Cibernética - Resultados
e Próximos Passos.pptx.
 Discutir, definir e concordar com o cliente sobre os próximos passos em termos de
atividades de acompanhamento e/ou compromissos. Se possível, identifique os
62
proprietários do cliente e da equipe de entrega, o cronograma esperado e os recursos
necessários.
 Certifique-se de reservar algum tempo para perguntas e respostas.
63
14. Desativação do Engajamento
cliente para remover todas as configurações e recursos criados durante a Avaliação de
Segurança Cibernética e para cancelar as licenças de avaliação do Microsoft 365 da Avaliação de
Segurança Cibernética no locatário do cliente.
Objetivos
O objetivo é remover todas as configurações e recursos criados no locatário do cliente durante
a Avaliação de Segurança Cibernética.
 Entrega 1 hora
Preparação

concluído.
Pré-requisitos
As atividades descritas em13 Apresentação de Resultados deve ser concluído antes de iniciar esta
atividade.
Orientação
Importante
Recomendamos conversar com seu cliente antes de encerrar qualquer ou todas as alterações
de implantação e configuração feitas no locatário do cliente. Com base nos resultados da
avaliação e no feedback dos clientes, eles podem desejar manter ou expandir a configuração
ao final das atividades.
64
 Desativação do Microsoft Purview Insider Risk Analytics:
o Navegue até o portal de conformidade do Microsoft Purview
emhttps://purview.microsoft.com/compliancee faça login com a conta que
recebeu as permissões de gerenciamento de risco interno.
o No painel de navegação à esquerda, selecione Insider Risk Management.
o No canto superior direito da página Insider Risk Management, clique na
engrenagem para abrir as configurações.
o SelecioneAnalytics na lista de configurações. Alterne a chave de configuração
para Desligado. Clique em Salvar.
o Removeras permissões do Administrador de Dados de Conformidade do Azure
AD de quaisquer contas às quais foram atribuídas.
o Removeras permissões de risco interno, proteção de informações e
administrador de dados de conformidade do Microsoft Purview formam
quaisquer contas às quais foram atribuídas.
 Desativação do Microsoft Defender Vulnerability Management e do Microsoft

Defender for Endpoint:
o Abra uma nova sessão anônima/privada do navegador da Web e entre no
Microsoft 365 Defender no locatário do Microsoft 365 do cliente:
o Vá para as configuraçõesPontos finaisGrupos de dispositivos e exclua o
grupo de dispositivos que foi configurado no10.4 Configuração de gerenciamento
de vulnerabilidades do Microsoft Defenderatividade.
o Vá para as configuraçõesDescoberta de dispositivos à Verificações autenticadas
e exclua todas as verificações autenticadas que foram configuradas no10.4
Configuração de gerenciamento de vulnerabilidades do Microsoft Defenderatividad
e.
o Na máquina do scanner, vá paraPainel de controle  Programas e
característicasou paraConfigurações  Aplicativos  Aplicativos instaladose
desinstale a verificação autenticada do Microsoft Defender Vulnerability
Management para Windows.
o Se os pré-requisitos para a verificação autenticada do gerenciamento de
vulnerabilidades do Microsoft Defender para Windows foram configurados no
arquivo10.3 Configuração Geralatividade:
 usando o Objeto de Política de Grupo (GPO) e, em seguida, use o console
de Gerenciamento de Política de Grupo para remover o GPO do Active
Directory do clienteNOTA: se você usou scripts do PowerShell fornecidos
em 12 - Avaliação de segurança cibernética - Scripts.zip para criar esse
GPO, seu nome será Avaliação de segurança cibernética Política,
 manualmente em cada um desses dispositivos (localmente),
em seguida, remova a configuração de cada um deles.
65
o Na máquina de scanner useCmdlet Uninstall-ADServiceAccount para
desinstalar a conta de verificação instalada no10.3 Configuração
Geralatividade.
o No controlador de domínio do Active Directory, use o cmdlet Remove-
ADServiceAccount para remover a conta de verificação configurada no
arquivo10.3 Configuração Geralatividade do Active Directory
o Use as orientações abaixo para ajudar o cliente a desligar quaisquer dispositivos
Windows 10/11 que foram integrados ao Microsoft Defender para Endpoint
como parte do envolvimento:
Dispositivos externos do serviço Microsoft Defender for Endpoint
Importante
Os dispositivos desligados do Microsoft Defender para Endpoint permanecerão
visíveis no portal Microsoft 365 Defender até que o período de retenção de seus
dados expire.Os dados do Microsoft Defender para Endpoint são retidos por 180
dias. O status dos dispositivos desligados será alterado para 'Inativo' 7 dias após o
desligamento.
 Descomissionamento de produtos de segurança Microsoft 365 Defender:

