Escolar Documentos
Profissional Documentos
Cultura Documentos
com
Avaliação de segurança
cibernética
Guia de entrega v1.0 – outubro de 2023
Índice
1. Introdução............................................................................................................................................................................
1.1 Finalidade do documento..................................................................................................................................
1.2 Público.......................................................................................................................................................................
1.3 Formato de entrega.............................................................................................................................................
2. Fases e Atividades de Engajamento...........................................................................................................................
2.1 Pré-engajamento...................................................................................................................................................
2.2 Configuração de engajamento........................................................................................................................
2.3 Coleção de dados.................................................................................................................................................
2.4 Exploração................................................................................................................................................................
2,5 Apresentação de Resultados............................................................................................................................
2.6 Desativação do Engajamento...........................................................................................................................
3. Objetivos de engajamento............................................................................................................................................
4. Esforço de engajamento..............................................................................................................................................
5. Escopo de engajamento...............................................................................................................................................
Na mira............................................................................................................................................................................
Fora do escopo.............................................................................................................................................................
6. Requisitos de aprovação de engajamento............................................................................................................
7. Requisitos do cliente.....................................................................................................................................................
8. Recursos recomendados..............................................................................................................................................
8.1 Recursos recomendados do cliente.............................................................................................................
8.2 Recursos de entrega recomendados...........................................................................................................
9. Pré-engajamento............................................................................................................................................................
9.1 Chamada de pré-compromisso.....................................................................................................................
9.2 Preparar, enviar e revisar o questionário de avaliação de segurança cibernética.....................
10. Configuração de engajamento.............................................................................................................................
10.1 Reunião de Configuração de Engajamento e Definição de Escopo................................................
10.2 Gerenciamento de mudanças (opcional)...................................................................................................
10.3 Configuração Geral............................................................................................................................................
10.4 Configuração de gerenciamento de vulnerabilidades do Microsoft Defender..........................
10,5 Configuração de análise de gerenciamento de risco interno............................................................
11. Coleção de dados.......................................................................................................................................................
11.1 Coleta de logs do Cloud Discovery (opcional)........................................................................................
12. Exploração.....................................................................................................................................................................
12.1 Exploração de vulnerabilidades.....................................................................................................................
12.2 Exploração de segurança de dados.............................................................................................................
1
12.3 Exploração do Cloud Discovery (opcional)...............................................................................................
13. Apresentação de Resultados.................................................................................................................................
13.1 Apresentação de Resultados e Discussão dos Próximos Passos......................................................
14. Desativação do Engajamento................................................................................................................................
Apêndice A - Prontidão e conteúdo técnico............................................................................................................
Apêndice B - Kit de ferramentas de avaliação de segurança cibernética......................................................
Apêndice C - Modelo de e-mail de ação necessária.............................................................................................
2
Histórico de versões
Versão Mudanças Data
Outubro de
1,0 Lançamento inicial
2023
3
Isenção de responsabilidade
© 2023 Microsoft Corporation. Todos os direitos reservados. Este documento é fornecido "no
estado em que se encontra". As informações e opiniões expressas neste documento, incluindo
URLs e outras referências a sites da Internet, podem ser alteradas sem aviso prévio.
Este documento não fornece quaisquer direitos legais sobre qualquer propriedade intelectual de
qualquer produto Microsoft. Os clientes e parceiros da Microsoft podem copiar, usar e
compartilhar esses materiais para planejamento, implantação e operação de produtos Microsoft.
4
1. Introdução
Este documento contém as orientações de entrega necessárias para entregar com sucesso a
Avaliação de Segurança Cibernética.
Um questionário para ajudá-lo a analisar o ambiente dos clientes e seu nível atual de
maturidade de segurança cibernética com base na v8 dos Controles Críticos de
Segurança do CIS.
Uma avaliação de vulnerabilidade usando:
o Gerenciamento de vulnerabilidades do Microsoft Defender.
o Pontuação segura da Microsoft.
Uma avaliação de segurança de dados usando:
o Proteção de informações do Microsoft Purview
o Análise de gerenciamento de riscos do Microsoft Purview Insider.
Uma descoberta opcional na nuvem usando o Microsoft Defender for Cloud.
Uma lista das próximas etapas com base nas necessidades, objetivos e resultados do
cliente na avaliação de segurança cibernética.
1.2 Público
Este documento destina-se principalmente a ser usado por parceiros da Microsoft ou de campo
da Microsoft com Competência em Segurança como orientação sobre como fornecer a
Avaliação de Segurança Cibernética.
5
2. Fases e Atividades de Engajamento
Em alto nível, as atividades da Avaliação de Segurança Cibernética podem ser agrupadas nas
seguintes fases, que são realizadas durante um período de cinco semanas:
Pré-engajamento
o Chamada de pré-compromisso
o Preparar, enviar e revisar o questionário de avaliação de segurança cibernética
Configuração de engajamento
o Reunião de Configuração de Engajamento e Definição de Escopo
o Gerenciamento de Mudanças (opcional)
o Configuração Geral
o Configuração de gerenciamento de vulnerabilidades do Microsoft Defender
o Configuração de análise de gerenciamento de risco interno
Coleção de dados
o Coleta de logs do Cloud Discovery (opcional)
Exploração
o Exploração de vulnerabilidades
o Exploração de segurança de dados
o Exploração do Cloud Discovery (opcional)
Apresentação de Resultados
o Apresentação de Resultados e Discussão dos Próximos Passos
Desativação do Engajamento
6
A ilustração abaixo fornece uma visão geral de alto nível de todas as fases que fazem parte da
Avaliação de Segurança Cibernética e o que essas fases incluem:
7
2.1 Pré-engajamento
A fase de Pré-compromisso inclui a Chamada de Pré-compromisso, que normalmente é uma
reunião online organizada como a primeira etapa do envolvimento. Durante esta reunião online,
o recurso de entrega apresentará ao cliente a Avaliação de Segurança Cibernética, discutirá as
próximas atividades, alinhará expectativas e estabelecerá cronogramas. Após a teleconferência
de pré-compromisso, o cliente receberá o questionário de avaliação de segurança cibernética e
será solicitado a responder às perguntas na semana seguinte à teleconferência.
Mais detalhes sobre a fase de pré-engajamento podem ser encontrados na seção9 Pré-
engajamentodeste documento.
8
Configuração Geral- Utilize esta atividade da Avaliação de Segurança Cibernética para
trabalhar em conjunto com o cliente para configurar os seus inquilinos do Azure e do
Microsoft 365.
Configuração de gerenciamento de vulnerabilidades do Microsoft Defender- Use esta
atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para implantar e configurar o Microsoft Defender Vulnerability Management.
Configuração de análise de gerenciamento de risco interno- Use esta atividade da
Avaliação de Segurança Cibernética para trabalhar em conjunto com o cliente para
configurar o Insider Risk Management Analytics.
Coleta de logs do Cloud Discovery (opcional) -Utilize esta atividade opcional para
trabalhar em conjunto com o cliente para concluir os preparativos técnicos necessários
para concluir a atividade Cloud Discovery.
