Resumo Completo para Certificação SC-900

#Segurança, Autenticação, Autorização
#Segurança da Informação

Fui aprovado na certificação SC-900 – Microsoft Certified: Security, Compliance, and Identity Fundamentals!

Abaixo compartilho o resumo completo que preparei para revisar os conteúdos da prova. Todo o material foi retirado diretamente das documentações oficiais da Microsoft, garantindo informações corretas e atualizadas. O conteúdo segue o roteiro de aprendizado do curso oficial da Microsoft e aborda todos os conceitos exigidos na certificação (e sim, é muita coisa 😂)

Modelo de Responsabilidade Compartilhada na Nuvem

Em ambientes locais, a organização é totalmente responsável pela segurança e conformidade. Já na nuvem, essa responsabilidade é dividida entre o cliente e o provedor de serviços, variando conforme o tipo de serviço utilizado:

Tipos de Serviços e Responsabilidades

Datacenter Local

Cliente é responsável por tudo (segurança física, infraestrutura, sistemas, dados, etc.).

IaaS (Infraestrutura como Serviço)

Provedor: gerencia hardware, rede e segurança física.
Cliente: responsável por sistemas operacionais, aplicativos, controles de rede e proteção de dados.

PaaS (Plataforma como Serviço)

Provedor: cuida da infraestrutura, sistemas operacionais e middleware.
Cliente: foca em aplicativos e dados.

SaaS (Software como Serviço)

Provedor: gerencia toda a infraestrutura e aplicação (ex.: Microsoft 365).
Cliente: responsável apenas por dados, identidades e dispositivos.

Responsabilidades Sempre do Cliente

Independentemente do modelo de nuvem, o cliente sempre gerencia:

Dados e informações
Dispositivos (PCs, móveis, impressoras)
Contas e identidades

Benefício do Modelo

Clareza na divisão de responsabilidades, permitindo que empresas e provedores saibam exatamente quais controles de segurança cada um deve implementar.

Defesa em Profundidade

É uma estratégia de segurança em camadas, onde múltiplos mecanismos de proteção são aplicados para impedir que um ataque avance. Se uma camada falhar, outras ainda protegerão os dados.

Exemplos de Camadas:

Segurança Física – Restrição de acesso a datacenters.
Identidade e Acesso – Autenticação multifator (MFA) e controles condicionais.
Perímetro de Rede – Proteção contra ataques DDoS.
Segurança de Rede – Segmentação e controle de tráfego.
Camada Computacional – Proteção de VMs e bloqueio de portas.
Segurança de Aplicativos – Prevenção de vulnerabilidades.
Segurança de Dados – Criptografia e controle de acesso.

Tríade CIA (Confidencialidade, Integridade, Disponibilidade)

Princípios fundamentais da segurança cibernética:

1. Confidencialidade

Garantir que dados sensíveis (senhas, informações financeiras) sejam acessíveis apenas por autorizados
Uso de criptografia e proteção de chaves.

2. Integridade

Assegurar que os dados não sejam alterados indevidamente.
Verificação de que mensagens e arquivos permanecem inalterados (ex.: checksums, assinaturas digitais).

3. Disponibilidade

Dados devem estar acessíveis quando necessários, sem comprometer a segurança.
Balanceamento entre proteção (ex.: criptografia) e acesso legítimo.

Objetivo da Segurança Cibernética: Manter a CIA.

Objetivo dos Cibercriminosos: Violar a CIA.

A Microsoft oferece soluções para ajudar organizações a proteger esses pilares.

Modelo de Confiança Zero (Zero Thrust)

Conceito Central:

"Não confie em ninguém, verifique tudo" - parte do princípio que toda rede é aberta e não confiável, incluindo recursos dentro dos firewalls corporativos.

3 Princípios Fundamentais:

1. Verificação Explícita:

Autenticar e autorizar com base em múltiplos fatores (identidade, localização, dispositivo, dados, anomalias)

2. Acesso com Privilégio Mínimo:

Conceder apenas permissões necessárias (acesso just-in-time e just-enough)
Usar políticas adaptáveis baseadas em risco

3. Pressuposição de Violação:

Segmentar acessos (rede, usuários, dispositivos, aplicativos)
Usar criptografia e análise contínua para detecção de ameaças

6 Pilares do Modelo:

1. Identidades:

Verificação rigorosa de usuários, serviços e dispositivos
Autenticação multifator obrigatória

2. Dispositivos:

Monitoramento constante de integridade e conformidade
Gerenciamento de todos os pontos de acesso

3. Aplicativos:

Inventário completo de todos os aplicativos (incluindo "TI sombra")
Gerenciamento granular de permissões

4. Dados:

Classificação, rotulagem e criptografia baseada em sensibilidade
Proteção contínua independente da localização

5. Infraestrutura:

Monitoramento de configurações e acessos
Detecção automatizada de anomalias

6. Redes:

Segmentação avançada (incluindo microssegmentação)
Criptografia ponta-a-ponta e monitoramento contínuo

Implementação Prática:

Substitui a confiança implícita por verificação contínua
Combina autenticação forte com princípio de menor privilégio
Assume que violações podem ocorrer a qualquer momento
Integra segurança em todos os elementos da infraestrutura

Benefícios:

Maior proteção contra ameaças internas e externas
Controle granular de acessos
Visibilidade completa da infraestrutura
Adaptação dinâmica a riscos em tempo real

Este modelo representa uma evolução na segurança cibernética, substituindo abordagens tradicionais baseadas em perímetro por uma estratégia mais abrangente e adaptativa.

Criptografia e Hash

1. Conceito de Criptografia

Transforma dados em formato ilegível para não autorizados
Requer chave secreta para descriptografar e utilizar os dados
Dois tipos principais:
Simétrica: mesma chave para criptografar/descriptografar
Assimétrica: usa par de chaves pública/privada (ex: HTTPS)

2. Aplicações da Criptografia

Dados em Repouso (armazenados):
Protege informações em servidores, bancos de dados
Sem chave, dados são inúteis mesmo se dispositivo for roubado

Dados em Trânsito (em movimento):
Protege durante transferência (ex: TLS/HTTPS)
Impede interceptação por terceiros

Dados em Uso (processamento):
Protege dados na memória RAM/CPU
Usa enclaves seguros para processamento criptografado

3. Função Hash

Converte dados em valor único de tamanho fixo
Características:
Determinístico (mesma entrada = mesma saída)
Irreversível (não pode ser "descriptografado")
Usado para verificação de integridade e armazenamento de senhas
Proteção adicional:
"Sal" (salt) - adiciona aleatoriedade aos hashes
Previne ataques por tabelas pré-computadas (rainbow tables)

4. Comparativo Chaveado

Criptografia:
Usa chaves para cifrar/decifrar
Reversível (dados originais podem ser recuperados)
Protege confidencialidade

Hash:
Sem uso de chaves
Irreversível
Verifica integridade (não protege confidencialidade)

Benefícios da Criptografia:

Proteção contra acesso não autorizado
Segurança em todos os estados dos dados (repouso/trânsito/uso)
Cumprimento de requisitos regulatórios
Mitigação de impactos em caso de violação

Conceitos de Governança, Risco e Conformidade (GRC)

Visão Geral do GRC

As organizações enfrentam ambientes cada vez mais complexos e regulatórios, exigindo uma abordagem estruturada para Governança, Risco e Conformidade (GRC). Uma estrutura GRC bem definida ajuda a reduzir riscos, melhorar a eficácia da conformidade e alinhar operações com requisitos legais e regulatórios.

Componentes do GRC

1. Governança

Sistema de regras, práticas e processos que direcionam e controlam as atividades organizacionais.
Define:
Acessos (quem pode acessar quais recursos)
Privilégios administrativos (quem tem controle e por quanto tempo)
Baseia-se em padrões externos (leis, regulamentos) e políticas internas.

2. Gerenciamento de Riscos

Processo de identificar, avaliar e responder a ameaças que podem impactar os objetivos da empresa.
Riscos Externos:
Fatores políticos, econômicos, pandemias, violações de segurança.
Riscos Internos:
Vazamento de dados, fraude, roubo de propriedade intelectual, ameaças internas.

3. Conformidade

Adequação às leis, regulamentos e normas (locais, nacionais ou multinacionais).
Define:
Quais dados devem ser protegidos
Processos obrigatórios
Penalidades por descumprimento
Conformidade ≠ Segurança:
A conformidade atende aos requisitos mínimos legais.
Segurança vai além, protegendo dados contra violações.

Conceitos Relacionados à Conformidade

1. Residência de Dados

Regulamenta onde os dados podem ser armazenados fisicamente e como são transferidos internacionalmente.
Varia conforme a jurisdição.

2. Soberania de Dados

Dados estão sujeitos às leis do país onde são coletados, armazenados ou processados.
Complexidade adicional quando dados trafegam entre jurisdições diferentes.

3. Privacidade de Dados

Transparência na coleta, processamento e compartilhamento de dados pessoais.
Dados pessoais: Qualquer informação vinculada a uma pessoa identificável.
Exige conformidade com leis como LGPD (Brasil), GDPR (UE), CCPA (EUA).

Benefícios de uma Estrutura GRC

Redução de riscos (internos e externos)
Melhoria na conformidade regulatória
Governança mais clara e processos definidos
Proteção de dados e privacidade alinhada a leis
Prevenção de penalidades e danos à reputação

Autenticação e Autorização

1. Autenticação (AuthN)

O que é? Processo de verificar a identidade de um usuário.
Como funciona?
O usuário declara quem é (ex.: nome de usuário).
Prova sua identidade com algo que só ele sabe/tem/é (ex.: senha, biometria, token).
Exemplo:
Logar em um sistema com usuário + senha.
Usar cartão de crédito + documento para compras.

2. Autorização (AuthZ)

O que é? Define o que um usuário autenticado pode acessar.
Como funciona?
Depois da autenticação, o sistema verifica permissões.
Restringe acesso com base em funções, políticas ou regras.
Exemplo:
Um cartão de hotel só abre o quarto reservado (não todos os quartos).
Um funcionário pode acessar apenas dados do seu departamento.

Importância na Segurança

AuthN impede que invasores se passem por usuários legítimos.
AuthZ limita danos mesmo se uma conta for comprometida (princípio do menor privilégio).
Juntas, garantem que só pessoas certas tenham acesso certo.

Definir a identidade como o parâmetro de segurança primário

1. A Mudança na Colaboração Digital

Novos Cenários:
Funcionários e parceiros acessam recursos de qualquer lugar e dispositivo.
Aumento do trabalho remoto (home office).
Uso de dispositivos pessoais (BYOD) e não gerenciados (parceiros, clientes).
Expansão de aplicativos SaaS e dispositivos IoT (dentro e fora da rede corporativa).
Desafio:
O modelo tradicional de segurança baseada em perímetro (firewalls, redes locais) não é mais suficiente.

2. A Identidade como o Novo Perímetro

O que é Identidade?
Conjunto de atributos que definem um usuário, aplicativo ou dispositivo (ex.: credenciais de login, permissões).
Exemplos:
Um funcionário (usuário + senha + perfil de acesso).
Um dispositivo IoT (certificado digital + permissões restritas).
Por que a Identidade é Crucial?
Como os dados estão em nuvem, dispositivos pessoais e redes externas, a identidade se torna o ponto central de controle de acesso.

3. Os 4 Pilares da Infraestrutura de Identidade

Administração - Gerencia o ciclo de vida das identidades (criação, atualização, exclusão).
Autenticação - Verifica a identidade do usuário/dispositivo (ex.: MFA, biometria).
Autorização - Define o nível de acesso após a autenticação.
Auditoria - Rastreia atividades (quem acessou o quê, quando e como).