o Abra uma nova sessão anônima/privada do navegador da Web e entre no
Microsoft 365 Defender no locatário do Microsoft 365 do cliente:
o Se durante as atividades de definição do escopo realizadas conforme a seção10.1
Reunião de Configuração de Engajamento e Definição de Escopo,foi tomada a
decisão de usar o Microsoft Defender for Endpoint para fornecer informações
sobre aplicativos e serviços em nuvem acessados pelos usuários do cliente e, em
seguida, reverter as etapas de configuração feitas anteriormente para integrar o
Microsoft Defender for Endpoint com o Microsoft Defender for Cloud Apps
conforme esta orientação:
Integrar o Microsoft Defender para Endpoint com o Defender para Aplicativos em
Nuvem
o Vá para as configuraçõesAplicativos em nuvem à descoberta em
nuvemExclua os dados e clique em Excluir para excluir os dados do Cloud
Discovery que foram armazenados no Microsoft Defender para aplicativos em
nuvem.
o Se a auditoria foi ativada como parte deste trabalho, desative-a conforme esta
orientação:
Desativar a auditoria - Microsoft Purview
66
o Abra uma nova guia em uma sessão de navegador da Web aberta anteriormente
e acesse o centro de administração do Microsoft 365 do locatário do Microsoft
365 do cliente:
https://admin.microsoft.com
escolha Faturamento à Seus produtos no menu do lado esquerdo.
 Selecione Complemento de gerenciamento de vulnerabilidades do
Microsoft Defender para avaliação de proteção contra ameaças e
selecione Cancelar assinatura.
 Selecione Microsoft 365 E5 Security para avaliação de proteção contra
ameaças e selecione Cancelar assinatura.
 Selecione Microsoft 365 E3 para avaliação do Threat Protection e
selecione Cancelar assinatura.
Importante
Certifique-se de cancelar as licenças de avaliação do Microsoft 365 da
Avaliação de Segurança Cibernética, e não quaisquer outras licenças de cliente.
67
Appendix A - Prontidão e conteúdo técnico
Este apêndice contém material de aprendizagem recomendado que cada recurso de entrega
deve percorrer antes de entregar a Avaliação de Segurança Cibernética.
Conteúdo de preparação geral da avaliação de segurança cibernética

Os materiais de aprendizagem recomendados pelos quais cada recurso de entrega deve passar
antes de entregar a Avaliação de Segurança Cibernética são:
 Explore e familiarize-se com o conteúdo doCentro de confiança.

 Explore e familiarize-se com o conteúdo doSegurança da Microsoftsite.
 Obtenha as atualizações de segurança mais recentes da Microsoft no Blog Seguro da
Microsoft.
 Obtenha as atualizações mais recentes do Microsoft 365 Defender noComunidade de
tecnologia da Microsoft - Blog do Microsoft 365 Defender
Conteúdo de ransomware operado por humanos

 Explore o conteúdo do Microsoft Learn relacionado a ameaças de ransomware:

Examinar ameaças baseadas em ransomware e extorsão – Treinamento
Recomendar uma estratégia de ransomware usando as Melhores Práticas de Segurança
da Microsoft – Treinamento
Ransomware e extorsão
 Táticas/técnicas do Mitre Att&ck Ransomware:
Técnicas de ransomware na ATT&CK | Health Cyber: Centro de recursos de ransomware
(mitre.org)
Conteúdo sobre segurança de dados e risco interno

 Explore o conteúdo do Microsoft Learn relacionado à segurança de dados e ameaças

internas:
Torne-se um Ninja Insider em Gerenciamento de Riscos - Microsoft Community Hub
 Gerenciar riscos internos no Microsoft 365 – Treinamento
68
Conteúdo de preparação do produto de segurança do Microsoft 365
antes de entregar o trabalho são:
 Explore e conheça o conteúdo listado no Centro de Treinamento