Mais detalhes sobre a fase de Coleta de Dados podem ser encontrados na seção11 Coleção de
dadosdeste documento.
2.4 Exploração
A fase de Exploração inclui trabalhar em conjunto com o cliente para descobrir, analisar e
documentar vulnerabilidades detectadas como parte do trabalho.
9
envolvimento, resumindo e documentando suas descobertas como parte da
apresentação de resultados.
Exploração de segurança de dados -Use esta atividade para trabalhar em conjunto com o
cliente para descobrir e analisar vulnerabilidades detectadas como parte do
envolvimento, resumindo e documentando suas descobertas como parte da
apresentação de resultados.
Exploração de descoberta em nuvem (opcional) -Use esta atividade opcional para
trabalhar em conjunto com o cliente para descobrir e analisar o uso de aplicativos em
nuvem, resumindo e documentando suas descobertas como parte da apresentação de
resultados.
Mais detalhes sobre a fase de Exploração podem ser encontrados na seção12 Exploraçãodeste
documento.
Mais detalhes sobre a fase de Apresentação de Resultados podem ser encontrados na seção13
Apresentação de Resultadosdeste documento.
10
Mais detalhes sobre a fase de desativação do engajamento podem ser encontrados na seção14
Desativação do Engajamentodeste documento.
11
3. Objetivos de engajamento
Os objetivos da Avaliação de Segurança Cibernética são:
12
4. Esforço de engajamento
O esforço típico de entrega da Avaliação de Segurança Cibernética (sem módulos opcionais) é
estimado em aproximadamente 12 (+2 opcionais) horas ao usar o exemplo de cronograma e
escopo fornecidos neste guia, excluindo o tempo necessário para os preparativos, que é
estimado em ~6 (+1 opcional) horas. Essas estimativas também não incluem tempo para
recursos opcionais (externos) de gerenciamento de projetos/engajamentos. Se for necessário
um gerente de projeto/engajamento (externo), horas adicionais deverão ser adicionadas
adequadamente.
Importante
Trate o escopo e o cronograma padrão como um modelo para usar como orientação ao criar sua
própria oferta com base neste kit de ferramentas. Você deve ajustar o escopo e o cronograma para
que correspondam.
A tabela abaixo fornece estimativas de alto nível do esforço para atividades de Avaliação de
Segurança Cibernética incluídas no escopo padrão do trabalho. Os números fornecidos são
considerados indicativos e podem sofrer alterações em função da personalização do
cronograma de entrega e/ou das atividades individuais.
13
Opcional:
1 2
5. Escopo de engajamento
Na mira
O escopo padrão desta parte do trabalho inclui:
Análise do questionário do cliente.
Implantação de licenças de avaliação do Microsoft 365 para avaliação de segurança
cibernética no locatário do cliente, se necessário.
Configuração dos produtos Microsoft usados como parte do contrato, conforme
orientação fornecida neste documento.
Correção de possíveis problemas técnicos durante a implantação.
Verificação e avaliação de vulnerabilidades em servidores e clientes Windows locais em
um único domínio do Active Directory.
Exploração de vulnerabilidades para descobrir e priorizar vulnerabilidades e
configurações incorretas.
Exploração de informações confidenciais identificadas no ambiente Microsoft 365
usando recursos prontos para uso do Microsoft Purview.
Análise opcional de aplicativos em nuvem usados pelos usuários no ambiente do cliente
por meio da parte Cloud Discovery do Microsoft Defender para Aplicativos em Nuvem,
com base no Microsoft Defender para Endpoint, se já implantado pelo cliente, ou com
base em um upload manual único de logs de um único dispositivo de segurança de
perímetro local, como um firewall ou servidor proxy.
Descomissionamento de configuração e licenças no final do contrato.
Fora do escopo
O âmbito padrão desta parte do trabalho exclui tudo o que não foi incluído no âmbito, em
particular:
Configuração de produtos Microsoft além das orientações fornecidas neste documento.
Verificação e avaliação de vulnerabilidades em máquinas fora das redes corporativas
locais.
Carregamento automático de logs de firewall ou servidor proxy para o Microsoft
Defender para aplicativos em nuvem (por meio do Log Collector).
Análise (investigação) de incidentes de segurança.
Análise forense.
Projetos técnicos ou implementações.
14
6. Requisitos de aprovação de engajamento
Para garantir a entrega e aprovação bem-sucedidas do envio do Comprovante de Execução,
certifique-se de preencher os seguintes requisitos de trabalho:
Importante
Você precisará fornecer capturas de tela como parte do processo de Prova de Execução para
demonstrar que cumpriu os requisitos acima. O não cumprimento dos requisitos pode resultar na
rejeição do envio do Comprovante de Execução.
Para obter detalhes sobre como documentar que esses requisitos foram atendidos, consulte
06 - Avaliação de segurança cibernética - modelo POE.pptx
15
7. Requisitos do cliente
A entrega bem-sucedida do trabalho depende do envolvimento do cliente em todos os
aspectos do trabalho. O cliente deve garantir que informações precisas e completas sejam
fornecidas em tempo hábil, conforme necessário, que recursos apropriados sejam
comprometidos e que quaisquer atividades sejam concluídas de maneira oportuna e eficaz.
NOTA: Esta seção descreve os requisitos do cliente aplicáveis ao trabalho geral. Requisitos
adicionais específicos para as atividades serão descritos nas seções individuais abaixo.
O cliente precisará fornecer acesso adequado ao pessoal necessário para concluir com
êxito o trabalho, incluindo:
a) Um gerente de projeto do cliente responsável pela coordenação geral e pelo
agendamento da logística.
b) Proprietários de objetos de TI para identidade e segurança durante todas as fases
da avaliação.
c) Um patrocinador executivo.
O cliente precisará fornecer uma ou mais máquinas virtuais ou físicas para serem usadas
pelo scanner Microsoft Defender Vulnerability Management. Os requisitos para as
máquinas estão especificados no10.4 Configuração de gerenciamento de vulnerabilidades
do Microsoft DefendereAppendix C - Modelo de e-mail de ação necessáriaseções deste
documento.
O cliente fornecerá o seguinte ao recurso de entrega:
Acesso a qualquer documentação relevante.
Conectividade de rede, espaço de trabalho adequado, licenças de
estacionamento, acesso ao edifício e crachás de identificação apropriados no
primeiro dia, se você estiver planejando realizar o trabalho no local.
Sala de tamanho adequado com quadro branco e projetor para sessões de
transferência de conhecimento.
16
8. Recursos recomendados
Arquitetos
ISTO
Segurança
Rede
Infraestrutura de Servidor
Identidade
Administradores
Segurança
Rede
Infraestrutura de Servidor
Identidade
Administradores de locatários do Microsoft 365 e do Azure
17
Recomendamos garantir que os Administradores participem das seguintes atividades:
Chamada de pré-compromisso.
Reunião de Configuração de Engajamento e Definição de Escopo.
Gerenciamento de mudanças (opcional).