4. Benefícios dessa Abordagem

Segurança adaptável a ambientes híbridos (nuvem, remoto, IoT).
Controle granular sobre acessos, reduzindo riscos de vazamentos.
Visibilidade completa das atividades (auditoria e compliance).
Produtividade mantida, pois usuários legítimos acessam recursos sem barreiras desnecessárias.

Autenticação Moderna e Provedores de Identidade

O que é Autenticação Moderna?

Abrange métodos avançados de autenticação e autorização entre clientes (laptop, smartphone) e servidores (aplicativos, sites).
Baseia-se em um provedor de identidade central (IDP - Identity Provider), que gerencia:
Autenticação (verificação de identidade).
Autorização (controle de acesso).
Auditoria (monitoramento de atividades).

Função do Provedor de Identidade

Armazena e gerencia identidades (usuários, dispositivos, aplicativos).
Fornece tokens de segurança após autenticação bem-sucedida.
Centraliza políticas de segurança, como:

Autenticação multifator (MFA).
Acesso condicional (baseado em risco).
Detecção de atividades suspeitas.

Como Funciona?

Cliente (usuário/aplicativo) se autentica no provedor de identidade (ex.: Microsoft Entra ID, Google).
Após validação, o IDP emite um token de segurança.
Token é enviado ao servidor (aplicativo/site), que o valida sem armazenar credenciais.
Acesso é concedido com base nas permissões do token.

Vantagens

Segurança reforçada: Reduz ataques com MFA e tokens temporários.
Gestão centralizada: Políticas únicas para todos os serviços.
Logon único (SSO): Acesso a múltiplos apps com uma única autenticação.
Federação: Integração entre diferentes IDPs (ex.: login com conta Google em um app corporativo).

Exemplos de Provedores de Identidade

Microsoft Entra ID (Azure AD)
Google Workspace
Amazon Cognito
Login com GitHub/LinkedIn

SSO (Logon Único) e Federação

SSO: Usuário autentica uma vez para acessar vários sistemas.
Federação: Permite SSO entre provedores de identidade diferentes (ex.: parceiros comerciais).

Impacto:

Produtividade: Elimina múltiplos logins.
Segurança: Reduz senhas fracas e vazamentos.
Escalabilidade: Ideal para ambientes híbridos (nuvem + local).

Serviços de Diretório e a Evolução do Active Directory para o Microsoft Entra ID

1. O que é um Serviço de Diretório?

Estrutura hierárquica que armazena informações sobre objetos em uma rede (usuários, dispositivos, aplicativos).
Função:
Centralizar e gerenciar identidades.
Autenticar usuários e controlar acessos.

2. Active Directory (AD) Tradicional

AD DS (Active Directory Domain Services):
Serviço da Microsoft para redes locais baseadas em domínio.
Controlador de Domínio (DC): Servidor que gerencia autenticação e políticas de acesso.
Funcionalidades:
Armazena dados de usuários e dispositivos.
Gerencia credenciais e permissões em ambientes on-premises.
Limitações:
Não suporta nativamente dispositivos móveis, SaaS ou autenticação moderna (ex.: MFA, tokens).

3. A Evolução para a Nuvem: Microsoft Entra ID (ex-Azure AD)

Motivação:
Crescimento de aplicativos SaaS, trabalho remoto e BYOD.
Necessidade de autenticação moderna (sem dependência de redes locais).
Microsoft Entra ID (IDaaS - Identidade como Serviço):
Solução multinuvem para gerenciar identidades em ambientes híbridos (nuvem + local).
Vantagens:
Suporte a dispositivos móveis e aplicativos em nuvem.
Autenticação moderna (SSO, MFA, acesso condicional).
Integração com SaaS (Office 365, Salesforce, etc.).

Federação

A federação permite o acesso a serviços além dos limites organizacionais ou de domínio, estabelecendo relações de confiança entre provedores de identidade. Isso elimina a necessidade de usuários manterem múltiplos nomes de usuário e senhas para acessar recursos em diferentes domínios.

O processo simplificado envolve um site (domínio A) confiando na autenticação de seu provedor de identidade (IdP-A). Um usuário em outro domínio (B) se autentica com seu próprio provedor de identidade (IdP-B). Se houver uma relação de confiança configurada entre IdP-A e IdP-B, o site (em A) confiará na autenticação do usuário (em B) e permitirá o acesso. Essa confiança nem sempre é mútua.

Um exemplo prático é o uso de contas de mídia social (como o X) para fazer login em sites de terceiros, onde o X atua como um provedor de identidade confiável para outro provedor de identidade (como o Microsoft Entra ID) utilizado pelo site.

Microsoft Entra ID

O Microsoft Entra ID é um serviço de gerenciamento de identidades e acesso baseado na nuvem da Microsoft. Ele permite que funcionários, convidados e outros façam logon e acessem recursos internos (aplicativos corporativos, intranet, aplicativos de nuvem da organização) e externos (Microsoft 365, portal do Azure, SaaS). Simplifica a gestão de acesso e autorização, oferecendo um sistema de identidade unificado para ambientes locais e na nuvem, podendo ser sincronizado com o Active Directory ou usado de forma independente. Também facilita o uso seguro de dispositivos pessoais e a colaboração com parceiros e clientes.

A Classificação de Segurança de Identidade, disponível em todas as edições, é uma métrica percentual que indica o alinhamento com as práticas recomendadas de segurança da Microsoft, ajudando a medir, planejar e acompanhar melhorias na postura de segurança de identidade.

Terminologia chave inclui:

Locatário: Uma instância do Microsoft Entra ID para uma única organização, contendo usuários, grupos, dispositivos, registros de aplicativos e políticas de acesso. Possui uma ID e um nome de domínio únicos, atuando como um limite administrativo e de segurança.
Diretório: Frequentemente usado como sinônimo de locatário, é um contêiner lógico dentro do locatário que organiza recursos relacionados ao gerenciamento de identidade e acesso. Um locatário possui apenas um diretório.
Multilocatário: Uma organização com múltiplas instâncias do Microsoft Entra ID, comum em empresas com subsidiárias independentes, fusões/aquisições ou diferentes requisitos geográficos.

O Microsoft Entra ID é utilizado por administradores de TI para controlar o acesso a aplicativos e recursos com base em requisitos de negócios, implementando segurança como a autenticação multifator. Desenvolvedores o utilizam para adicionar logon único (SSO) a aplicativos e para criar experiências personalizadas com APIs. Assinantes de serviços Azure, Microsoft 365 ou Dynamics 365 têm acesso automático ao Microsoft Entra ID, com opções de upgrade para recursos premium.

Tipos de Identidades

O Microsoft Entra ID suporta diferentes tipos de identidades, categorizadas em identidades de usuário (pessoas), identidades de carga de trabalho (aplicativos, serviços), identidades de dispositivo (hardware) e identidades externas e híbridas.

Identidades de Usuário: Representam pessoas e são definidas por como se autenticam (interna ou externamente ao locatário da organização) e pelo tipo de usuário (membro ou convidado do locatário). Existem quatro tipos principais:

Membro interno: Funcionários que autenticam internamente e têm UserType "Member".
Convidado externo: Usuários externos (consultores, fornecedores, etc.) que autenticam com contas externas (de outro Microsoft Entra, redes sociais, etc.) e têm UserType "Guest" (com permissões limitadas).
Membro externo: Usuários de outros locatários da mesma organização que autenticam externamente, mas recebem acesso em nível de "Member" no locatário de destino.
Convidado interno: (Cenário legado) Contas internas criadas para usuários externos, designadas como "Guest" com permissões reduzidas. A colaboração B2B é a abordagem moderna para este cenário.

Identidades de Carga de Trabalho: Atribuídas a softwares para autenticar e acessar outros serviços e recursos de forma segura. No Microsoft Entra, incluem:

Aplicativos e Entidades de Serviço: Uma entidade de serviço é a identidade de um aplicativo registrado no Microsoft Entra, permitindo autenticação e autorização.
Identidades Gerenciadas: Entidades de serviço gerenciadas automaticamente pelo Azure, eliminando a necessidade de gerenciar credenciais. Existem dois tipos:
Atribuída pelo sistema: Vinculada ao ciclo de vida de um recurso Azure (ex: VM).
Atribuída pelo usuário: Recurso Azure independente que pode ser atribuído a múltiplos serviços, com ciclo de vida gerenciado separadamente.

Identidades de Dispositivo: Fornecem informações para decisões de acesso e configuração. Podem ser configuradas como:

Dispositivos registrados no Microsoft Entra: Dispositivos pessoais (BYOD) registrados para acesso a recursos da organização sem exigir uma conta organizacional para login no dispositivo.
Ingressado no Microsoft Entra: Dispositivos de propriedade da organização ingressados usando uma conta organizacional para login.
Dispositivos ingressados no Microsoft Entra híbrido: Dispositivos ingressados tanto no Active Directory local quanto no Microsoft Entra ID, exigindo a conta organizacional para login.

O registro e o ingresso de dispositivos habilitam o Logon Único (SSO) para recursos na nuvem e, no caso do ingresso híbrido, também para recursos locais. Ferramentas como o Microsoft Intune permitem o gerenciamento desses dispositivos.

Grupos: Permitem atribuir permissões de acesso a múltiplos usuários ou dispositivos simultaneamente, seguindo o princípio de segurança de Confiança Zero (conceder acesso apenas a quem precisa). Existem dois tipos:

Segurança: Usados para gerenciar o acesso de usuários e dispositivos a recursos compartilhados, podendo incluir usuários (internos e externos), dispositivos, outros grupos e entidades de serviço. Requer função de administrador para criação.
Microsoft 365: (Grupos de distribuição) Agrupam usuários para colaboração, concedendo acesso a recursos como caixas de correio compartilhadas e sites do SharePoint. Podem incluir usuários externos e, por padrão, a criação é permitida a usuários sem função de administrador.

Os grupos podem ter membros atribuídos manualmente ou dinamicamente, com base em regras para adição e remoção automática de identidades.

Identidade Híbrida

A identidade híbrida é alcançada por meio de provisionamento e sincronização. O provisionamento entre diretórios envolve a criação de uma identidade em um sistema de diretório (como o Microsoft Entra ID) com base em uma identidade existente em outro (como o Active Directory local). Isso garante que as informações de identidade de usuários e grupos locais correspondam às da nuvem.

Uma das ferramentas para realizar esse provisionamento e sincronização é o Microsoft Entra Cloud Sync. Ele utiliza um agente de provisionamento de nuvem do Microsoft Entra, que atua como uma ponte leve entre o Microsoft Entra ID e o Active Directory, permitindo o provisionamento e desprovisionamento de usuários, grupos e contatos. A configuração do provisionamento é gerenciada centralmente no Microsoft Entra ID.

O agente do Cloud Sync utiliza a especificação do Sistema de Gerenciamento de Usuários entre Domínios (SCIM) para se comunicar com o Microsoft Entra ID. O SCIM é um padrão para automatizar a troca de informações de identidade entre diferentes domínios de identidade e está se tornando o padrão para provisionamento.

Identidades Externas

O Microsoft Entra External ID oferece soluções avançadas para essa interação segura, permitindo que identidades externas (contas corporativas, governamentais ou de provedores sociais como Google e Facebook) acessem recursos.

O External ID aborda dois cenários principais:

Colaboração com convidados empresariais (B2B): Permite que funcionários colaborem com parceiros de negócios externos usando seus próprios locatários de força de trabalho. Convidados são convidados para o Microsoft Entra da organização, autenticam-se com suas próprias credenciais e recebem acesso aos aplicativos e recursos compartilhados, sem a necessidade de novas credenciais. Isso é ideal para acesso a aplicativos Office 365, SaaS e de linha de negócios.
Proteção de aplicativos para consumidores e clientes empresariais (CIAM): Para organizações que desenvolvem aplicativos para consumidores, o External ID oferece recursos de CIAM integrados ao Microsoft Entra ID. Isso inclui registro por autoatendimento, experiências de entrada personalizadas (com SSO para identidades sociais e empresariais) e gerenciamento de contas de clientes, além de benefícios da plataforma Microsoft Entra, como segurança, conformidade e escalabilidade.