https://partner.microsoft.com/en-US/training#/
com foco específico em materiais de preparação sobre produtos e recursos de
segurança do Microsoft 365 Defender que são usados como ferramentas usadas no
envolvimento:
o Microsoft 365 Defensor
o Microsoft Defender para aplicativos em nuvem
o Microsoft Defender para Ponto de Extremidade
o Gerenciamento de riscos internos do Microsoft Purview
 Vídeos do Microsoft Defender Endpoint:
https://www.youtube.com/playlist?list=PL3ZTgFEc7LysX3dP-2WrxCSjOfz2uymRW
 Comunidade Microsoft Tech - Torne-se um Microsoft Defender para Endpoint Ninja:
https://techcommunity.microsoft.com/t5/microsoft-defender-atp/become-a-microsoft-
defender-atp-ninja/ba-p/1515647
Documentação do produto
 Documentação do Microsoft 365 Defender:
https://learn.microsoft.com/en-us/microsoft-365/security/defender/microsoft-365-
defender
 Documentação do Microsoft Defender para aplicativos em nuvem:
https://learn.microsoft.com/en-us/defender-cloud-apps
 Documentação do produto Microsoft Defender para Endpoint:
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint
 Documentação do produto Microsoft Defender Vulnerability Management:
https://learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-
management
 Documentação do produto Microsoft Purview Insider Risk Management:
https://learn.microsoft.com/en-us/purview/insider-risk-management-solution-overview
 Documentação do produto Microsoft Purview Information Protection
https://learn.microsoft.com/en-us/purview/sensibilidade-labels
69
Ambientes de demonstração
Recomendamos que você crie um ambiente de demonstração e explore os recursos de
segurança do Microsoft 365 como preparação para o envolvimento. Opções para criar
ambientes de demonstração:
 Demonstrações da Microsoft
 Experiências de imersão do cliente
Esses ambientes de demonstração podem ser acessados

atravéshttps://cdx.transform.microsoft.com
70
Appendix B - Kit de ferramentas de avaliação de
segurança cibernética
A tabela abaixo lista os arquivos que fazem parte do kit de ferramentas de avaliação de
segurança cibernética.
Nome do arquivo Tipo
00 - Avaliação de segurança cibernética - Guia de entrega Documento do Word
01 - Avaliação de segurança cibernética - Chamada de pré- Apresentação em powerpoint

engajamento
02 - Avaliação de Segurança Cibernética - Resultados e Próximos Apresentação em powerpoint

Passos
03 - Avaliação de segurança cibernética - Visão geral do Apresentação em powerpoint

envolvimento
04 - Avaliação de Segurança Cibernética - Questionário Planilha do Excel
05 - Avaliação de segurança cibernética - Perguntas frequentes Documento do Word
06 - Avaliação de Segurança Cibernética - Modelo POE Apresentação em powerpoint
07 - Avaliação de Cibersegurança - Folheto do Cliente Apresentação em powerpoint
08 – Avaliação de Segurança Cibernética – Agende Seu Modelo de e-mail do Outlook

Workshop
09 - Avaliação de segurança cibernética - Ilustrações de apoio Desenho do Visio
10 - Avaliação de Segurança Cibernética - Projetar Pontos de Planilha do Excel

Decisão
11 - Avaliação de segurança cibernética - Configuração de Apresentação em powerpoint

engajamento e definição de escopo
71
12 - Avaliação de Segurança Cibernética - Scripts Arquivo ZIP
72
Appendix C - Modelo de e-mail de ação necessária
Olá[NOME DO CLIENTE],
Obrigado por reservar um tempo para participar da Chamada de Pré-compromisso para Avaliação de
Segurança Cibernética. Como um passo importante para o sucesso do engajamento, leia este e-mail,
conclua as tarefas de pré-requisito o mais rápido possível e informe-nos se precisar de ajuda.
[DELIVERY_ORGANIZATION]foi contratado por[NOME DO CLIENTE]para entregar a Avaliação de

Segurança Cibernética.
Visão geral da avaliação de segurança cibernética
Ransomware operado por humanos e vazamentos de dados provenientes de ameaças internas são dois
dos riscos de segurança mais prevalentes que as organizações enfrentam. Mais de 98% desses ataques
podem ser evitados com a implementação de processos e soluções básicas de higiene de segurança.
Quão consciente está a sua organização das políticas e atividades que podem ajudar a fortalecer a sua
postura de segurança cibernética?
Durante a Avaliação de Cibersegurança iremos ajudá-lo a desenvolver um plano estratégico