Configuração Geral.
Configuração de gerenciamento de vulnerabilidades do Microsoft Defender.
Configuração de análise de gerenciamento de risco interno.
Exploração de vulnerabilidades.
Exploração de segurança de dados.
Apresentação de Resultados e Discussão dos Próximos Passos
Desativação do Engajamento.
18
Gerente de Projeto ou Engajamento (opcional)
Compreensão básica de segurança cibernética.
Compreensão básica dos produtos de segurança Microsoft 365 Defender.
Compreensão básica da segurança do Azure.
Experiência em gerenciamento de compromissos de segurança.
19
9. Pré-engajamento
Objetivos
O objetivo da Chamada de Pré-engajamento é fornecer uma visão geral do trabalho e chegar a
um acordo sobre o escopo, cronograma e recursos necessários, especialmente os seguintes:
Duração e esforço
Preparação 1 hora
Entrega 1 hora
Materiais de suporte
01 - Avaliação de segurança cibernética - Chamada de pré-engajamento.pptx
20
Preparação
Antes de entregar a Chamada de Pré-engajamento, o recurso de entrega que lidera a reunião
precisará se familiarizar com:
Se uma demonstração for incluída, o recurso de entrega deverá se preparar para entregar a
demonstração usando seu próprio ambiente de demonstração/laboratório ou com a
demonstração click-through. Informações adicionais sobre como preparar e entregar uma
demonstração podem ser encontradas emAppendix A -Prontidão e conteúdo técnico.
Pré-requisitos
Não existem pré-requisitos.
Orientação
Realize a reunião usando as notas do palestrante e as orientações fornecidas na apresentação
01 - Avaliação de segurança cibernética - Chamada de pré-engajamento.pptx.
Requisitos do scanner
O cliente precisa fornecer uma máquina local onde você possa instalar o scanner. O scanner é
compatível com Windows 10, versão 1903 e Windows Server, versão 1903 e posterior,
atendendo aos requisitos mínimos de hardware do sistema operacional e pode ser uma
máquina virtual ou física associada ao Active Directory do cliente.
21
Importante
A máquina do scanner deve estar integrada ao Microsoft Defender para Endpoint antes da
instalação do scanner. Se o Microsoft Defender para Endpoint ainda não estiver implantado, você
precisará implantá-lo como parte do10.4 Configuração de gerenciamento de vulnerabilidades do
Microsoft Defender atividade.
Conta de digitalização
É necessária uma conta de digitalização para acessar remotamente os dispositivos. Esta deve ser
uma conta de serviço gerenciado por grupo (gMSA) que precisa ser criada antes que você possa
configurar a verificação autenticada. Orientações adicionais sobre contas de serviço gerenciado
por grupo (gMSA) podem ser encontradas aqui:
Contas de serviço gerenciado por grupo (gMsa)
Importante
Recomendamos que a conta gMSA seja uma conta com menos privilégios, com apenas as
permissões mínimas de digitalização exigidas.
22
Importante
Instruções detalhadas para permitir que o cliente implante a máquina necessária para o scanner a
tempo para o trabalho foram incluídas como parte doAppendix C - Modelo de e-mail de ação
necessária. Você enviará este e-mail ao cliente após concluir a chamada de pré-engajamento.
23
9.2 Preparar, enviar e revisar o questionário de avaliação de
segurança cibernética
Para poder se preparar para as atividades de trabalho, é importante ter um bom entendimento
do ambiente de produção do cliente. O kit de ferramentas de avaliação de segurança
cibernética vem com um modelo de e-mail de ação necessária e um questionário que o cliente
deverá preencher.
Objetivos
Os objetivos dessas atividades são:
Duração e esforço
Preparação 1 hora
Entrega 0.5 horas
Materiais de suporte
04 - Avaliação de segurança cibernética - Questionário do cliente.xlsx
Ação requeridae-mail localizado emAppendix C - Modelo de e-mail de ação necessária
Preparação
Antes de enviar o questionário ao cliente, o recurso de entrega deve customizar as perguntas do
questionário com base nas informações obtidas na Chamada de Pré-engajamento.
Pré-requisitos
As atividades descritas no parágrafo9.1 Chamada de pré-compromisso deverá ser concluída
antes de iniciar esta atividade.
24
Orientação
Crie um e-mail usando o modelo fornecido emAppendix C - Modelo de e-mail de ação
necessária.
Anexe e envie ao cliente o questionário 04 - Avaliação de Cibersegurança - Questionário
do Cliente.xlsx.
Depois que o cliente tiver preenchido e devolvido o questionário 04 - Avaliação de
segurança cibernética - Questionário do cliente.xlsx, revise e identifique as respostas que
requerem maiores esclarecimentos durante o engajamento.
Depois que o cliente tiver preenchido e devolvido o questionário 04 - Avaliação de
segurança cibernética - Questionário do cliente.xlsx, revise e atualize a apresentação 02 -
Avaliação de segurança cibernética - Resultados e próximas etapas.pptx:
o Preencha os slides “Cenário de ameaça – Avaliação de ransomware operado por
humanos” com as ações priorizadas de melhoria e implementação e as próximas
etapas que você acredita que melhorariam as defesas do cliente contra ataques
de ransomware operados por humanos.
Substitua as pontuações de Conscientização/Prontidão do questionário
por capturas de tela do questionário 04 - Avaliação de segurança
cibernética - Questionário do cliente.xlsx.
o Preencha os slides “Cenário de ameaça – Riscos internos” com as ações
priorizadas de melhoria e implementação e as próximas etapas que você acredita
que melhorariam as defesas do cliente contra o risco interno.
Substitua as pontuações de Conscientização/Prontidão do questionário
por capturas de tela do questionário 04 - Avaliação de segurança
cibernética - Questionário do cliente.xlsx.
Importante
25
10. Configuração de engajamento
Objetivos
O objetivo é finalizar o escopo e a configuração das ferramentas de engajamento.
Duração e esforço
Preparação 1 hora
Entrega 1 hora
Materiais de suporte
10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
11 - Avaliação de segurança cibernética - Configuração de engajamento e definição de
escopo.pptx
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas no9 Pré-engajamentofase deve ser concluída antes de iniciar esta
atividade.
26
Orientação
Realize a atividade apresentando a apresentação 11 - Avaliação de segurança cibernética -
Configuração de engajamento e definição de escopo.pptx, usando a planilha 10 - Avaliação de
segurança cibernética - Pontos de decisão de design.xlsx para registrar o escopo e as decisões
de design.
27
10.2 Gerenciamento de mudanças (opcional)
Nesta atividade da Avaliação de Segurança Cibernética, o cliente passa pelos seus processos de
gestão de mudanças para obter as aprovações necessárias para a implantação das ferramentas
de trabalho de acordo com o escopo de trabalho acordado.
Objetivos
Os objetivos dessas atividades são:
Duração e esforço
Preparação 1 hora
Entrega 0 horas
Materiais de suporte
10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
Preparação
Nenhum.