A configuração do locatário do Microsoft Entra ID varia conforme o uso pretendido:

Locatário da força de trabalho: Para funcionários, aplicativos internos e outros recursos organizacionais. Convidados e parceiros podem ser convidados para este locatário.
Locatário externo: Dedicado exclusivamente a cenários de External ID, para publicar aplicativos para consumidores ou clientes empresariais.

Métodos de Autenticação

O Microsoft Entra ID oferece diversos métodos para verificar a identidade dos usuários ao acessar dispositivos, aplicativos ou serviços.

Métodos de Autenticação:

Senhas: A forma mais comum, mas com problemas de segurança (facilidade de adivinhação ou dificuldade de memorização se fortes). Recomenda-se complementar ou substituir por métodos mais seguros.
Telefone:
Autenticação baseada em SMS: O número de celular registrado recebe um código de verificação via SMS para login (forma primária) ou como segundo fator para SSPR/MFA (forma secundária).
Verificação por chamada de voz: Uma chamada automatizada solicita pressionar '#' para verificar a identidade como segundo fator para SSPR/MFA (forma secundária). Não suportado como autenticação primária.
OATH (Open Authentication): Padrão para gerar códigos TOTP (Senhas Avulsas por Tempo Limitado).
Tokens de software: Aplicativos que geram OTPs usando uma chave secreta inserida no app (forma secundária para SSPR/MFA).
Tokens de hardware: Dispositivos físicos que exibem códigos que mudam periodicamente (forma secundária para SSPR/MFA - em visualização pública). Requerem inserção de chave secreta no Microsoft Entra ID.
Autenticação sem senha: Visa eliminar o uso de senhas, utilizando métodos mais seguros e difíceis de duplicar.
Windows Hello for Business: Substitui senhas por forte autenticação de dois fatores (chave/certificado vinculado ao dispositivo + PIN/biometria) como forma primária ou secundária (para MFA). Protege contra roubo de credenciais.
FIDO2: Padrão aberto para autenticação sem senha usando chaves de segurança externas ou integradas ao dispositivo (forma primária ou secundária para MFA). Resistente a phishing e oferece SSO para recursos na nuvem e locais.
Aplicativo Microsoft Authenticator: Transforma smartphones em credenciais fortes sem senha (forma primária) ou como opção de verificação via notificação push (aprovar/negar) como segundo fator para SSPR/MFA. Também funciona como token de software OATH (forma secundária).
Autenticação baseada em certificado (CBA): Permite autenticação direta com certificados X.509 vinculados à identidade do Microsoft Entra para login em aplicativos e navegadores (forma primária sem senha).

Autenticação Primária e Secundária:

Alguns métodos (senhas, SMS, Windows Hello for Business, FIDO2, Microsoft Authenticator sem senha, CBA) podem ser usados como o fator principal de autenticação. Outros (chamada de voz, tokens OATH, Microsoft Authenticator como notificação/token OATH) são usados como um segundo fator para a Autenticação Multifator (MFA) ou para a Redefinição de Senha Self-Service (SSPR).

Autenticação Multifator

A autenticação multifator (MFA) é um processo de segurança que exige que os usuários forneçam uma forma adicional de identificação durante o login, como um código no celular ou biometria, além de algo que já sabem (geralmente uma senha ou PIN). Isso aumenta significativamente a segurança da identidade, pois o fator extra é difícil para invasores obterem ou duplicarem.

A MFA do Microsoft Entra funciona exigindo uma combinação de:

Algo que você sabe: Senha ou PIN.
Algo que você tem: Dispositivo confiável (telefone, chave de hardware).
Algo que você é: Biometria (impressão digital, reconhecimento facial).

Os prompts de MFA são integrados ao processo de login do Microsoft Entra, que solicita e processa a autenticação adicional automaticamente. Os usuários podem escolher entre os métodos de verificação que registraram (administradores podem exigir métodos específicos).

Os seguintes métodos de verificação podem ser usados com a MFA do Microsoft Entra:

Aplicativo Microsoft Authenticator
Windows Hello para Empresas
Chave de segurança FIDO2
Token de hardware OATH (versão prévia)
Token de software OATH
SMS
Chamada de voz

Padrões de segurança são um conjunto de configurações de segurança de identidade básicas recomendadas pela Microsoft que podem ser habilitadas para impor automaticamente um nível básico de segurança em toda a organização, incluindo:

Exigir o registro de MFA para todos os usuários.
Forçar administradores a usar MFA.
Exigir que todos os usuários completem a MFA quando necessário.

Os padrões de segurança são ideais para organizações que buscam melhorar sua segurança sem custo adicional ou que utilizam a camada gratuita do Microsoft Entra ID. No entanto, podem não ser adequados para organizações com licenças premium (P1 ou P2) ou requisitos de segurança mais complexos.

Redefinição de Senha por Autoatendimento

A redefinição de senha self-service (SSPR) do Microsoft Entra ID permite que os usuários redefinam ou alterem suas senhas sem a necessidade de intervenção do administrador ou do suporte técnico. Isso traz vários benefícios, como redução de custos de suporte de TI, aumento da produtividade dos usuários (que podem recuperar o acesso mais rapidamente), flexibilidade para administradores ajustarem configurações de segurança sem interromper os usuários e logs de auditoria robustos para monitoramento.

Para usar a SSPR, os usuários precisam ter uma licença do Microsoft Entra ID atribuída, estar habilitados para SSPR por um administrador e estar registrados com os métodos de autenticação desejados (recomenda-se dois ou mais).

Os métodos de autenticação disponíveis para SSPR são:

Notificação de aplicativo móvel
Código do aplicativo móvel
Email
Telefone celular (SMS)
Telefone comercial (chamada de voz)
Perguntas de segurança (apenas para confirmar identidade durante a redefinição, não para login; não disponível para contas de administrador).

Durante o registro na SSPR, os usuários escolhem e configuram seus métodos de autenticação. As contas de administrador são habilitadas por padrão para SSPR, mas devem usar dois métodos de autenticação (email, aplicativo autenticador ou telefone) e não podem usar perguntas de segurança.

A SSPR pode ser configurada para realizar o write-back de senha para um Active Directory local, permitindo que os usuários usem suas novas credenciais imediatamente em recursos locais.

Os administradores podem configurar notificações por email para serem enviadas quando eventos de SSPR ocorrem para contas de usuário e de administrador, fornecendo uma camada adicional de reconhecimento, especialmente para redefinições de senhas de contas com privilégios (todos os administradores globais são notificados quando a SSPR é usada em suas contas).

Recursos de Gerenciamento e Proteção de Senha

A proteção por senha do Microsoft Entra ID é um recurso que visa aumentar a segurança, prevenindo que os usuários definam senhas consideradas fracas. Ela funciona detectando e bloqueando senhas conhecidas como inseguras e suas variações, além de permitir o bloqueio de termos específicos para a organização.

Existem dois tipos de listas de senhas banidas:

Lista global de senhas proibidas: Mantida e atualizada automaticamente pela Microsoft com base em dados de telemetria de segurança e ataques reais de pulverização de senha. Ela bloqueia senhas fracas comuns e suas variações (criadas com substituições de letras por números, etc.). Essa lista é aplicada automaticamente a todos os locatários do Microsoft Entra e não pode ser desabilitada.
Listas personalizadas de senhas banidas: Criadas por administradores para bloquear termos específicos da organização, como nomes de marcas, produtos, localizações, termos internos e abreviações relevantes. Essas listas são combinadas com a lista global para bloquear variações de todas as senhas proibidas. Esse recurso requer licenciamento Microsoft Entra ID P1 ou P2.

A proteção de senha do Microsoft Entra é eficaz contra ataques de pulverização de senha, que utilizam um pequeno conjunto de senhas fracas conhecidas contra várias contas. Ao bloquear essas senhas comuns, a proteção reduz significativamente a superfície de ataque.

Para ambientes híbridos (com Active Directory local), a proteção de senha do Microsoft Entra pode ser integrada. Um componente instalado localmente recebe as listas de senhas banidas (global e personalizadas) do Microsoft Entra e as aplica nos controladores de domínio durante as alterações de senha dos usuários, garantindo a aplicação da política em ambos os ambientes.

É importante notar que, embora a proteção de senha fortaleça as senhas, ela deve ser usada em conjunto com outras práticas recomendadas de segurança, como a autenticação multifator, para uma proteção mais robusta. Senhas, mesmo fortes, não são tão seguras quanto múltiplas camadas de segurança.

Acesso Condicional

O Acesso Condicional do Microsoft Entra ID é uma funcionalidade de segurança que aplica camadas extras de proteção antes de conceder acesso a dados ou ativos a usuários autenticados. Ele opera através de políticas criadas no Microsoft Entra ID que analisam diversos sinais (usuário, localização, dispositivo, aplicativo e risco) para automatizar decisões de autorização de acesso a recursos (aplicativos e dados).

As políticas de Acesso Condicional seguem uma lógica "se-então". Por exemplo, "se um usuário pertence ao grupo X, então exija autenticação multifator para acessar o aplicativo Y". É importante notar que o Acesso Condicional atua após a autenticação do primeiro fator e não é uma defesa primária contra ataques como DoS.

Uma política de Acesso Condicional possui dois componentes principais: atribuições e controles de acesso.

Atribuições definem quem, o quê, quando e onde a política se aplica, utilizando diversos sinais conectados por lógica AND:

Usuários: Inclui ou exclui usuários específicos, grupos, funções de diretório, convidados externos e identidades de carga de trabalho.
Recursos de destino: Define os aplicativos ou serviços (incluindo aplicativos Microsoft, Office 365, Azure, portais de administração e aplicativos registrados no Microsoft Entra), ações do usuário (como registro de segurança ou de dispositivos), tráfego protegido pelo Acesso Global Seguro (versão prévia) e contexto de autenticação (para proteger dados e ações específicas dentro de aplicativos).
Rede: Controla o acesso com base na localização de rede do usuário (qualquer rede, locais confiáveis, intervalos de IP confiáveis ou locais nomeados) e redes compatíveis (usuários e dispositivos em conformidade com as políticas de segurança).
Condições: Especificam quando a política é aplicada, considerando fatores como:
Risco de entrada e risco de usuário: Avaliados pelo Microsoft Entra ID Protection para identificar ações suspeitas ou contas comprometidas.
Risco interno: Sinais de risco do Microsoft Purview (para administradores com acesso).
Plataforma do dispositivo: Sistema operacional do dispositivo.
Aplicativos cliente: Software utilizado para acessar o aplicativo de nuvem (navegadores, aplicativos móveis e desktop).
Filtros para dispositivos: Permite aplicar políticas com base em propriedades específicas dos dispositivos (ex: estações de trabalho com acesso privilegiado).

Controles de acesso definem como a política é imposta quando as atribuições são atendidas, resultando em decisões como:

Bloquear acesso.
Permitir acesso: Com ou sem controles adicionais, como exigir autenticação multifator, métodos de autenticação específicos, dispositivos conformes, alteração de senha, etc.
Sessão: Habilita experiências limitadas em aplicativos de nuvem específicos, como bloquear download, recorte, cópia e impressão de documentos confidenciais (usando o Controle de Aplicativos de Acesso Condicional com sinais do Microsoft Defender para Nuvem), exigir rotulagem de arquivos confidenciais, controlar a frequência de entrada e aplicar restrições no aplicativo com base no estado do dispositivo.

Em resumo, as atribuições definem o escopo da política (quem, o quê e onde), enquanto os controles de acesso determinam a ação a ser tomada quando as condições são atendidas (como o acesso é controlado).

