Como aprendemos no último artigo, ter uma ferramenta de CSPM no seu ambiente pode te economizar muitas dores de cabeça e acima de tudo, muito dinheiro! Visando proteger seu ambiente de IAM, um dos "módulos" do Microsoft Defender for Cloud é o Defender for Identity, direcionado exclusivamente para as soluções do Microsoft Entra e Active Directory. É sobre esse cara que falaremos hoje!
Pré-requisitos
Para iniciar o uso da ferramenta, o único pré-requisito que necessita ser cumprido, é a existência da licença Enterprise Mobility + Security E5 ou Microsoft 365 E5. A licença será necessária para habilitação da ferramenta, consequentemente permitindo seu uso para o Entra ID e também para o Active Directory.
Para um deployment híbrido, é necessário a criação de uma máquina virtual que executará o Defender for Identity Sensor. A recomendação é que essa máquina tenha no mínimo:
Sistema Operacional: Windows Server 2016 ou superior;
Microsoft .NET versão 4.7.
Lembrando que a instalação do sensor é feita no servidor do Active Directory Federation Services, então garante que seu componente esteja sendo executada em uma infraestrutura que atenda esses requisitos.
Muito mais que apenas um cloud-identity CSPM
Visando a cobertura de toda a suíte de produtos de identidade da Microsoft, o Defender for Identity foi projetado para proteger seu ambiente em nuvem e também seu ambiente on-premise, tornando seu deployment híbrido!
Por ser comum as empresas terem sua arquitetura de identidade no modelo híbrido, com tenants do Entra e domínios do Active Directory, o Defender veio para "cobrir" a segurança nesses dois ambientes. Por não ser uma solução SaaS/PaaS, para protegermos nossos componentes do Microsoft Active Directory, é necessária a instalação de um componente da solução que fará o monitoramento e a captura de eventos de segurança para serem processados no CSPM.
As especificações técnicas para instalação do Defender for Identity para proteger os componentes do Active Directory, podem ser visualizados neste link.
A arquitetura macro da solução será como a representada pela seguinte imagem, retirada das documentações oficiais da Microsoft:
Nossa solução em nuvem se comunicará com os tenants do Entra ID, com Provedores de Identidade terceiros e também com os componentes do Active Directory (Domain Controllers, Federation Services e Certificate Services).
Para termos dimensão do que podemos fazer em um ambiente híbrido, podemos consultar o registro de eventos do Active Directory. Não temos a mesma cobertura que das soluções em nuvem, porém teremos uma cobertura efetiva do ambiente on-premise!
Já que compreendemos os diferentes ambientes que podem ser monitorados, agora o que basta é operarmos o portal para entender como utilizar a ferramenta de maneira efetiva e começar a incrementar nossa postura de identidade!
Acessando o portal
Seguindo o padrão aplicado para soluções como o Microsoft Entra e o Microsoft Purview, o Defender for Identity também tem um portal central, que pode ser utilizado para todas as operações relacionadas à ferramenta.
Acessando security.microsoft.com você será direcionado para a página principal da plataforma (caso seja seu primeiro acesso, pode ser que seja solicitado que você entre com suas credenciais), que se parece com a seguinte:
Caso seja sua primeira vez acessando o portal, você será apresentado com um tutorial guiado sobre as capacidades existentes. São informações básicas, para que você não se sinta perdido ao inicar suas operações.
Este portal é do Microsoft 365 Defender, por isso encontramos diversas outras capacidades além das relacionadas à identidade (o defender for identity faz parte deste portal por conta das recentes atualizações nos produtos realizadas pela Microsoft, onde o Entra passou a fazer parte da família do Microsoft 365). Como o foco do artigo é essa solução em específico, vou deixar para abordadar as capacidades restantes em outro momento.
Navegação
No menu lateral podemos navegar entre as funcionalidades da solução. Atente-se à seção "Assets > Identity", é nesta seção do portal que iremos conectar nosso Defender for Identity ao tenant do Entra ID. Apenas siga os passos indicados e você irá ativar a coleta de dados do seu ambiente.
A primeira análise pode demorar algumas horas, então é importante que após conectar ao ambiente, você aguarde que ele realize a análise e recupere as informações disponíveis!
Após receber as informações do seu ambiente, você será apresentado com uma grande tabela e uma série de filtros, que serão de extrema utilidade quando você quiser procurar informações sobre usuários específicos.
Algumas outras seções inclusas no portal são:
Detecção de ameaças - criação de queries para análise e identificação de atividades suspeitas relacionadas às soluções do Microsoft 365;
Secure score - postura de segurança do ambiente (CSPM);
Cloud apps - capacidade de CASB (Cloud Access Security Broker) do Defender, onde podemos conectar aplicações e realizar a aplicação de controles;
Incidentes e alertas - visão unificada dos alertas gerados pelas queries criadas.