Pré-requisitos
As atividades descritas no parágrafo10.1 Reunião de Configuração de Engajamento e Definição
de Escopodeverá ser concluída antes desta atividade.
Orientação
Orientar o cliente para obter as aprovações necessárias para a implantação das
ferramentas de engajamento de acordo com o escopo de engajamento acordado
registrado em 10 - Avaliação de segurança cibernética - Design Decision Points.xlsx.
Se necessário, certifique-se de que o cliente, como parte do processo de aprovação,
selecione as datas.
28
10.3 Configuração Geral
Use esta atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para configurar seu locatário do Microsoft 365 e implantar as ferramentas de
engajamento.
Objetivos
O objetivo é configurar os produtos de segurança Microsoft 365 Defender incluídos como parte
do envolvimento no locatário do cliente, especialmente os seguintes:
Duração e esforço
Preparação 0 hora
Entrega 0,5 hora
Materiais de suporte
10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
05 - Avaliação de segurança cibernética - Questionário do cliente.docx
12 - Avaliação de segurança cibernética - Scripts.zip
29
Pré-requisitos
O recurso de entrega que lidera o envolvimento precisará adquirir licenças de avaliação
do Microsoft 365 para avaliação de segurança cibernética, necessárias para os produtos
e serviços de segurança do Microsoft 365 Defender usados durante o envolvimento.
Orientação
Importante
O envolvimento foi projetado para não causar impacto nas experiências dos usuários ou
em seus dispositivos. Isso significa que:
30
Tenha muito cuidado ao tomar quaisquer medidas além das listadas neste Guia de
Entrega ou você corre o risco de ter um impacto indesejado, durante ou após o trabalho
Importante
Ative a auditoria:
o Abra uma nova guia na sessão do navegador da web e siga as orientações abaixo para
ativar a pesquisa de auditoria (se ainda não estiver ativada):
Ativar a auditoria - Microsoft Purview
31
Use as seguintes orientações para confirmar se o serviço Microsoft 365 Defender está
ativado:
Confirme se o serviço Microsoft 365 Defender está ativado
Conta de digitalização:
Uma conta de verificação deve ser criada no Active Directory do cliente para permitir que a
verificação autenticada do Microsoft Defender Vulnerability Management acesse
32
remotamente os dispositivos que serão verificados. A conta de digitalização deve ser uma
conta de serviço gerenciado por grupo (gMSA).
Uma vez criada a conta de digitalização, ela deve ser instalada na máquina onde o scanner
será executado, para permitir a recuperação da senha dessa conta de digitalização.
Use as seguintes orientações para primeiro criar uma conta de digitalização e depois instalá-
la na máquina onde o scanner será executado:
Verificação autenticada para Windows - Conta de verificação
33
NOTA 4: caso o cliente ainda não tenha implantado a primeira chave raiz KDS em seu
Active Directory, você receberá um erro “A chave não existe” ao tentar criar a conta de
digitalização usando o novo-cmdlet ADServiceAccount. Nesse caso, use as
seguintes orientações para criar a primeira chave raiz KDS:
Criar a chave raiz KDS dos serviços de distribuição de chavesObserve que você precisará
aguardar 10 horas para que a chave seja propagada para todos os controladores de
domínio do Active Directory antes de poder ser usada.
Orientações adicionais sobre contas de serviço gerenciadas por grupo (gMSA) podem ser
encontradas aqui:
Contas de serviço gerenciado por grupo (gMSA).
34
Verificação autenticada para Windows – Pré-requisitos – Dispositivos a serem
verificados – Exemplo de script do PowerShell.
35
Após as atualizações, o primeiro script do PowerShell CybersecurityAssessment-Script1.ps1
pode ser executado. Aqui está um exemplo de saída:
PS C:\CybersecurityAssessmentScripts> .\CybersecurityAssessment-Script1.ps1
Criando novo GPO "Política de Avaliação de Segurança Cibernética" no domínio contoso.local
Importando para as configurações de GPO "Política de avaliação de segurança cibernética" do backup
"Política de avaliação de segurança cibernética" em C:\CybersecurityAssessmentScripts\
Removendo permissões de "Usuários Autenticados" para o GPO "Política de Avaliação de Segurança
Cibernética" no domínio contoso.local
Atribuir permissões para ler e aplicar o GPO "Política de Avaliação de Segurança Cibernética" no
domínio contoso.local
para computadores selecionados em C:\CybersecurityAssessmentScripts\SelectedComputers.cvs
Atribuindo permissões ao computador CLIENT1
Atribuindo permissões ao computador CLIENT2
Criando link para o GPO "Política de Avaliação de Segurança Cibernética" para
OU=Branch1,DC=contoso,DC=local
Criando link para o GPO "Política de Avaliação de Segurança Cibernética" para
OU=Branch2,DC=contoso,DC=local
Feito.
Se o script foi executado com êxito, aguarde pelo menos 2 horas para permitir que os
dispositivos listados no arquivo SelectedComputers.csv selecionem o GPO recém-criado.
C:\CybersecurityAssessmentScripts> .\CybersecurityAssessment-Script2.ps1
Executando remotamente o script "C:\CybersecurityAssessmentScripts\CybersecurityAssessment-Grant-
Permissions-to-Root-CIMV2-WMI-Namespace.ps1" em computadores selecionados de C:\
CybersecurityAssessmentScripts\SelectedComputers.txt
Executando o script remotamente em CLIENT1
Executando o script remotamente em CLIENT1
Feito.
36
10.4 Configuração de gerenciamento de vulnerabilidades do
Microsoft Defender
Utilize esta atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para configurar o Microsoft Defender Vulnerability Management.
Objetivos
O objetivo é configurar o Microsoft Defender Vulnerability Management no locatário do cliente,
particularmente o seguinte:
Duração e esforço
Preparação 0 hora
Entrega 1 hora
Materiais de suporte
10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
• As atividades descritas no parágrafo10.3 Configuração Geraldeverá ser concluída antes de
iniciar esta atividade.
Orientação
Siga estas etapas usando o escopo registrado no documento 10 - Avaliação de segurança
cibernética - Design Decision Points.xlsx.
37
Importante
A máquina de verificação do Microsoft Defender Vulnerability Management deve estar
integrada ao Microsoft Defender para Endpoint para permitir a descoberta de máquinas.
Apenas uma configuração mínima do Microsoft Defender for Endpoint é necessária para dar
suporte aos requisitos de engajamento.
Importante
O usuário que inicia o processo de integração do Microsoft Defender para Endpoint
deve ter a função de Administrador Global ou Administrador de Segurança atribuída a
ele. Este usuário receberá automaticamente direitos de acesso completos ao Microsoft
Defender para Endpoint e poderá conceder acesso a usuários adicionais usando as
permissões básicas ou habilitando o controle de acesso baseado em função (RBAC)
para o Microsoft Defender para Endpoint, se necessário.
Peça ao cliente para abrir oPortal do Microsoft 365 Defender e, em seguida, faça
login com a conta para receber acesso total ao Microsoft Defender para Endpoint
conforme o escopo registrado no documento 10 - Avaliação de segurança
cibernética - Design Decision Points.xlsx e conclua a configuração inicial.