Acesso Global Seguro no Microsoft Entra

O Microsoft Entra agora oferece o Acesso Global Seguro da Microsoft, um conjunto de produtos que unifica o Microsoft Entra Internet Access e o Microsoft Entra Private Access. Essa solução converge controles de acesso de rede, identidade e ponto de extremidade Zero Trust para proteger o acesso a qualquer aplicativo ou recurso, de qualquer local, dispositivo ou identidade, representando uma nova categoria de segurança de rede chamada SSE (Perímetro de Serviço de Segurança).

O SSE visa resolver desafios como o risco de movimentação lateral via VPN comprometida, a necessidade de um perímetro para ativos baseados na Internet e a melhoria do serviço em locais remotos. A solução emprega um cliente de Acesso Global Seguro para controlar o tráfego de rede no dispositivo do usuário final, permitindo o roteamento de perfis de tráfego específicos através do Internet Access e do Private Access, habilitando controles avançados com integração profunda com políticas de acesso condicional e avaliação de riscos em tempo real.

Microsoft Entra Private Access: Visa substituir VPNs legadas, bloquear a movimentação lateral e reduzir o acesso excessivo, fornecendo acesso seguro a recursos corporativos privados para usuários remotos ou no escritório. Funciona criando aplicativos empresariais como "contêineres" para esses recursos, com conectores de rede atuando como agentes. Existem duas formas de configurar o acesso a recursos privados:

Acesso Rápido: Adiciona recursos privados (definidos por FQDN, IP, intervalo de IPs e portas) a um único aplicativo empresarial, permitindo a aplicação de políticas de acesso condicional a esse aplicativo.
Aplicativo Acesso Global Seguro (Acesso por Aplicativo): Permite criar múltiplos aplicativos empresariais ("contêineres"), cada um com propriedades de recursos privados específicas e políticas de acesso condicional distintas, oferecendo uma abordagem mais granular.

Microsoft Entra Internet Access: Fornece uma solução de SWG (Gateway da Web Seguro) centrada em identidade para proteger o acesso a aplicativos SaaS (incluindo serviços Microsoft e outros aplicativos da Internet), usuários, dispositivos e dados contra ameaças online. Os principais recursos incluem:

Proteção contra roubo de token/identidade com políticas de acesso condicional e imposição de rede em conformidade (nos planos de autenticação e dados, este último com suporte à Avaliação Contínua de Acesso - CAE).
CAE (Avaliação Contínua de Acesso): Comunicação constante entre aplicativos e o Microsoft Entra para garantir que o acesso do usuário permaneça seguro e atualizado, ajustando ou bloqueando o acesso em tempo real em caso de mudanças (localização, riscos de segurança).
Restrições de locatário para prevenir a exfiltração de dados para outros locatários ou contas pessoais (incluindo acesso anônimo).
Políticas de perfil de encaminhamento de tráfego para controlar o acesso a sites da Internet por trabalhadores remotos.
Filtragem de conteúdo da Web baseada em categorias e nomes de domínio.

Painel do Acesso Global Seguro: Oferece visualizações do tráfego de rede adquirido pelos serviços de Acesso Privado e Internet, compilando dados de configurações de rede em diversos widgets para monitoramento e aprimoramento das configurações, incluindo:

Instantâneo do Acesso Seguro Global (resumo de usuários, dispositivos e aplicativos protegidos).
Alertas e notificações (versão prévia) sobre atividades suspeitas ou tendências.
Criação de perfil de uso (versão prévia) de tráfego por período e categoria.
Acesso entre locatários (visibilidade de usuários e dispositivos acessando outros locatários).
Filtragem de categoria da Web (principais categorias de conteúdo bloqueadas ou permitidas).
Status do dispositivo (dispositivos ativos e inativos).

Funções do Microsoft Entra, Funções e Controle de Acesso Baseado em Função (RBAC)

As funções do Microsoft Entra controlam as permissões para gerenciar recursos dentro do Microsoft Entra ID, como a criação de contas de usuário ou a visualização de informações de cobrança. O Microsoft Entra ID suporta tanto funções internas (com conjuntos fixos de permissões) quanto funções personalizadas (com permissões selecionáveis). O gerenciamento de acesso por meio de funções é conhecido como RBAC (controle de acesso baseado em função), e no contexto do Microsoft Entra, é chamado de RBAC do Microsoft Entra.

Funções internas: São funções predefinidas com um conjunto fixo de permissões, como:

Administrador global: Acesso a todos os recursos administrativos do Microsoft Entra.
Administrador do usuário: Criação e gerenciamento de todos os aspectos de usuários e grupos, além de gerenciar tíquetes de suporte e monitorar a integridade do serviço.
Administrador de cobrança: Realiza compras, gerencia assinaturas e tíquetes de suporte e monitora a integridade do serviço. As permissões das funções internas não podem ser modificadas.

Funções personalizadas: Oferecem flexibilidade ao conceder acesso, permitindo a criação de definições de função com uma coleção de permissões escolhidas de uma lista predefinida (as mesmas permissões usadas pelas funções internas). O processo envolve duas etapas:

Criação da definição de função personalizada: Seleção das permissões desejadas.
Atribuição da função: Vinculação da definição de função a usuários ou grupos em um escopo específico. Um escopo define os recursos do Microsoft Entra aos quais o membro da função tem acesso. As funções personalizadas podem ser atribuídas em um escopo de toda a organização ou em um escopo de objeto (ex: um único aplicativo). As funções personalizadas exigem uma licença P1 ou P2 do Microsoft Entra ID.

A melhor prática é seguir o princípio do privilégio mínimo, concedendo aos usuários apenas as permissões necessárias para realizar seu trabalho (ex: atribuir a função de Administrador de Usuários para gerenciar usuários, em vez de Administrador Global).

Categorias das funções do Microsoft Entra: Para facilitar o gerenciamento de identidade em serviços do Microsoft 365, as funções internas do Microsoft Entra podem ser categorizadas em:

Funções específicas do Microsoft Entra: Permissões para gerenciar recursos apenas no Microsoft Entra ID (ex: Administrador de Usuários, Administrador de Aplicativos, Administrador de Grupos).
Funções específicas do serviço: Permissões para gerenciar recursos dentro de serviços específicos do Microsoft 365 (ex: Administrador do Exchange, Administrador do Intune, Administrador do SharePoint, Administrador do Teams).
Funções entre serviços: Funções que abrangem múltiplos serviços do Microsoft 365 (ex: Administrador de Segurança, Administrador de Conformidade).

Diferença entre o RBAC do Microsoft Entra e o RBAC do Azure: Embora ambos sejam formas de RBAC, eles controlam acessos a recursos diferentes e possuem armazenamentos de dados e pontos de decisão de política distintos:

RBAC do Microsoft Entra: Controla o acesso a recursos do Microsoft Entra (usuários, grupos, aplicativos).
RBAC do Azure: Controla o acesso a recursos do Azure (máquinas virtuais, armazenamento) usando o Azure Resource Manager.

Microsoft Entra ID Governance

O Microsoft Entra ID Governance permite equilibrar segurança e produtividade, garantindo que as pessoas certas tenham o acesso certo aos recursos, através de automação, delegação e visibilidade. Ele ajuda as organizações a:

Controlar o ciclo de vida de identidade: Gerenciar a criação, atualização e remoção de identidades de usuários (funcionários, parceiros, fornecedores) e entre serviços/aplicativos (local e nuvem).
Controlar o ciclo de vida de acesso: Gerenciar o acesso aos recursos ao longo do tempo, desde o ingresso até a saída do usuário da organização.
Proteger o acesso privilegiado: Controlar e monitorar direitos administrativos para prevenir uso indevido.

O ID Governance auxilia as organizações a responder quatro perguntas chave:

Quais usuários devem ter acesso a quais recursos?
O que esses usuários estão fazendo com esse acesso?
Existem controles organizacionais em vigor para gerenciar o acesso?
Auditores podem verificar se os controles estão funcionando?

Ciclo de vida de identidade: Envolve o gerenciamento das identidades dos usuários durante seu ciclo de vida na organização (ingresso, transferência, saída). Muitas organizações vinculam esse ciclo a sistemas de RH. O Microsoft Entra ID Governance automatiza esse ciclo usando:

Provisionamento de entrada de RH: Sincronização automática de identidades do sistema de RH para o Microsoft Entra ID e Active Directory.
Fluxos de trabalho de ciclo de vida: Automatização de tarefas em eventos importantes (antes da contratação, mudanças de status, saída).
Políticas de atribuição automática (gerenciamento de direitos): Adição/remoção automática de associações de grupo, funções de aplicativo e funções do SharePoint com base em atributos do usuário.
Provisionamento de usuário: Criação, atualização e remoção de contas em outros aplicativos (local e nuvem).

Ciclo de vida de acesso: Gerencia o acesso dos usuários aos recursos ao longo do tempo, além do provisionamento inicial. O Microsoft Entra ID Governance permite:

Estabelecer quais direitos de acesso os usuários devem ter e quais verificações são necessárias.
Automatizar o processo usando grupos dinâmicos (associação baseada em atributos do usuário/dispositivo).
Utilizar o gerenciamento de direitos para definir como os usuários solicitam acesso a pacotes de recursos e impor a separação de tarefas.
Realizar revisões de acesso recorrentes para recertificação de acesso.

Ciclo de vida de acesso privilegiado: Monitora e controla direitos administrativos devido ao potencial de uso indevido. O Microsoft Entra Privileged Identity Manager (PIM) fornece controles extras para proteger esses direitos, minimizando o número de pessoas com acesso privilegiado no Microsoft Entra ID, Azure e outros serviços Microsoft. O PIM oferece um conjunto abrangente de controles de governança para proteger os recursos da empresa.

Revisões de Acesso

As análises de acesso do Microsoft Entra garantem que apenas as pessoas certas tenham acesso aos recursos, revisando associações de grupos, acesso a aplicativos e atribuições de funções. São cruciais para auditar acesso privilegiado, dados críticos, exceções de políticas e a necessidade de acesso de convidados. As revisões podem ser únicas ou recorrentes, com revisores (usuários ou decisores) aprovando ou negando acesso. Após a revisão, o acesso é ajustado manual ou automaticamente. Revisões multifásicas com múltiplos revisores em sequência são suportadas para fluxos de trabalho complexos.

Gerenciamento de Direitos

O gerenciamento de direitos automatiza o ciclo de vida de identidade e acesso em escala, incluindo solicitações, atribuições, revisões e expiração. Delega a criação de pacotes de acesso (conjuntos de recursos solicitáveis) a não administradores, que definem políticas de acesso (quem pode solicitar, aprovar e quando expira). Gerencia usuários externos, convidando-os automaticamente ao diretório após aprovação e removendo suas contas B2B após a expiração do acesso (se não houver outras atribuições). Utiliza pacotes de acesso para gerenciar o acesso a recursos.

Os termos de uso do Microsoft Entra exibem informações (em PDF) aos usuários antes do acesso a dados ou aplicativos (ex: avisos legais, conformidade, agendamentos recorrentes, baseados em atributos). Políticas de acesso condicional exigem a aceitação dos termos para conceder acesso, e os administradores podem rastrear quem aceitou ou recusou.

Privileged Identity Management

O Privileged Identity Management (PIM) do Microsoft Entra ID gerencia, controla e monitora o acesso a recursos importantes (Microsoft Entra, Azure, Microsoft 365, Intune), reduzindo riscos de permissões excessivas. Exige justificativa e MFA para ativar funções, sendo:

Just-in-time: Acesso privilegiado só quando necessário.
Calendarizado: Acesso com datas de início e fim.
Baseado em aprovação: Requer aprovações para ativar privilégios.
Visualizável: Notificações de ativação de funções privilegiadas.
Auditável: Histórico de acesso completo disponível.

Por que usar o PIM?

Minimiza o acesso de atores mal-intencionados e limita o tempo de acesso de usuários autorizados, reduzindo riscos de alterações inadvertidas e fornecendo supervisão sobre o uso de privilégios.