personalizado para a sua organização, com base nas recomendações dos especialistas em segurança da
Microsoft. Você obterá conhecimento do estado atual de sua segurança alinhado aos benchmarks do
setor e receberá suporte sobre como remediar vulnerabilidades e atualizar sua postura de segurança a
longo prazo.
O que esperar:
Durante esta avaliação, faremos parceria com você para fortalecer a abordagem da sua organização em
relação à segurança cibernética. Ajudaremos você a entender melhor como priorizar e mitigar possíveis
ataques, com:
• Insights sobre ameaças comuns à segurança cibernética e o impacto que elas podem ter nas
operações comerciais.
73
• Análise do alinhamento da sua organização com metas comuns de segurança cibernética e ações
de melhoria projetadas para ajudar a fortalecer sua postura contra ransomware operado por
humanos e vazamentos de dados de ameaças internas.
• Visibilidade da integridade do seu endpoint e dos dados do Microsoft 365 usando verificações
das ferramentas de segurança da Microsoft.
• Recomendações de longo prazo de especialistas da Microsoft sobre sua estratégia de segurança,

com iniciativas importantes e próximas etapas táticas.
Agenda e Participantes
Certifique-se de que suas principais partes interessadas estejam confirmadas para participar da atividade
de Apresentação de Resultados e Discussão dos Próximos Passos.
[ADICIONAR AGENDA]
AÇÃO: Preencher os pré-requisitos
Listados abaixo estão alguns itens importantes que sua organização precisa concluir antes da próxima
etapa do envolvimento:
Gerenciamento de projetos
• Disponibilidade e cronograma de recursos (membros da equipe, fornecedores).

• Preenchimento do anexo 04 - Avaliação de Segurança Cibernética - Questionário do Cliente.xlsx.
Requisitos Técnicos – Microsoft 365
Os seguintes requisitos devem ser considerados pela sua organização antes do início do trabalho:
 Acesso ao locatário do Microsoft 365 (Office 365)

• Atribua a uma pessoa da sua organização com função de Administrador Global no seu locatário
do Microsoft 365 (Office 365) a tarefa de trabalhar conosco nas atividades de Configuração e
Exploração.
[Remova esta seção se você não estiver incluindo o componente opcional Cloud Discovery como
parte do envolvimento
 Obtenção de logs para Cloud Discovery, incluindo firewalls de rede e/ou servidores proxy
• Se a sua organização aproveita o Microsoft Defender para Endpoint e usa dispositivos com
Windows 10/11 (versão mínima 1709), então esta seria a melhor maneira de coletar logs para o
Cloud Discovery.
74
• Os logs também podem ser coletados do firewall local ou do proxy da Web durante o período
da fase de coleta de dados e, em seguida, carregados para análise do Cloud Discovery. Você
precisa garantir que os logs sejam coletados e armazenados no formato FTP, o que
normalmente requer o envio deles do firewall ou do proxy da Web para o armazenamento
externo, que você precisa fornecer. Até 1 fonte de logs coletados dessa forma está no escopo
do engajamento.
• Por favor, considere qual opção você prefere. Em seguida, discutiremos e finalizaremos onde
obter os logs do Cloud Discovery como parte da atividade Definir Escopo.
]
Requisitos técnicos – Requisitos do scanner de gerenciamento de vulnerabilidades do

Microsoft Defender
O envolvimento de avaliação de segurança cibernética usa o Microsoft Defender Vulnerability

Management e seu recurso de verificação autenticada para Windows para verificar remotamente
máquinas Windows em busca de vulnerabilidades.
Prepare uma máquina com os seguintes requisitos para ser usada como máquina de digitalização:
 Máquina local com Windows 10 (versão 1903), Windows Server (versão 1903) e posterior.
 Hardware que atende aos requisitos mínimos de sistema do sistema operacional escolhido.
 Ingressou no domínio do Active Directory que contém máquinas a serem verificadas em busca de
vulnerabilidades.
 Instale o módulo Azure Directory para Windows PowerShell que faz parte doFerramentas de
administração de servidor remoto (RSAT) – Serviços de domínio Active Directory e ferramentas
leves de serviços de diretório.
 Use as seguintes orientações para garantir que a máquina de verificação possa se comunicar com
o serviço Microsoft Defender for Endpoint se você precisar usar um servidor proxy para acessar a
Internet:
configuração de rede
Informações adicionais sobre o Microsoft Defender Vulnerability Management e seu recurso e requisitos
de verificação autenticada podem ser encontradas aqui:
Verificação autenticada para Windows no Defender Vulnerability Management
Se houver algum problema com o item acima, avise-me o mais rápido possível para que possamos
fornecer assistência.
[ASSINATURA]
75

00 - Cybersecurity Assessment - Delivery Guide - En.pt

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

00 - Cybersecurity Assessment - Delivery Guide - En.pt

Enviado por

Direitos autorais:

Formatos disponíveis

Traduzido do Inglês para o Português - www.onlinedoctranslator.