Em seguida, você precisa configurar o Microsoft Defender for Endpoint para o engajamento.
Como usaremos apenas a verificação autenticada do gerenciamento de vulnerabilidades do
Microsoft Defender para Windows, só precisamos definir as configurações mínimas
necessárias.
38
Grupos de dispositivos
No Microsoft Defender para Endpoint, você pode criar grupos de dispositivos e usá-
los para:
Importante
É necessário configurar um novo grupo de dispositivos contendo os dispositivos
Windows 10/11 a serem incluídos como parte do compromisso.
Características avançadas
Importante
Recursos avançados adicionais podem ser configurados, mas esteja ciente do impacto
potencial no cronograma do engajamento.
39
o Descoberta de dispositivos
Proxy transparente
Protocolo de descoberta automática de proxy da Web (WPAD)
Detalhes adicionais sobre como configurar servidores proxy podem ser encontrados
aqui:
Definir configurações de proxy do dispositivo e conectividade com a Internet
40
Depois de integrar o dispositivo de varredura do Microsoft Defender Vulnerability
Management, você deverá verificar o status de integração na página Inventário de
dispositivos aqui:
Dispositivo – Segurança do Microsoft 365
41
de anular esta decisão e optar por monitorar qualquer rede onde seu dispositivo esteja
localizado.
Siga as instruções abaixo para verificar o estado de monitoramento das redes a serem
monitoradas:
Importante
Se as redes monitoradas esperadas não tiverem sido adicionadas após uma verificação bem-
sucedida, verifique novamente após a conclusão do próximo ciclo de verificação.
Importante
Depois de configurar os produtos de engajamento, você precisa permitir que os produtos
coletem dados por pelo menos sete dias antes de começar a analisar os resultados como parte
do12 ExploraçãoEstágio.
42
10.5 Configuração de análise de gerenciamento de risco interno
Use esta atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para configurar seu locatário do Microsoft 365 e implantar as ferramentas de
engajamento.
Objetivos
O objetivo é configurar os produtos Microsoft Purview Insider Risk Management incluídos como
parte do envolvimento no locatário do cliente, particularmente os seguintes:
Duração e esforço
Preparação 0 hora
Entrega 0,5 hora
Materiais de suporte
10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas no parágrafo10.3 Configuração Geraldeve ser concluído antes de
iniciar esta atividade especificamente:
o Uma assinatura do Microsoft 365 que inclui o Insider Risk Management
o Auditoria de usuários e administradores habilitada por meio do Log de Auditoria
do Microsoft 365.
Orientação
A análise do Microsoft Purview Insider Risk Management permite-lhe realizar uma avaliação de
potenciais riscos internos na sua organização sem configurar quaisquer políticas de risco
interno. Essa avaliação pode ajudar sua organização a identificar possíveis áreas de maior risco
43
para o usuário, fornecendo insights retornados como atividades agregadas e anônimas do
usuário.
44
No painel Permissões > Grupos de funções para soluções do Microsoft Purview, procure
por Risco Interno.
Importante
Pode levar até 30 minutos para que as permissões sejam aplicadas à conta.
Importante
A atribuição de todos os membros da equipe de avaliação de segurança cibernética ao
grupo de gerenciamento de riscos internos estará, em algumas regiões do mundo, sujeita a
leis de privacidade e afetada por leis e regulamentos trabalhistas. Recomenda-se discutir
isso com o cliente antes da implementação.
45
No canto superior direito da página Insider Risk Management, clique na engrenagem
para abrir as configurações.
SelecionePrivacidade nas listas de configurações. Confirme se Mostrar versões anônimas
de nomes de usuário está selecionado. Clique em Salvar
SelecioneAnalytics na lista de configurações. Alterne o botão de configuração para
Ligado. Clique em Salvar.
Importante
Para proteger a privacidade do usuário, todas as atividades do usuário retornadas pelas
verificações são anonimizadas. Nenhum detalhe do usuário está incluído.
46
11. Coleção de dados
A fase de recolha de dados permitirá que os produtos de envolvimento incluídos recolham
dados para serem analisados como parte do envolvimento. Para garantir que você tenha dados
suficientes para analisar, é necessário permitir que os produtos coletem dados por pelo menos
sete dias.
NOTA: Se foi decidido usar o Microsoft Defender for Endpoint como fonte para os logs de
descoberta na nuvem, ignore esta atividade.
Importante.
As atividades descritas nesta seção devem ser realizadas no final do período de coleta de dados,
mas pelo menos 24 horas antes das atividades descritas na seção12 Exploraçãopara permitir que
o Microsoft Defender for Cloud Apps tenha tempo suficiente para analisar os logs carregados.
Objetivos
O objetivo é criar relatório(s) de instantâneo de descoberta de nuvem no Microsoft Defender
para aplicativos em nuvem, carregando arquivos de log do dispositivo de segurança de
perímetro local do cliente, como um firewall ou servidor proxy, que foram coletados e
armazenados em formato FTP durante a coleta de dados. período.
Duração e esforço
Preparação 1 hora
Entrega 1 hora
47
Materiais de suporte
10 - Avaliação de segurança cibernética - Projetar pontos de decisão.xlsx
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas em10.3 Configuração Geral deve ser concluído antes de iniciar esta
atividade.
Orientação
Siga estas etapas usando o escopo registrado no documento 10 - Avaliação de segurança
cibernética - Design Decision Points.xlsx.
o Abra uma nova sessão anônima/privada do navegador da Web e entre no portal
Microsoft 365 Defender do locatário do Microsoft 365 do cliente:
https://security.microsoft.com
o Vá para aplicativos em nuvemDescoberta na nuvem.
o Na página Cloud Discovery, escolha AçõesCrie um relatório instantâneo do
Cloud Discovery.
o Peça ao cliente para carregar logs coletados de seu dispositivo de segurança de
perímetro local, como um firewall ou servidor proxy, para fornecer informações
sobre aplicativos e serviços em nuvem acessados pelos usuários do cliente para o
Microsoft Defender para aplicativos em nuvem e criar relatórios instantâneos do
Cloud Discovery .
Use as etapas a seguir para criar relatórios instantâneos do Cloud Discovery no
Microsoft Defender para aplicativos em nuvem:
Criar relatórios instantâneos do Cloud Discovery
Microsoft Defender para aplicativos em nuvem no Microsoft 365 Defender
NOTA: Se houvesse mais de 100 arquivos com logs armazenados, você precisaria
criar vários relatórios separados de instantâneo do Cloud Discovery.
48
12. Exploração
Objetivos
O objetivo é trabalhar em conjunto com o cliente para analisar e documentar vulnerabilidades e
recomendações de segurança no âmbito da atividade de Exploração de Vulnerabilidades,
nomeadamente as seguintes:
Duração e esforço
Preparação 0 hora
Entrega 1 hora
Materiais de suporte
Não existem materiais de apoio.