O que o PIM gerencia?

Funções do Microsoft Entra (diretório, internas e personalizadas).
Funções do Azure (RBAC em grupos gerenciados, assinaturas, recursos).
PIM para Grupos (associação e propriedade just-in-time para controlar acesso a diversos cenários).

Fluxo de trabalho básico:

Atribuir: Administradores atribuem funções qualificadas (requerem ativação) ou ativas (acesso imediato) a usuários/grupos/entidades de serviço, definindo escopo e duração.
Ativar: Usuários qualificados solicitam ativação por um período limitado, fornecendo uma justificativa.
Aprovar/Negar: Aprovadores delegados revisam e decidem sobre as solicitações.
Estender/Renovar: Usuários podem solicitar extensão ou renovação de atribuições próximas ou já expiradas.

Auditoria:

O histórico de auditoria do PIM registra todas as ativações e atribuições de funções dos últimos 30 dias.

Microsoft Entra ID Protection

O Microsoft Entra ID Protection ajuda a detectar, investigar e corrigir riscos baseados em identidades de usuário e carga de trabalho, alimentando decisões de acesso condicional ou sistemas SIEM.

Detecta riscos analisando trilhões de sinais da Microsoft (Microsoft Entra ID, Microsoft Accounts, Xbox) para identificar atividades suspeitas ou anormais (detecções de risco) ligadas a entradas (risco de entrada, como login de IP anônimo ou viagens atípicas) ou usuários (risco do usuário, como credenciais vazadas ou atividade de envio suspeita). Apenas logins com credenciais corretas geram detecções de risco. As detecções podem exigir MFA, redefinição de senha ou bloquear acesso.

Investiga riscos através de três relatórios:

Detecções de risco: Lista cada risco identificado.
Entradas arriscadas: Logins com uma ou mais detecções de risco.
Usuários suspeitos: Usuários com entradas arriscadas ou detecções de risco. Para usuários integrados ao Microsoft Security Copilot, o relatório de usuários de risco fornece resumos de risco, insights e recomendações. A investigação é crucial para identificar vulnerabilidades.

Corrige riscos automaticamente (através de políticas de acesso condicional baseadas em risco que exigem controles de acesso para mitigar o risco) ou manualmente (administradores analisam relatórios no portal, API ou Microsoft Defender XDR e marcam riscos como ignorados, seguros ou comprometidos).

Exporta dados do Identity Protection via APIs do Microsoft Graph ou para Log Analytics, contas de armazenamento ou Hubs de Eventos para arquivamento, investigação adicional e correlação com outras ferramentas.

Gerenciamento de Permissões do Microsoft Entra

O Gerenciamento de Permissões do Microsoft Entra (CIEM) oferece visibilidade e controle unificados sobre permissões em Azure, AWS e GCP, ajudando a implementar o princípio de Confiança Zero de privilégio mínimo. Ele aborda a complexidade multinuvem, o aumento de permissões de alto risco e a inconsistência dos modelos de acesso nativos.

O Gerenciamento de Permissões descobre riscos de permissão avaliando a diferença entre permissões concedidas e usadas, fornecendo métricas normalizadas entre nuvens, o Índice de Deslocamento de Permissões (PCI) para avaliar o risco geral e análise de uso de permissões multidimensional.

Ele corrige automaticamente permissões, redimensionando-as com base no uso, excluindo permissões não utilizadas por 90 dias e permitindo a concessão de permissões sob demanda (just-in-time) por um período limitado.

O serviço também monitora continuamente as permissões não usadas e excessivas, detectando atividades anômalas com alertas de machine learning e gerando relatórios forenses detalhados para investigação e correção rápidas.

Ao fornecer visibilidade abrangente, automatizar o acesso com privilégios mínimos e unificar políticas entre plataformas IaaS, o Gerenciamento de Permissões fortalece as estratégias de segurança de Confiança Zero.

Microsoft Entra Verified ID

O Microsoft Entra Verified ID é um serviço para gerenciar credenciais verificáveis baseado em padrões abertos, automatizando a verificação de identidade e permitindo interações seguras e privadas entre organizações e usuários. Ele visa resolver a dificuldade e a falta de controle de privacidade ao usar identidades digitais online.

Como funciona:

Emissor: Organização que atesta informações e emite credenciais digitais assinadas ao usuário (ex: provedor de verificação de identidade, governo, empregador, universidade).
Usuário: Recebe, armazena (em carteira digital) e apresenta as credenciais ao verificador. As informações na credencial são assinadas criptograficamente com a chave privada do usuário.
Verificador: Organização que solicita prova e verifica se as informações na credencial atendem aos seus requisitos (ex: empregador, companhia aérea, empresa hipotecária).

A base para isso é um registro de dados verificável (como blockchains ou sistemas distribuídos) que armazena metadados e chaves públicas para verificar as credenciais apresentadas pelo usuário. Esse registro atua como um sistema de confiança. O padrão de credenciais verificáveis também inclui mecanismos para expiração e revogação de credenciais.

Integração do Microsoft Entra com o Microsoft Security Copilot

O Microsoft Entra se integra ao Microsoft Security Copilot através de um plug-in que, uma vez habilitado por usuários com as permissões adequadas, permite que analistas de segurança obtenham resumos de riscos, etapas de correção e diretrizes para identidades em risco em linguagem natural. O Copilot auxilia na criação de fluxos de trabalho de ciclo de vida para gerenciamento de credenciais e direitos de acesso, além de suportar outras funcionalidades do Entra por meio de prompts internos ou personalizados. Essa integração também está disponível como uma experiência incorporada chamada Microsoft Copilot no Microsoft Entra, como no relatório de usuários de risco, que resume o nível de risco, fornece insights e recomendações de mitigação.

O que é o Microsoft Security Copilot?

O Microsoft Security Copilot é uma solução de segurança alimentada por IA generativa, projetada para aumentar a eficiência e as capacidades dos profissionais de segurança. Ele fornece uma experiência de copiloto assistiva em linguagem natural para ajudar em diversas tarefas, como resposta a incidentes, deteção de ameaças, recolha de informações e gestão da postura de segurança. O Security Copilot combina modelos GPT-4 avançados da OpenAI com a experiência da Microsoft em segurança, inteligência contra ameaças e produtos de segurança abrangentes.

Terminologia do Microsoft Security Copilot:

Copilot: Assistentes de linguagem natural que ajudam em tarefas criativas, geram insights e automatizam fluxos de trabalho.
Prompt: Instruções ou perguntas em linguagem natural enviadas ao Copilot para gerar respostas.
Promptbook: Uma coleção de prompts organizados para realizar tarefas de segurança específicas.
Plugin: Componentes que permitem ao Copilot aceder a fontes de dados e ferramentas específicas.
Aterramento (Grounding): Processo de pré-processamento de um prompt para melhorar a sua especificidade e obter respostas mais relevantes.

Como o Copilot da Segurança da Microsoft processa as solicitações de prompt:

O prompt do utilizador é enviado para o Security Copilot.
O Copilot seleciona os plugins apropriados para pré-processar o prompt e obter contexto específico.
O prompt modificado é enviado para um modelo de linguagem grande (LLM).
O LLM gera os resultados.
O Security Copilot pós-processa a resposta, acedendo a plugins para obter informações contextualizadas.
A resposta é devolvida ao utilizador.

Elementos de um pedido eficaz:

Um prompt eficaz deve incluir:

Objetivo: Informações específicas relacionadas com a segurança que precisa.
Contexto: Por que precisa destas informações ou como planeia usá-las.
Expectativas: Formato ou público-alvo para o qual deseja que a resposta seja adaptada.
Fonte: Informações conhecidas, fontes de dados ou plugins que o Security Copilot deve usar.

Como ativar o Microsoft Security Copilot:

Provisionar capacidade: Necessita de ser proprietário ou colaborador de uma subscrição do Azure.
Configurar o ambiente predefinido: No portal do Azure, procure por Security Copilot e crie um recurso.
Ativar plugins: No Security Copilot, vá para a secção "Fontes" e ative os plugins necessários, como o Microsoft Threat Intelligence.

Descrever a Proteção contra DDoS do Azure

A Proteção contra DDoS do Azure fornece contramedidas aprimoradas contra ataques de negação de serviço distribuídos (DDoS) para os seus recursos no Azure. Ela é projetada para proteger os seus aplicativos e dados, mantendo a disponibilidade e a confiabilidade dos seus serviços. A Proteção contra DDoS do Azure oferece monitoramento de tráfego dedicado e mitigação automática de ataques comuns da camada de rede (camada 3 e 4). Há dois níveis:

Proteção Básica: Habilitada por padrão e sem custo adicional, oferece defesas suficientes para proteger contra ataques DDoS comuns na infraestrutura do Azure.
Proteção Standard: Fornece recursos de mitigação dedicados, monitoramento adaptável e alertas para ajudar a proteger contra ataques DDoS mais sofisticados e de grande volume direcionados aos seus recursos específicos do Azure (como máquinas virtuais, balanceadores de carga e gateways de aplicativos).

Firewall do Azure

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado na nuvem que protege os seus recursos do Azure. É um firewall como serviço (FWaaS) totalmente com estado com alta disponibilidade e escalabilidade de nuvem irrestrita. Ele fornece inspeção de tráfego de Camada 3 a Camada 7, regras de filtragem de rede e aplicativos, inteligência contra ameaças integrada e registro em log e análise. Os principais recursos incluem:

Regras de rede e aplicativos: Defina regras de permissão/negação com base em endereços IP de origem e destino, portas e protocolos (Camada 3-4), bem como FQDNs, URLs e categorias da Web (Camada 7).
Inteligência contra ameaças: Alertas para tráfego malicioso conhecido de feeds da Microsoft Threat Intelligence.
Registro em log e análise: Integração com o Azure Monitor para registro e análise abrangentes do tráfego e eventos do firewall.
Provisionamento forçado de túnel: Direcione todo o tráfego da Internet para um firewall local para inspeção.
Suporte a perfis de firewall: Permite gerenciar políticas de firewall em várias instâncias do Firewall do Azure.

Firewall de Aplicativo Web (WAF)

O Firewall de Aplicativo Web (WAF) do Azure fornece proteção para aplicativos Web contra explorações e vulnerabilidades comuns da Web, como injeção de SQL, scripting entre sites (XSS) e outras ameaças da OWASP Top 10. Ele opera na Camada 7 (camada do aplicativo) e inspeciona o tráfego HTTP(S). O WAF do Azure pode ser implantado com o Gateway de Aplicativo do Azure ou a CDN (Rede de Entrega de Conteúdo) do Azure. Os principais recursos incluem:

Proteção contra vulnerabilidades da Web comuns: Regras predefinidas para mitigar ameaças da OWASP Top 10.
Regras personalizadas: A capacidade de criar regras personalizadas para atender aos requisitos de segurança específicos do seu aplicativo.
Modo de prevenção e detecção: Configure o WAF para bloquear ativamente solicitações maliciosas ou apenas registrar e alertar sobre elas.
Integração com o Azure Security Center: Fornece insights e recomendações de segurança.
Proteção contra bots: Ajuda a mitigar tráfego de bots maliciosos.

Segmentação de Rede no Azure

A segmentação de rede é uma prática de segurança crucial para isolar e proteger diferentes partes da sua infraestrutura de nuvem. No Azure, você pode implementar a segmentação de rede usando várias técnicas:

Redes Virtuais (VNets): Fornecem isolamento lógico para os seus recursos do Azure, permitindo que você defina o seu próprio espaço de endereço IP privado e sub-redes.
Sub-redes: Dentro de uma VNet, você pode criar sub-redes para isolar ainda mais os recursos com base em sua função ou requisitos de segurança.
Grupos de Segurança de Rede (NSGs): Permitem filtrar o tráfego de rede de entrada e saída no nível da sub-rede e da interface de rede (NIC).
Firewall do Azure e NVA (Virtual Network Appliances): Fornecem inspeção de tráfego avançada e controle de acesso entre segmentos de rede.
Azure Private Link: Permite acessar serviços PaaS do Azure (como Banco de Dados SQL do Azure e Armazenamento do Azure) e serviços de parceiros/clientes de forma privada na sua VNet, mantendo o tráfego na rede de backbone do Azure.