Certifique-se sempre de ter a versão mais recente deste

Aguardamos seu feedback!

A Avaliação de Segurança Cibernética ajuda os clientes a avaliar sua postura de segurança e o

1.1 Finalidade do documento

1.3 Formato de entrega

A fase de Pré-engajamento inclui as seguintes atividades:

 Chamada de pré-compromisso- Use esta atividade para apresentar ao cliente a Avaliação

A fase de pré-engajamento é realizada na semana 1 da Avaliação de Segurança Cibernética.

2.2 Configuração de engajamento

A fase de Configuração do Engajamento inclui as seguintes atividades:

 Reunião de Configuração de Engajamento e Definição de Escopo- Use esta atividade da

A fase de Configuração do Engajamento é entregue na semana 2 da Avaliação de Segurança

Mais detalhes sobre a fase de Configuração do Engajamento podem ser encontrados na

2.3 Coleção de dados

A fase de coleta de dados inclui as seguintes atividades:

A fase de coleta de dados abrange as semanas 2 a 3 da Avaliação de Segurança Cibernética.

A fase de Exploração inclui as seguintes atividades:

 Exploração de vulnerabilidades -Use esta atividade para trabalhar em conjunto com o

A fase de Exploração é entregue no início da semana 3 da Avaliação de Segurança Cibernética.

2.5 Apresentação de Resultados

A fase de Apresentação de Resultados inclui as seguintes atividades:

 Apresentação de Resultados e Discussão dos Próximos Passos -Apresente e discuta as

2.6 Desativação do Engajamento

A fase de desativação do envolvimento é entregue no final da semana 4 da avaliação de

 Entenda o nível atual de maturidade da segurança cibernética:Ajude o cliente a

FASE / ATIVIDADE Preparação Entrega[horas

 O preenchimento do questionário, incluindo a análise e recomendações resultantes.

O cliente precisará executar as tarefas, fornecer os recursos e assumir a responsabilidade pelas

8.1 Recursos recomendados do cliente

Recomendamos garantir que o patrocinador executivo participe das seguintes atividades:

Recomendamos que os Arquitetos participem nas seguintes atividades:

Recomendamos garantir que as Operações de Segurança participem das seguintes atividades:

 Reunião de Configuração de Engajamento e Definição de Escopo.

8.2 Recursos de entrega recomendados

9.1 Chamada de pré-compromisso

 Apresente a equipe ao cliente e prepare o cenário para o projeto.

 O formato geral de envolvimento da Avaliação de Segurança Cibernética.

Orientação para a verificação autenticada do gerenciamento de vulnerabilidades do

Os administradores de segurança podem então ver as recomendações de segurança mais

A conta será removida como parte do14 Desativação do Engajamentoatividade.

Configuração de dispositivo necessária

Orientações adicionais sobre a configuração necessária do dispositivo podem ser encontradas

 Durante a apresentação da chamada de pré-engajamento, usando o slide Visão geral da

O cliente só precisa implantar a máquina como preparação para o trabalho. A instalação do

Se uma demonstração fizer parte da chamada de pré-compromisso, consulteAppendix A -

O questionário será enviado ao cliente após a Chamada de Pré-engajamento.

 Personalize e prepare o e-mail de ação necessária.

 Personalize o e-mail de ação necessária localizado emAppendix C - Modelo de e-mail de

O preenchimento do questionário, incluindo a análise e as recomendações resultantes, é

10.1 Reunião de Configuração de Engajamento e Definição de

 O questionário 04 - Avaliação de segurança cibernética - Questionário do cliente.xlsx

• Ao apresentar, seja conciso e atenha-se aos fatos.

Note o10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsxdocumento foi

Se o cliente não tiver processos de gerenciamento de alterações (controle de alterações) em sua

Se o cliente tiver processos de gerenciamento de mudanças (controle de mudanças) em sua

Depois que as solicitações de gerenciamento de mudanças forem aprovadas, você poderá

 Obter as aprovações necessárias para a implantação das ferramentas de trabalho de

 Implantar licenças de avaliação do Microsoft 365 de avaliação de segurança cibernética

Preparação e materiais de apoio

 O documento 10 - Avaliação de segurança cibernética - Design Decision Points.xlsx

Para obter licenças de avaliação do Cybersecurity Assessment Microsoft 365, acesse:

Obtenha URLs de inscrição antes de iniciar a entrega da Avaliação de Segurança