49
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas em10.3 Configuração Gerale11.1 Coleta de logs do Cloud Discovery
(opcional)deve ser concluído antes de iniciar esta atividade.
Permitir que os produtos de engajamento incluídos coletem dados por pelo menos 7
dias durante a fase de coleta de dados.
Orientação
Trabalhe em conjunto com os recursos do cliente para explorar recomendações e relatórios:
50
autoridade de segurança local (LSA)' - Desabilitar o armazenamento local de senhas e
credenciais
Próximos passos):
Configuração de segurança de base do sistema operacional de endpoint, implantação do
Windows e do Azure AD LAPS
o Anote todas as recomendações que você deseja incluir como parte da seção
Ransomware operado por humanos na apresentação 02 - Avaliação de segurança
cibernética - Resultados e próximas etapas.pptx.
51
o Certifique-se de preencher os slides de avaliação de ransomware operado por
humanos com as recomendações priorizadas e as próximas etapas que você
acredita que melhorariam as defesas do cliente contra ataques de
ransomware operados por humanos.
Atualize os gráficos Secure Score e Exposure Score clicando com o
botão direito nos gráficos e selecionando “Editar dados”. Insira as
pontuações do locatário do cliente.
o Inclua uma ou mais das Próximas Etapas recomendadas de cada um dos
Cenários de Ameaça no slide geral da Discussão das Próximas Etapas do
engajamento.
Orientações adicionais podem ser encontradas nas notas do palestrante e nos slides
ocultos da apresentação 02 - Avaliação de segurança cibernética - Resultados e
próximas etapas.pptx.
52
12.2 Exploração de segurança de dados
Esta atividade permitirá trabalhar em conjunto com o cliente, utilizando produtos de segurança
da Microsoft e relatórios relacionados para explorar e analisar os incidentes, alertas e
vulnerabilidades gerados durante a fase de recolha de dados.
Importante
Objetivos
O objetivo é trabalhar em conjunto com o cliente para analisar e documentar potenciais riscos
relacionados com o armazenamento e tratamento de dados sensíveis dentro da organização,
nomeadamente os seguintes:
Duração e esforço
Preparação 0,25 hora
Entrega 1 hora
Materiais de suporte
Não existem materiais de apoio.
53
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas em10.3 Configuração Gerale10.5 Configuração de análise de
gerenciamento de risco interno deve ser concluído antes de iniciar esta atividade.
Orientação
Importante
As informações fornecidas durante as atividades de Exploração de Segurança de Dados serão
propositalmente apresentadas de forma resumida e, em alguns casos, anonimizada. Isto é
intencional, pois em algumas regiões do mundo as leis de privacidade podem limitar ou direcionar
as informações coletadas. É recomendável que você discuta quaisquer possíveis preocupações de
privacidade com seu cliente no início da avaliação.
Com base nos tipos de informações confidenciais e nas atividades dos usuários identificadas, você
deve trabalhar com o cliente para determinar o que é mais impactante para sua organização.
O cliente deve ser capaz de fornecer orientação sobre quais atividades considera “impactantes”
com base em suas necessidades.
54
Explore informações confidenciais descobertas pela Proteção de Informações do
Microsoft Purview
Navegue até o portal de conformidade do Microsoft Purview
emhttps://purview.microsoft.com/compliancee faça login com a conta que recebeu as
permissões atribuídas na seção10.5 Configuração de análise de gerenciamento de risco
interno.
No painel de navegação à esquerda, expanda Classificação de dados e clique em Visão
geral
Revise os classificadores treináveis mais usados em seu conteúdo e os tipos de
informações confidenciais mais usados em seu conteúdo. Anote todos os insights
compartilhados pelo cliente e faça capturas de tela das imagens para serem usadas
como parte da apresentação de encerramento.
Cliqueno Content Explorer na navegação à esquerda em Classificação de dados.
Junto com seu cliente, revise os tipos de informações confidenciais e classificadores
treináveis identificados no ambiente, selecione tipos específicos de informações
confidenciais para se aprofundar e identificar a(s) localização(ões) dos dados.
o Comece com o explorador de conteúdo
55
Atualize a apresentação dos resultados:
o Personalize e atualize a apresentação 02 - Avaliação de Segurança Cibernética
- Resultados e Próximas Etapas.pptx. Substitua as capturas de tela de
exemplo na apresentação de resultados usando dados (capturas de tela) dos
painéis Microsoft Purview Insider Risk Analytics e Visão Geral da Classificação
de Dados.
o Certifique-se de preencher os slides de resumo de segurança de dados e
risco interno e os slides detalhados de exploração de segurança de dados
com recomendações priorizadas, insights e próximas etapas que você
acredita que melhorariam as defesas do cliente contra vazamentos de dados
e roubo de ameaças internas.
o Inclua uma ou mais das Próximas Etapas recomendadas de cada um dos
Cenários de Ameaça no slide geral da Discussão das Próximas Etapas do
engajamento.
Orientações adicionais podem ser encontradas nas notas do palestrante e nos slides
ocultos da apresentação 02 - Avaliação de segurança cibernética - Resultados e
próximas etapas.pptx.
56
12.3 Exploração do Cloud Discovery (opcional)
Esta atividade permitirá que você trabalhe em conjunto com o cliente, usando produtos de
segurança da Microsoft e relatórios relacionados para explorar e resultados da descoberta de
aplicativos em nuvem usados por usuários na organização do cliente.
Objetivos
O objetivo é trabalhar em conjunto com o cliente para analisar e documentar os resultados da
Cloud Discovery Exploration, examinando e registrando as descobertas dos aplicativos em
nuvem utilizados pelos usuários dentro da organização do cliente. Quaisquer conexões com
vulnerabilidades ou ameaças à segurança de dados serão sinalizadas.
Duração e esforço
Preparação 0 hora
Entrega 1 hora
Materiais de suporte
Não existem materiais de apoio.
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas em10.3 Configuração Gerale11.1 Coleta de logs do Cloud Discovery
(opcional) deve ser concluído antes de iniciar esta atividade.
Orientação
Explore o uso de aplicativos em nuvem descobertos pelo Microsoft Defender para
aplicativos em nuvem:
NOTA 1: O Microsoft Cloud Application pode descobrir o uso de aplicativos em
nuvem que, por si só, podem não indicar uma ameaça à segurança. No entanto, a
correlação com possíveis vulnerabilidades ou ameaças à segurança dos dados
descobertas na exploração anterior pode fornecer evidências adicionais sobre
ameaças à segurança da organização do cliente.
57
Por exemplo, se um determinado dispositivo que foi verificado anteriormente no
envolvimento foi considerado altamente vulnerável à ameaça de ransomware
operado por humanos e, ao mesmo tempo, a descoberta na nuvem realizada pelo
Microsoft Defender para aplicativos em nuvem revelou que um upload massivo de
dados foi realizado a partir de este dispositivo para um aplicativo em nuvem que não
é aprovado (não sancionado) pela organização do cliente e tem uma pontuação de
segurança baixa, então pode-se suspeitar que um incidente de segurança de
ransomware operado por humanos com exfiltração de dados pode ter acontecido.