Grupos de Segurança de Rede (NSGs) do Azure

Os Grupos de Segurança de Rede (NSGs) do Azure atuam como firewalls virtuais para os seus recursos do Azure. Um NSG contém uma lista de regras de segurança que permitem ou negam o tráfego de rede de entrada ou saída para recursos conectados a VNets. Os NSGs podem ser associados a sub-redes ou a interfaces de rede (NICs) individuais. As regras do NSG são avaliadas por prioridade e incluem:

Origem e destino: Endereços IP, intervalos de IP, prefixos de serviço ou tags de serviço.
Porta de origem e destino: Portas individuais ou intervalos de portas.
Protocolo: TCP, UDP, ICMP ou Any.
Ação: Permitir ou Negar.

O Azure fornece regras padrão para cada NSG, permitindo o tráfego dentro da VNet e negando todo o tráfego de entrada da Internet. Você pode modificar essas regras padrão e adicionar novas regras para criar políticas de segurança específicas para os seus aplicativos.

Azure Bastion

O Azure Bastion é um serviço totalmente gerenciado que fornece acesso RDP (Remote Desktop Protocol) e SSH (Secure Shell) seguro e contínuo às suas máquinas virtuais (VMs) sem expor as suas VMs diretamente à Internet. Ele se conecta às suas VMs por meio do navegador e do portal do Azure ou por meio de um cliente SSH/RDP nativo instalado na sua máquina local. O Azure Bastion reside na sua rede virtual e fornece:

Conectividade segura: Elimina a necessidade de endereços IP públicos nas suas VMs para acesso RDP/SSH.
Gerenciamento centralizado: Gerencie o acesso RDP/SSH de um único ponto.
Segurança aprimorada: Protege contra varredura de portas e outros tipos de ataques direcionados a protocolos RDP/SSH expostos à Internet.
Auditoria e registro em log: Integra-se com o Azure Monitor para registrar sessões de conexão.
Suporte a Azure AD: Permite usar as credenciais do Azure Active Directory para se autenticar nas VMs (para VMs Windows).

Azure Key Vault

O Azure Key Vault é um serviço baseado na nuvem para gerenciar segredos e proteger chaves de criptografia, segredos (como senhas, chaves de API e certificados) e chaves de armazenamento. Ele ajuda você a controlar o acesso e o uso dessas informações confidenciais. O Azure Key Vault oferece:

Armazenamento seguro: Protege chaves e segredos com criptografia e controle de acesso robusto.
Gerenciamento centralizado de chaves: Simplifica o gerenciamento do ciclo de vida das chaves de criptografia.
Gerenciamento de segredos: Armazena e acessa com segurança senhas, cadeias de conexão e outros dados confidenciais.
Gerenciamento de certificados: Permite provisionar, gerenciar e implantar certificados TLS/SSL públicos e privados.
Controle de acesso baseado em função (RBAC) do Azure: Controla quem pode gerenciar o próprio cofre de chaves e quem pode acessar os segredos e chaves armazenados nele.
Registro em log e auditoria: Monitora o acesso e o uso do cofre de chaves.
HSM (Módulos de Segurança de Hardware): Opção para usar HSMs com certificação FIPS 140-2 Nível 2 para maior segurança das suas chaves.

Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem é uma solução de gerenciamento de postura de segurança na nuvem (CSPM) e proteção contra ameaças (CWPP) que fornece visibilidade unificada e controles de segurança em seus recursos do Azure, outras nuvens (como AWS e GCP) e ambientes locais. Ele ajuda a prevenir, detectar e responder a ameaças, além de fortalecer sua postura de segurança geral. O Defender para Nuvem oferece recomendações de segurança acionáveis, alertas de segurança e insights para ajudar a proteger seus workloads e dados na nuvem.

Como as Políticas e Iniciativas de Segurança Melhoram a Postura de Segurança na Nuvem

No Microsoft Defender para Nuvem, as políticas de segurança definem as configurações desejadas para seus workloads e dados. Essas políticas são agrupadas em iniciativas de segurança. Uma iniciativa contém um conjunto de políticas relacionadas à segurança e conformidade com padrões regulatórios e melhores práticas da indústria. Ao definir e aplicar iniciativas de segurança, você pode:

Estabelecer um baseline de segurança: Defina as configurações de segurança mínimas esperadas para seus recursos.
Identificar configurações incorretas: O Defender para Nuvem avalia continuamente seus recursos em relação às políticas definidas e identifica configurações que não estão em conformidade.
Fornecer recomendações acionáveis: Ele oferece recomendações claras e práticas sobre como corrigir as configurações incorretas e melhorar sua postura de segurança.
Monitorar a conformidade: Acompanhe sua conformidade com padrões regulatórios (como PCI DSS, SOC 2, ISO 27001) e políticas personalizadas.
Aplicar políticas em escala: Gerencie e aplique políticas de segurança de forma centralizada em todos os seus ambientes de nuvem.

Gerenciamento da Postura de Segurança na Nuvem (CSPM)

O gerenciamento da postura de segurança na nuvem (CSPM) é um conjunto de processos e ferramentas projetados para melhorar continuamente a postura de segurança de uma organização em seus ambientes de nuvem. O Microsoft Defender para Nuvem oferece recursos abrangentes de CSPM, incluindo:

Visibilidade e insights: Fornece uma visão unificada do seu estado de segurança em várias nuvens.
Avaliação contínua: Avalia continuamente seus recursos em relação às políticas de segurança e padrões de conformidade.
Recomendações de segurança: Oferece orientações práticas para corrigir configurações incorretas e fortalecer sua postura.
Monitoramento de conformidade regulatória: Avalia e rastreia sua conformidade com padrões e regulamentações.
Análise de caminhos de ataque: Identifica possíveis caminhos que os invasores podem explorar para alcançar seus recursos de alto valor.
Governança e aplicação: Permite aplicar políticas de segurança e automatizar ações de correção.

Segurança Aprimorada do Microsoft Defender para Nuvem (CWPP)

A segurança aprimorada do Microsoft Defender para Nuvem (anteriormente conhecida como Azure Defender) oferece recursos de proteção contra ameaças (Cloud Workload Protection Platform - CWPP) para diferentes tipos de workloads, incluindo:

Servidores: Detecção de ameaças comportamentais, análise de logs, proteção adaptável de aplicativos e controle de arquivos para servidores Windows e Linux.
Contêineres: Proteção de segurança para clusters Kubernetes, nós e contêineres, incluindo análise de vulnerabilidades e detecção de ameaças em tempo real.
Bancos de dados: Detecção de ameaças e avaliação de vulnerabilidades para bancos de dados SQL, bancos de dados NoSQL e outros serviços de dados.
Armazenamento: Detecção de malware e análise de atividades suspeitas em contas de armazenamento.
Rede: Análise de tráfego de rede para identificar atividades maliciosas e fornecer insights sobre a postura de segurança da rede.
Key Vault: Detecção de atividades incomuns e acesso não autorizado a cofres de chaves.
Azure App Service: Proteção contra ameaças e análise de comportamento para aplicativos web.

A segurança aprimorada fornece alertas de segurança detalhados, investigações de segurança e recomendações de resposta para ajudar a proteger seus workloads contra ameaças em tempo real.

Gerenciamento de Segurança do DevOps

O gerenciamento de segurança do DevOps, também conhecido como DevSecOps, integra práticas de segurança no ciclo de vida de desenvolvimento de software (SDLC). O Microsoft Defender para Nuvem desempenha um papel importante no DevSecOps, fornecendo recursos para:

Avaliar a segurança da infraestrutura como código (IaC): Analise modelos de IaC (como ARM Templates e Terraform) em busca de configurações incorretas de segurança antes da implantação.
Analisar vulnerabilidades em imagens de contêiner: Integre-se com registros de contêiner para identificar vulnerabilidades em imagens antes da implantação em ambientes de produção.
Monitorar a segurança do ambiente de runtime: Detecte e responda a ameaças em ambientes de produção.
Fornecer feedback antecipado aos desenvolvedores: Integre insights de segurança nos fluxos de trabalho de desenvolvimento para ajudar as equipes a construir aplicativos mais seguros desde o início.
Automatizar verificações de segurança: Integre verificações de segurança em pipelines de CI/CD para garantir que as implantações estejam em conformidade com as políticas de segurança.

Conceitos de SIEM e SOAR

SIEM (Security Information and Event Management): Um sistema que agrega e analisa dados de segurança de várias fontes em toda a infraestrutura de TI de uma organização. O objetivo principal de um SIEM é fornecer uma visão centralizada e em tempo real da postura de segurança, permitindo a identificação e análise de ameaças e atividades suspeitas.
SOAR (Security Orchestration, Automation and Response): Um conjunto de tecnologias que permite às organizações automatizar tarefas e fluxos de trabalho de segurança repetitivos e previsíveis. O SOAR integra diferentes ferramentas de segurança e dados para otimizar a resposta a incidentes, melhorar a eficiência das operações de segurança e reduzir o tempo de resposta a ameaças.

Recursos de Detecção e Mitigação de Ameaças no Microsoft Sentinel

O Microsoft Sentinel, como uma solução SIEM e SOAR nativa da nuvem, oferece diversos recursos para detecção e mitigação de ameaças:

Coleta de dados em escala de nuvem: Conecta-se facilmente a logs de várias fontes (Microsoft, Azure, outras nuvens, locais) através de conectores de dados integrados.
Análise comportamental e aprendizado de máquina: Fornece insights contextuais e comportamentais para detecção focada, investigação e resposta a ameaças, utilizando análise comportamental de entidades e aprendizado de máquina integrado.
Regras de análise: Utiliza regras de análise prontas para uso ou personalizadas para identificar padrões e anomalias que indicam possíveis ameaças, agrupando alertas em incidentes para reduzir o ruído.
Inteligência contra ameaças: Integra feeds de inteligência contra ameaças para detectar atividades maliciosas conhecidas e fornecer contexto para investigações.
Listas de observação (Watchlists): Permite correlacionar dados de fontes externas com eventos no ambiente do Sentinel para identificar ameaças ou atividades suspeitas.
Pastas de trabalho (Workbooks): Cria relatórios visuais interativos para fornecer insights sobre os dados coletados e facilitar a análise.
Automação e Orquestração (SOAR): Permite automatizar respostas a incidentes e orquestrar fluxos de trabalho de segurança através de regras de automação e guias estratégicos (playbooks) integrados, aumentando a eficiência do SOC.

Integração do Microsoft Sentinel ao Microsoft Security Copilot

O Microsoft Sentinel se integra ao Microsoft Security Copilot para aprimorar as capacidades de análise e resposta a ameaças. Com essa integração:

Analistas de segurança podem aproveitar o Copilot diretamente dentro do Microsoft Sentinel para obter assistência em linguagem natural durante investigações.
O Copilot pode fornecer resumos de incidentes, enriquecer dados com informações contextuais e sugerir próximos passos para a investigação e resposta.
A integração permite que os analistas usem os recursos de IA generativa do Copilot para analisar logs, entender alertas complexos e formular consultas de busca de ameaças de forma mais eficiente.
O Copilot pode auxiliar na criação e execução de guias estratégicos (playbooks) no Sentinel, simplificando a automação de tarefas de resposta a incidentes.

A integração do Microsoft Sentinel com o Microsoft Security Copilot visa capacitar os analistas de segurança com IA para acelerar a detecção, investigação e resposta a ameaças, tornando as operações de segurança mais eficientes e eficazes.