Dica: navegue pelo portal, entenda as capacidades existentes, explore os artigos e treinamentos recomendados. Se sentir confortável com a interface e as capacidades fornecidas, potencializará o que você conseguirá fazer com a solução!
Recomendações
Após conectarmos nosso tenant e aguardarmos para o recebimento dos eventos e a geração das análises pré-existentes, chegou a hora de começarmos a compreender os "buracos" existentes nas nossas configurações.
Se navegarmos até "Secure Score", conseguiremos ver a postura de segurança do nosso ambiente (gerada à partir do Benchmark da Microsoft), bem como as ações recomendadas para o ambiente, o histórico de mudanças na postura e também as métricas de segurança do ambiente.
Gostaria de chamar atenção para a segunda seção destacada, "Recommended actions". Dentro dessa seção, temos os direcionamentos gerados pelo Defender for Identity para melhorar nossa postura de segurança. Vamos acessá-lo.
Somos apresentado com uma lista de ações recomendadas, ordenadas por padrão para que as com maior impacto no score sejam mostradas primeiramente.
Cada recomendação contém uma série de métricas que nos permitem avaliar seu estado. Métricas como "Points achieved" e "Status" nos permitem compreender se a recomendação foi atendida como um todo ou se apenas parcialmente.
Outras informações como por exemplo o histórico da recomendação, a data de realização e o produto afetado, podem ser visualizadas na mesma tabela.
Para visualizarmos apenas as recomendações relacionadas às nossas soluções de identidade, devemos filtrar a categoria para o valor "Identity".
Ao clicar sobre qualquer uma das recomendações, um painel lateral será aberto ao lado direito do portal. Este painel conterá informações sobre a recomendação feita, histórico e sobre o plano de remediação da mesma. Vamos explorar essa parte na próxima seção do artigo!
Remediando o ambiente
Ainda com a seção da recomendação aberta, vamos analisar as informações que nos são fornecidas e como elas nos auxiliarão na remediação do ambiente.
Selecionei uma das minhas recomendações e com o painel aberto na seção "General" consigo visualizar algumas coisas:
Descrição da recomendação;
Progresso da implementação - métrica importante para monitorarmos a evolução do nosso ambiente;
Impacto nos usuários - outro ponto que deve ser analisado com "carinho". As remediações visam proteger o ambiente, porém não podemos esquecer de quem faz tudo acontecer, os usuários das soluções finais. Eles serão impactados direta e indiretamente com as implementações feitas por nós.
Para as equipes que realizarão as atividades, a seção "Implementation" contém as informações mais valiosas:
Temos uma lista dos pré-requisitos necessários para a implementação da solução, bem como se já estão atendidos ou não;
Passo a passo da implementação - deixando o trabalho dos analistas muito mais simples, visto que não precisam realizar extensas pesquisas sobre como realizar a implantação;
Links extras - servem de apoio aos times para solucionar questões encontradas no processo de implantação.
Com esses mapeamentos realizados, os times podem começar a planejar as mudanças e a implantar as remediações!
Recomendação atendida
O exemplo que visualizamos acima é o de uma recomendação sem implementação. Uma vez identificada e com seu plano de remediação concretizado, a recomendação estará representada da seguinte forma:
Note que abaixo do título temos um "check" que demonstra o sucesso na implementação. Temos também ao lado direito o progresso da recomendação, seção muito útil quando estamos lidando com recomendações que devem ser realizadas em diversas etapas.
Do lado direito, abaixo de "Protects against" temos uma série de ataques que são mitigados ao acatar a recomendação. Ao clicar sobre qualquer um dos links, você será apresentado com uma breve descrição do ataque!
Atualizações do ambiente
Após implementar as recomendações no ambiente, você deve aguardar algumas horas para que seu progresso seja computado e tenha efeito no secure score. Os status das recomendações também podem demorar um pouco para aparecer, então aguarde algumas horas e cheque novamente sua lista de recomendações.
Extra: Windows Active Directory
Comentamos brevemente sobre a extensão do Defender for Identity ao Windows Active Directory e sua capacidade de expandir a proteção de identidade às soluções on-premise.
Em um ambiente que contém o Defender for Identity Sensor instalado e configurado para monitorar os componentes do AD, as recomendações irão aparecer junto das referente ao ambiente em nuvem!
Se a sua organização utiliza um modelo de implementação híbrido, é de suma importância a configuração dessa ferramenta para proteger seus usuários. Sua instalação e configuração é simples e os benefícios são diversos!
Espero que após a leitura desse artigo, você tenha compreendido a necessidade de se ter o CSPM monitorando as soluções de identidade.
Estou à disposição para responder qualquer dúvida e auxiliá-los de alguma maneira.
Até logo!