NOTA 2: para obter mais informações sobre como explorar o uso de aplicativos em
nuvem fornecidos pelo Microsoft Defender para Cloud Apps, acesse:
Trabalhando com aplicativos descobertos no Microsoft Defender para aplicativos em
nuvem
o Abra uma nova guia na sessão do navegador da web, acesse o portal Microsoft
365 Defender:https://security.microsoft.com
e escolha aplicativos em nuvemDescoberta na nuvem.
o Se durante as atividades de definição do escopo realizadas no10.1 Reunião de
Configuração de Engajamento e Definição de Escopoatividade, foi tomada a
decisão de usar o Microsoft Defender for Endpoint para fornecer informações
sobre aplicativos e serviços em nuvem acessados pelos usuários do cliente e, em
seguida, no menu no canto superior direito do painel “Cloud Discovery”,
selecione “Windows 10/11 Endpoint Usuários” de “Relatórios contínuos”.
o Se durante as atividades de definição do escopo realizadas no10.1 Reunião de
Configuração de Engajamento e Definição de Escopoatividade, foi tomada a
decisão de usar logs dos dispositivos de segurança de perímetro locais do
cliente, como firewall ou servidor proxy, para fornecer informações sobre
aplicativos e serviços em nuvem acessados pelos usuários do cliente e, em
seguida, no menu no canto superior direito do painel “Cloud Discovery”,
selecione o nome do relatório que você forneceu quando os logs dos
dispositivos de segurança de perímetro locais foram carregados conforme
descrito no11.1 Coleta de logs do Cloud Discovery (opcional)seção deste
documento.
o Na guia “Aplicativos descobertos”, sancione os aplicativos e serviços em nuvem
que são oficialmente aprovados na organização do cliente e cancele a aprovação
dos aplicativos e serviços em nuvem cujo uso não é permitido ou que estão
bloqueados no ambiente do cliente.
58
o Primeiro, explore o tráfego dos aplicativos e serviços em nuvem sancionados.
Espera-se que o tráfego sancionado de aplicativos e serviços em nuvem constitua
uma maioria significativa do mix geral de tráfego analisado pelo Microsoft
Defender para aplicativos em nuvem e mostrado no relatório Cloud Discovery,
em qualquer uma das categorias disponíveis.
59
é corrigir a configuração dos firewalls daquela região. No caso da segunda
região, a investigação mostra que o acesso Wi-Fi dos convidados à Internet é
fornecido através dos mesmos firewalls que o acesso à Internet a partir da
rede de produção/interna. Embora o acesso ao aplicativo de armazenamento
em nuvem XYZ seja legítimo a partir do Wi-Fi de Internet convidado, a
recomendação aqui é excluir ainda mais o tráfego de intervalos de IP
dedicados ao Wi-Fi de Internet convidado nos relatórios do Microsoft
Defender para Aplicativos em Nuvem.
60
o Como os exemplos “mais impactantes” de uso de aplicativos em nuvem são
encontrados e explorados no Microsoft Defender para Aplicativos em Nuvem, faça
capturas de tela deles, pois você precisará deles mais tarde, quando atualizar a
apresentação dos resultados.
61
13. Apresentação de Resultados
Objetivos
Faça a apresentação 02 - Avaliação de segurança cibernética - Resultados e próximas
etapas.pptx. Se apropriado, atualização 02 - Avaliação de Segurança Cibernética - Resultados e
Próximas Etapas. apresentação pptx.
Duração e esforço
Preparação 1 hora
Entrega 2 horas
Materiais de suporte
02 - Avaliação de Segurança Cibernética - Resultados e Próximos Passos.pptxapresentação
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas em12 Exploração deve ser concluído antes de iniciar esta atividade.
Orientação
Apresente a apresentação 02 - Avaliação de Segurança Cibernética - Resultados e Próximas
Etapas.pptx concluída anteriormente em12 Exploração.
Ao apresentar, seja conciso e atenha-se aos fatos.
Não tente usar todos os slides. Eles são fornecidos apenas como exemplos.
Concentre-se nas “ameaças e riscos mais impactantes” encontrados no envolvimento.
Destaque os principais insights e, quando apropriado, forneça ações recomendadas.
Permita que o cliente tire suas próprias conclusões.
Se, durante a discussão sobre ameaças, quaisquer próximos passos ou recomendações
forem formulados e acordados, certifique-se de documentá-los na seção Discussão dos
Próximos Passos da apresentação 02 - Avaliação de Segurança Cibernética - Resultados
e Próximos Passos.pptx.
Discutir, definir e concordar com o cliente sobre os próximos passos em termos de
atividades de acompanhamento e/ou compromissos. Se possível, identifique os
62
proprietários do cliente e da equipe de entrega, o cronograma esperado e os recursos
necessários.
Certifique-se de reservar algum tempo para perguntas e respostas.
63
14. Desativação do Engajamento
Use esta atividade da Avaliação de Segurança Cibernética para trabalhar em conjunto com o
cliente para remover todas as configurações e recursos criados durante a Avaliação de
Segurança Cibernética e para cancelar as licenças de avaliação do Microsoft 365 da Avaliação de
Segurança Cibernética no locatário do cliente.
Objetivos
O objetivo é remover todas as configurações e recursos criados no locatário do cliente durante
a Avaliação de Segurança Cibernética.
Duração e esforço
Preparação 0 hora
Entrega 1 hora
Materiais de suporte
Não existem materiais de apoio.
Preparação
O recurso de entrega precisará se familiarizar com:
Pré-requisitos
As atividades descritas em13 Apresentação de Resultados deve ser concluído antes de iniciar esta
atividade.
Orientação
Importante
Recomendamos conversar com seu cliente antes de encerrar qualquer ou todas as alterações
de implantação e configuração feitas no locatário do cliente. Com base nos resultados da
avaliação e no feedback dos clientes, eles podem desejar manter ou expandir a configuração
ao final das atividades.
64
Desativação do Microsoft Purview Insider Risk Analytics:
o Navegue até o portal de conformidade do Microsoft Purview
emhttps://purview.microsoft.com/compliancee faça login com a conta que
recebeu as permissões de gerenciamento de risco interno.
o No painel de navegação à esquerda, selecione Insider Risk Management.
o No canto superior direito da página Insider Risk Management, clique na
engrenagem para abrir as configurações.
o SelecioneAnalytics na lista de configurações. Alterne a chave de configuração
para Desligado. Clique em Salvar.
o Removeras permissões do Administrador de Dados de Conformidade do Azure
AD de quaisquer contas às quais foram atribuídas.
o Removeras permissões de risco interno, proteção de informações e
administrador de dados de conformidade do Microsoft Purview formam
quaisquer contas às quais foram atribuídas.