Serviços XDR do Microsoft Defender

O Microsoft Defender XDR (Extended Detection and Response) é uma suíte unificada de defesa empresarial pré e pós-violação que coordena nativamente a detecção, prevenção, investigação e resposta em endpoints, identidades, e-mail e aplicativos. Ele integra a proteção contra ataques sofisticados, fornecendo uma visão completa do ciclo de vida da ameaça, desde a entrada no ambiente até o impacto na organização. O Defender XDR automatiza ações para prevenir ou interromper ataques e auto-recuperar ativos afetados.

Microsoft Defender para Office 365

O Microsoft Defender para Office 365 ajuda a proteger as ferramentas de e-mail e colaboração do Microsoft 365 contra ameaças avançadas como phishing, malware e comprometimento de e-mail comercial (BEC). Ele oferece recursos como:

Proteção contra anexos e links maliciosos: Utiliza Anexos Seguros e Links Seguros para verificar arquivos e URLs em tempo real.
Políticas anti-phishing: Detecta e bloqueia tentativas de phishing, incluindo proteção contra representação.
Proteção para SharePoint, OneDrive e Microsoft Teams: Estende a proteção para arquivos e links nessas plataformas de colaboração.
Investigação e Resposta Automatizada (AIR): Automatiza fluxos de trabalho para investigar e responder a ameaças.
Busca Avançada de Ameaças: Permite que os analistas procurem proativamente por ameaças no ambiente do Office 365.

Microsoft Defender para Ponto de Extremidade

O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. Ele oferece:

Proteção Preventiva: Antivírus de última geração com análise comportamental e aprendizado de máquina.
Detecção e Resposta de Endpoint (EDR): Fornece visibilidade sobre atividades de endpoint e permite a detecção e resposta a ameaças avançadas.
Gerenciamento de Vulnerabilidades: Ajuda a identificar, priorizar e remediar vulnerabilidades e configurações incorretas nos endpoints.
Redução da Superfície de Ataque: Oferece recursos para minimizar os pontos de entrada para ataques.
Proteção Multiplataforma: Suporta Windows, macOS, Linux, Android e iOS.

Microsoft Defender for Cloud Aplicativos

O Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security) é um Cloud Access Security Broker (CASB) que fornece visibilidade, controle de dados e proteção contra ameaças para aplicativos em nuvem. Ele ajuda a:

Descobrir e controlar o uso de Shadow IT: Identifica aplicativos em nuvem que estão sendo usados na organização.
Proteger informações confidenciais: Ajuda a entender, classificar e proteger dados confidenciais em aplicativos em nuvem.
Detectar e mitigar ameaças: Identifica comportamentos anormais e atividades suspeitas em aplicativos em nuvem.
Aplicar políticas de segurança: Define e aplica políticas para controlar o acesso e o uso de aplicativos em nuvem.

Microsoft Defender para Identidade

O Microsoft Defender para Identidade (anteriormente Azure Advanced Threat Protection) é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. Ele oferece:

Detecção de ameaças avançadas: Identifica ataques em toda a cadeia de eliminação cibernética, incluindo reconhecimento, movimento lateral e comprometimento de domínio.
Análise comportamental: Cria perfis de comportamento de usuários e entidades para detectar atividades anormais.
Informações acionáveis: Fornece alertas claros e investigações de incidentes para ajudar as equipes de segurança a responder rapidamente às ameaças.
Visibilidade da postura de segurança de identidade: Oferece insights para melhorar a segurança do seu ambiente de identidade.

Gerenciamento de Vulnerabilidades do Microsoft Defender

O Gerenciamento de Vulnerabilidades do Microsoft Defender fornece visibilidade contínua, avaliação baseada em risco e priorização de vulnerabilidades e configurações incorretas em seus endpoints. Ele ajuda as equipes de segurança a:

Descobrir vulnerabilidades: Identifica vulnerabilidades em sistemas operacionais, aplicativos e software instalado.
Avaliar o risco: Prioriza vulnerabilidades com base na gravidade, exploração na natureza e impacto nos negócios.
Remediar vulnerabilidades: Fornece recomendações de correção e rastreia o progresso da remediação.
Integrar com outras ferramentas de segurança: Compartilha informações de vulnerabilidade com outras soluções de segurança para uma resposta coordenada.

Inteligência Contra Ameaças do Microsoft Defender

A inteligência contra ameaças do Microsoft Defender fornece insights e contexto sobre ameaças cibernéticas conhecidas e emergentes. Ela é integrada em todos os serviços do Microsoft Defender XDR para:

Aprimorar a detecção: Ajuda a identificar atividades maliciosas associadas a atores de ameaças conhecidos, ferramentas e táticas.
Fornecer contexto para investigações: Oferece informações sobre a origem, as técnicas e os objetivos dos ataques.
Informar a prevenção: Ajuda a configurar políticas de segurança para bloquear ameaças conhecidas.
Facilitar a busca proativa de ameaças: Permite que os analistas procurem por indicadores de comprometimento (IOCs) associados a ameaças específicas.

Portal do Microsoft Defender

O portal do Microsoft Defender é uma plataforma unificada para gerenciar os serviços do Microsoft Defender XDR. Ele fornece:

Visão geral centralizada: Um painel único para visualizar alertas, incidentes, pontuação de segurança e outros insights de segurança.
Gerenciamento de incidentes: Permite que as equipes de segurança investiguem e respondam a incidentes de segurança de forma eficiente.
Explorador de ameaças e busca avançada: Ferramentas para investigar ameaças e procurar proativamente por atividades suspeitas em dados de segurança.
Gerenciamento de políticas de segurança: Permite configurar e gerenciar políticas para os diferentes serviços do Defender.
Relatórios e análises: Fornece insights sobre a postura de segurança e as tendências de ameaças.

Integração do Copilot ao Microsoft Defender XDR

O Microsoft Security Copilot está integrado ao Microsoft Defender XDR para aprimorar as capacidades de detecção, investigação e resposta a ameaças. Com essa integração:

Analistas de segurança podem usar linguagem natural para consultar dados de segurança, resumir incidentes e obter recomendações de resposta.
O Copilot pode ajudar a analisar scripts maliciosos, entender alertas complexos e automatizar tarefas de investigação.
Ele fornece insights contextuais e ajuda a priorizar incidentes, acelerando o processo de resposta e aumentando a eficiência das equipes de segurança.

Os serviços XDR do Microsoft Defender oferecem uma proteção abrangente e integrada em diferentes domínios de segurança, com o portal do Microsoft Defender fornecendo uma visão unificada e o Microsoft Security Copilot aprimorando as capacidades de análise e resposta com IA.

Ofertas do Portal de Confiança do Serviço

O Portal de Confiança do Serviço (Service Trust Portal - STP) da Microsoft é um site público que fornece informações detalhadas e recursos para ajudar os clientes a entender os compromissos da Microsoft com a segurança, conformidade e privacidade de seus serviços de nuvem. Ele serve como um hub central para acessar relatórios de auditoria, documentos de conformidade, informações sobre como a Microsoft implementa controles de segurança e privacidade, e respostas a perguntas frequentes sobre segurança e conformidade. As principais ofertas incluem:

Relatórios de Auditoria: Acesso a relatórios de auditoria de terceiros (como ISO 27001, SOC 1 e SOC 2) que verificam a conformidade dos serviços de nuvem da Microsoft com padrões e regulamentações internacionais.
Documentos de Conformidade: Informações detalhadas sobre as certificações, atestações e conformidade regulatória dos serviços Microsoft com padrões específicos da indústria e regiões geográficas (como GDPR, HIPAA e FedRAMP).
White Papers e FAQs: Documentos que explicam as práticas de segurança, privacidade e conformidade da Microsoft para seus serviços de nuvem, abordando tópicos como proteção de dados, gerenciamento de incidentes e controles de acesso.
Avaliações de Risco e Conformidade: Ferramentas e informações para ajudar os clientes a realizar suas próprias avaliações de risco e conformidade ao usar os serviços de nuvem da Microsoft.
Trust Center: Uma seção do portal que fornece uma visão geral dos princípios de confiança da Microsoft (segurança, privacidade, conformidade e transparência) e recursos relacionados.

O Portal de Confiança do Serviço visa fornecer a transparência e a documentação necessárias para que os clientes avaliem a adequação dos serviços de nuvem da Microsoft para suas necessidades de segurança e conformidade.

Princípios de Privacidade da Microsoft

A Microsoft se compromete com a privacidade e construiu seus produtos e serviços em torno de um conjunto de princípios de privacidade fundamentais, conforme detalhado em sua documentação:

Controle: Os clientes devem ter controle sobre seus dados pessoais, incluindo a capacidade de escolher quais dados coletar, como eles são usados e com quem são compartilhados. A Microsoft fornece ferramentas e configurações para permitir que os usuários gerenciem suas preferências de privacidade.
Transparência: A Microsoft se esforça para ser transparente sobre suas práticas de coleta e uso de dados pessoais, fornecendo informações claras e acessíveis em seus termos de privacidade e documentação.
Segurança: A Microsoft implementa medidas de segurança robustas para proteger os dados pessoais contra acesso não autorizado, uso, divulgação ou destruição. Isso inclui criptografia, controles de acesso físico e lógico e outras tecnologias de segurança.
Forte Proteção Legal: A Microsoft defende os direitos de privacidade de seus clientes e se compromete a cumprir as leis e regulamentações de privacidade aplicáveis em todo o mundo, incluindo o GDPR e a CCPA.
Benefício: A Microsoft usa os dados pessoais coletados para fornecer e melhorar seus serviços, personalizar experiências e oferecer recursos relevantes aos usuários, sempre buscando um equilíbrio entre o benefício para o usuário e a proteção da privacidade.
Responsabilidade: A Microsoft assume a responsabilidade por suas práticas de privacidade e implementa políticas e procedimentos internos para garantir a conformidade com seus compromissos de privacidade.

Esses princípios orientam o desenvolvimento e a operação dos produtos e serviços da Microsoft, refletindo seu compromisso de construir confiança com os clientes em relação à privacidade de seus dados.

Microsoft Priva

O Microsoft Priva é uma solução de gerenciamento de privacidade projetada para ajudar as organizações a gerenciar riscos de privacidade e responder a solicitações de titulares de dados (DSRs) de forma mais eficiente. Ele oferece insights sobre os dados pessoais que uma organização coleta, usa e compartilha, automatizando fluxos de trabalho para responder a DSRs e ajudando a mitigar riscos de privacidade. Os principais recursos do Microsoft Priva incluem:

Avaliação de Risco de Privacidade: Ajuda a identificar e avaliar os riscos de privacidade associados ao processamento de dados pessoais em toda a organização.
Mapeamento e Classificação de Dados: Fornece visibilidade sobre onde os dados pessoais estão localizados, como estão sendo usados e quem tem acesso a eles, muitas vezes aproveitando os recursos de classificação do Microsoft Purview.
Automação de Solicitações de Titulares de Dados (DSRs): Automatiza o processo de recebimento, investigação e resposta a solicitações de indivíduos para acessar, corrigir, excluir ou restringir o processamento de seus dados pessoais, em conformidade com regulamentações como o GDPR e a CCPA.
Políticas de Minimização de Dados: Ajuda a implementar políticas para reter dados pessoais apenas pelo tempo necessário para fins específicos, reduzindo o risco associado à retenção excessiva de dados.
Insights e Relatórios de Privacidade: Fornece painéis e relatórios para visualizar riscos de privacidade, o status das DSRs e outras métricas importantes relacionadas à privacidade.

O Microsoft Priva visa simplificar e automatizar o gerenciamento da privacidade, permitindo que as organizações cumpram as regulamentações de privacidade de forma mais eficaz e construam confiança com seus clientes.