65
o Na máquina de scanner useCmdlet Uninstall-ADServiceAccount para
desinstalar a conta de verificação instalada no10.3 Configuração
Geralatividade.
o No controlador de domínio do Active Directory, use o cmdlet Remove-
ADServiceAccount para remover a conta de verificação configurada no
arquivo10.3 Configuração Geralatividade do Active Directory
o Use as orientações abaixo para ajudar o cliente a desligar quaisquer dispositivos
Windows 10/11 que foram integrados ao Microsoft Defender para Endpoint
como parte do envolvimento:
Dispositivos externos do serviço Microsoft Defender for Endpoint
Importante
Os dispositivos desligados do Microsoft Defender para Endpoint permanecerão
visíveis no portal Microsoft 365 Defender até que o período de retenção de seus
dados expire.Os dados do Microsoft Defender para Endpoint são retidos por 180
dias. O status dos dispositivos desligados será alterado para 'Inativo' 7 dias após o
desligamento.
66
o Abra uma nova guia em uma sessão de navegador da Web aberta anteriormente
e acesse o centro de administração do Microsoft 365 do locatário do Microsoft
365 do cliente:
https://admin.microsoft.com
escolha Faturamento à Seus produtos no menu do lado esquerdo.
Selecione Complemento de gerenciamento de vulnerabilidades do
Microsoft Defender para avaliação de proteção contra ameaças e
selecione Cancelar assinatura.
Selecione Microsoft 365 E5 Security para avaliação de proteção contra
ameaças e selecione Cancelar assinatura.
Selecione Microsoft 365 E3 para avaliação do Threat Protection e
selecione Cancelar assinatura.
Importante
Certifique-se de cancelar as licenças de avaliação do Microsoft 365 da
Avaliação de Segurança Cibernética, e não quaisquer outras licenças de cliente.
67
Appendix A - Prontidão e conteúdo técnico
Este apêndice contém material de aprendizagem recomendado que cada recurso de entrega
deve percorrer antes de entregar a Avaliação de Segurança Cibernética.
68
Conteúdo de preparação do produto de segurança do Microsoft 365
Os materiais de aprendizagem recomendados pelos quais cada recurso de entrega deve passar
antes de entregar o trabalho são:
Documentação do produto
Documentação do Microsoft 365 Defender:
https://learn.microsoft.com/en-us/microsoft-365/security/defender/microsoft-365-
defender
Documentação do Microsoft Defender para aplicativos em nuvem:
https://learn.microsoft.com/en-us/defender-cloud-apps
Documentação do produto Microsoft Defender para Endpoint:
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint
Documentação do produto Microsoft Defender Vulnerability Management:
https://learn.microsoft.com/en-us/microsoft-365/security/defender-vulnerability-
management
Documentação do produto Microsoft Purview Insider Risk Management:
https://learn.microsoft.com/en-us/purview/insider-risk-management-solution-overview
Documentação do produto Microsoft Purview Information Protection
https://learn.microsoft.com/en-us/purview/sensibilidade-labels
69
Ambientes de demonstração
Recomendamos que você crie um ambiente de demonstração e explore os recursos de
segurança do Microsoft 365 como preparação para o envolvimento. Opções para criar
ambientes de demonstração:
Demonstrações da Microsoft
Experiências de imersão do cliente
70
Appendix B - Kit de ferramentas de avaliação de
segurança cibernética
A tabela abaixo lista os arquivos que fazem parte do kit de ferramentas de avaliação de
segurança cibernética.
71
12 - Avaliação de Segurança Cibernética - Scripts Arquivo ZIP
72
Appendix C - Modelo de e-mail de ação necessária
Olá[NOME DO CLIENTE],
Obrigado por reservar um tempo para participar da Chamada de Pré-compromisso para Avaliação de
Segurança Cibernética. Como um passo importante para o sucesso do engajamento, leia este e-mail,
conclua as tarefas de pré-requisito o mais rápido possível e informe-nos se precisar de ajuda.
Ransomware operado por humanos e vazamentos de dados provenientes de ameaças internas são dois
dos riscos de segurança mais prevalentes que as organizações enfrentam. Mais de 98% desses ataques
podem ser evitados com a implementação de processos e soluções básicas de higiene de segurança.
Quão consciente está a sua organização das políticas e atividades que podem ajudar a fortalecer a sua
postura de segurança cibernética?
O que esperar:
Durante esta avaliação, faremos parceria com você para fortalecer a abordagem da sua organização em
relação à segurança cibernética. Ajudaremos você a entender melhor como priorizar e mitigar possíveis
ataques, com:
• Insights sobre ameaças comuns à segurança cibernética e o impacto que elas podem ter nas
operações comerciais.
73
• Análise do alinhamento da sua organização com metas comuns de segurança cibernética e ações
de melhoria projetadas para ajudar a fortalecer sua postura contra ransomware operado por
humanos e vazamentos de dados de ameaças internas.
• Visibilidade da integridade do seu endpoint e dos dados do Microsoft 365 usando verificações
das ferramentas de segurança da Microsoft.
Agenda e Participantes
Certifique-se de que suas principais partes interessadas estejam confirmadas para participar da atividade
de Apresentação de Resultados e Discussão dos Próximos Passos.
[ADICIONAR AGENDA]
Listados abaixo estão alguns itens importantes que sua organização precisa concluir antes da próxima
etapa do envolvimento:
Gerenciamento de projetos
Os seguintes requisitos devem ser considerados pela sua organização antes do início do trabalho:
74
• Os logs também podem ser coletados do firewall local ou do proxy da Web durante o período
da fase de coleta de dados e, em seguida, carregados para análise do Cloud Discovery. Você
precisa garantir que os logs sejam coletados e armazenados no formato FTP, o que
normalmente requer o envio deles do firewall ou do proxy da Web para o armazenamento
externo, que você precisa fornecer. Até 1 fonte de logs coletados dessa forma está no escopo
do engajamento.
• Por favor, considere qual opção você prefere. Em seguida, discutiremos e finalizaremos onde
obter os logs do Cloud Discovery como parte da atividade Definir Escopo.
]
Prepare uma máquina com os seguintes requisitos para ser usada como máquina de digitalização:
Máquina local com Windows 10 (versão 1903), Windows Server (versão 1903) e posterior.
Hardware que atende aos requisitos mínimos de sistema do sistema operacional escolhido.
Ingressou no domínio do Active Directory que contém máquinas a serem verificadas em busca de
vulnerabilidades.
Instale o módulo Azure Directory para Windows PowerShell que faz parte doFerramentas de
administração de servidor remoto (RSAT) – Serviços de domínio Active Directory e ferramentas
leves de serviços de diretório.
Use as seguintes orientações para garantir que a máquina de verificação possa se comunicar com
o serviço Microsoft Defender for Endpoint se você precisar usar um servidor proxy para acessar a
Internet:
configuração de rede
Informações adicionais sobre o Microsoft Defender Vulnerability Management e seu recurso e requisitos
de verificação autenticada podem ser encontradas aqui:
Verificação autenticada para Windows no Defender Vulnerability Management
Se houver algum problema com o item acima, avise-me o mais rápido possível para que possamos
fornecer assistência.
[ASSINATURA]
75