Recursos de Classificação de Dados do Microsoft Purview Information Protection

O Microsoft Purview Information Protection oferece recursos robustos para descobrir, classificar e rotular dados confidenciais em toda a sua organização, independentemente de onde residam (dispositivos, aplicativos, serviços de nuvem e locais). Seus principais recursos de classificação incluem:

Classificação automática: Utiliza métodos baseados em conteúdo (análise de palavras-chave, expressões regulares, tipos de dados confidenciais predefinidos e personalizados) para identificar automaticamente dados confidenciais e aplicar rótulos.
Classificação recomendada: Fornece recomendações inteligentes aos usuários para rotular documentos e emails com base no conteúdo detectado.
Classificação manual: Permite que os usuários classifiquem dados manualmente, fornecendo rótulos que refletem a sensibilidade das informações.
Tipos de informações confidenciais (SITs): Oferece uma vasta biblioteca de SITs predefinidos para identificar informações confidenciais comuns (como números de cartão de crédito, números de CPF, números de passaporte) em várias regiões. Permite a criação de SITs personalizados para atender às necessidades específicas da organização.
Treinamento de classificadores: Capacidade de treinar classificadores personalizados usando exemplos de dados para identificar informações específicas e exclusivas da sua organização.
Exploradores de conteúdo: Ferramentas para examinar dados em repouso em compartilhamentos de arquivos locais e no SharePoint Online para identificar dados confidenciais e aplicar rótulos em massa.

Rótulos e Políticas de Sensibilidade no Microsoft Purview Information Protection

Os rótulos de sensibilidade são blocos de construção fundamentais do Microsoft Purview Information Protection. Eles permitem que você classifique e proteja seus dados de forma consistente. As políticas de sensibilidade são mecanismos para aplicar esses rótulos e as proteções associadas.

Rótulos de Sensibilidade: São tags personalizáveis que representam o nível de sensibilidade dos dados (por exemplo, Público, Geral, Confidencial, Altamente Confidencial). Um rótulo pode ser associado a ações de proteção, como:
Criptografia: Criptografar o conteúdo para restringir o acesso a usuários autorizados.
Restrições de acesso: Controlar quem pode acessar, editar, copiar ou imprimir o conteúdo.
Marcas visuais: Aplicar marcas d'água, cabeçalhos e rodapés para indicar a sensibilidade.
Políticas de Sensibilidade: São publicadas para usuários e locais. Quando um usuário cria ou edita conteúdo, ou quando as condições definidas na política são atendidas, os rótulos podem ser aplicados automaticamente, recomendados ou exigidos. As políticas garantem a aplicação consistente dos rótulos em toda a organização. Elas podem ser configuradas para:
Aplicar um rótulo padrão: Rotular automaticamente documentos e emails sem rótulo com um nível de sensibilidade padrão.
Exigir que os usuários forneçam uma justificativa: Solicitar um motivo quando um usuário tenta remover ou reduzir a classificação de um rótulo.
Impedir que os usuários removam rótulos: Garantir que rótulos específicos não possam ser removidos.

Prevenção Contra Perda de Dados (DLP) no Microsoft Purview

A Prevenção contra Perda de Dados (DLP) do Microsoft Purview ajuda a identificar, monitorar e proteger informações confidenciais para evitar sua perda ou divulgação acidental ou intencional. Ele permite que as organizações criem políticas para controlar como os dados confidenciais são usados e compartilhados em vários locais:

Políticas de DLP: Defina regras baseadas em tipos de informações confidenciais, rótulos de sensibilidade e contexto para identificar atividades de risco.
Locais protegidos: As políticas de DLP podem ser aplicadas a:
Microsoft 365: Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams (chats e canais).
Endpoints: Dispositivos Windows e macOS.
Aplicativos: Aplicativos de terceiros e serviços em nuvem.
Ações de DLP: Quando uma política de DLP é correspondida, várias ações podem ser tomadas:
Bloquear a ação: Impedir que o usuário compartilhe, copie ou imprima dados confidenciais.
Alertar o usuário: Notificar o usuário de que sua ação viola uma política.
Gerar um relatório: Registrar o evento para análise posterior.
Aplicar criptografia: Criptografar o conteúdo para protegê-lo.
Quarentena: Mover o conteúdo para um local seguro.
Fluxos de trabalho de investigação e resposta: Permitem que os administradores revisem e gerenciem alertas de DLP.
Relatórios e análises de DLP: Fornecem visibilidade sobre as correspondências de políticas e tendências de perda de dados.

Gerenciamento de Risco Interno no Microsoft Purview

O gerenciamento de risco interno no Microsoft Purview ajuda a identificar, investigar e tomar medidas sobre atividades de risco dentro da organização que podem levar a violações de segurança, não conformidade ou violações de código de conduta. Ele fornece insights sobre o comportamento do usuário para ajudar a mitigar esses riscos:

Políticas de risco interno: Defina condições e gatilhos para identificar atividades potencialmente arriscadas com base em indicadores como:
Exfiltração de dados: Downloads, uploads ou compartilhamentos incomuns de dados confidenciais.
Violações de política: Não conformidade com políticas de comunicação ou outras políticas organizacionais.
Atividades de usuários em saída: Comportamentos incomuns de usuários que anunciaram sua saída da empresa.
Comunicação maliciosa: Linguagem ofensiva, assédio ou ameaças em comunicações.
Casos: Os alertas gerados pelas políticas são agrupados em casos para investigação.
Fluxos de trabalho de investigação: Fornecem ferramentas para analisar atividades de risco, coletar evidências e colaborar com outras partes interessadas.
Ações de correção: Permitem tomar medidas para mitigar os riscos identificados, como enviar avisos aos usuários ou escalar para outras equipes.
Painéis e relatórios: Oferecem visibilidade sobre tendências de risco interno e o status das investigações.

Proteção Adaptável no Microsoft Purview

A proteção adaptável no Microsoft Purview é um recurso que usa aprendizado de máquina para identificar comportamentos de risco e aplicar automaticamente controles de proteção para evitar a perda de dados. Ela vai além das políticas de DLP estáticas, adaptando dinamicamente as proteções com base no comportamento do usuário e no nível de risco:

Análise de comportamento do usuário (UBA): Cria linhas de base de comportamento normal do usuário e detecta desvios que podem indicar atividades de risco.
Pontuação de risco: Atribui uma pontuação de risco aos usuários com base em suas atividades e no nível de sensibilidade dos dados com os quais estão interagindo.
Controles de proteção adaptáveis: Ajusta dinamicamente as políticas de DLP e as ações de proteção (por exemplo, bloquear, alertar, criptografar) com base na pontuação de risco do usuário e no contexto da ação. Isso permite uma abordagem de proteção mais granular e menos intrusiva para usuários de baixo risco, enquanto aplica controles mais rigorosos para usuários de alto risco.
Cenários de risco: Foca em cenários de risco específicos, como exfiltração de dados por usuários de alto risco ou compartilhamento de dados confidenciais com domínios não autorizados.
Integração com outros recursos do Purview: Trabalha em conjunto com a classificação de dados e as políticas de DLP para fornecer uma proteção mais inteligente e adaptável.

A proteção adaptável visa reduzir falsos positivos, melhorar a experiência do usuário e fortalecer a prevenção contra perda de dados, especialmente em cenários de risco dinâmicos.

Auditoria no Microsoft Purview

A auditoria no Microsoft Purview fornece um registro abrangente das atividades do usuário e do administrador em vários serviços do Microsoft 365. Ela ajuda as organizações a rastrear quem fez o quê e quando, fornecendo visibilidade para fins de segurança, conformidade e investigação forense. Os principais aspectos da auditoria no Purview incluem:

Logs de Auditoria Unificados: Acesso a um único local para visualizar e pesquisar logs de auditoria de serviços como Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Azure AD e outros.
Retenção de Logs de Auditoria: Políticas configuráveis para determinar por quanto tempo os logs de auditoria são retidos.
Pesquisa de Logs de Auditoria: Ferramentas poderosas para pesquisar logs com base em vários critérios, como usuários, atividades, intervalos de datas e locais.
Alertas de Auditoria: Capacidade de configurar alertas para serem notificados sobre atividades específicas que podem ser de interesse para fins de segurança ou conformidade.
Exportação de Logs de Auditoria: Opção para exportar logs de auditoria para análise ou arquivamento adicionais em outras ferramentas.
Relatórios de Auditoria: Relatórios predefinidos e personalizáveis para fornecer insights sobre atividades de auditoria importantes.

Descoberta Eletrônica

A Descoberta Eletrônica (eDiscovery) no Microsoft Purview ajuda as organizações a identificar, preservar, coletar, revisar e analisar dados eletronicamente armazenados (ESI) relevantes para litígios, investigações ou requisitos regulatórios. Ela oferece recursos para gerenciar todo o fluxo de trabalho de eDiscovery:

Gerenciamento de Casos: Criação e gerenciamento de casos para organizar os esforços de descoberta eletrônica.
Identificação e Preservação: Ferramentas para identificar e preservar dados potencialmente relevantes em várias fontes (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams).
Coleta: Capacidade de coletar dados preservados para análise posterior.
Revisão: Interface integrada para revisar documentos coletados, aplicar tags e anotações, e colaborar com outros revisores.
Análise: Recursos para reduzir o volume de dados para revisão, como desduplicação, agrupamento por similaridade e análise de email.
Exportação: Opção para exportar os resultados da revisão em formatos adequados para produção legal.
eDiscovery Avançada: Recursos adicionais para lidar com grandes volumes de dados e casos complexos, incluindo aprendizado de máquina para auxiliar na revisão.

Compliance Manager

O Compliance Manager é um recurso do Microsoft Purview que ajuda as organizações a gerenciar suas atividades de conformidade e a avaliar e melhorar sua postura de conformidade com vários regulamentos e padrões. Ele fornece:

Avaliações Predefinidas: Avaliações para padrões e regulamentos comuns (como GDPR, ISO 27001, NIST CSF) com ações de melhoria sugeridas.
Ações de Melhoria: Recomendações práticas e passo a passo para ajudar a implementar controles e atender aos requisitos regulatórios.
Pontuação de Conformidade: Uma pontuação que reflete o progresso de uma organização no cumprimento dos controles de uma avaliação.
Gerenciamento de Avaliações Personalizadas: Capacidade de criar avaliações personalizadas para requisitos de conformidade específicos da organização.
Delegação de Tarefas: Atribuição de ações de melhoria a indivíduos dentro da organização para responsabilidade.
Evidências e Auditoria: Local centralizado para armazenar evidências de implementação de controles e facilitar auditorias.

Conformidade de Comunicações

A Conformidade de Comunicações no Microsoft Purview ajuda as organizações a monitorar e gerenciar comunicações internas e externas para detectar e mitigar riscos de conformidade e conduta. Ela permite:

Políticas de Conformidade: Definição de políticas para identificar comunicações potencialmente inadequadas ou arriscadas com base em palavras-chave, condições e classificadores de aprendizado de máquina.
Canais de Comunicação Suportados: Monitoramento de emails (Exchange Online), Microsoft Teams (chats e canais), Yammer e outras plataformas de comunicação.
Fluxo de Trabalho de Revisão: Interface para revisores designados analisarem as comunicações sinalizadas, aplicarem tags e tomarem ações de correção.
Escalação: Capacidade de escalar comunicações para outras revisões ou investigações.
Relatórios e Auditoria: Visibilidade sobre o status das políticas e as ações tomadas nas comunicações revisadas.

Gerenciamento do Ciclo de Vida dos Dados

O Gerenciamento do Ciclo de Vida dos Dados (DLM) no Microsoft Purview ajuda as organizações a gerenciar e governar seus dados durante todo o seu ciclo de vida, desde a criação até a disposição final. Ele permite:

Políticas de Retenção: Definição de políticas para especificar por quanto tempo os dados devem ser retidos com base em requisitos legais, regulatórios ou de negócios.
Políticas de Exclusão: Definição de políticas para excluir dados permanentemente quando não forem mais necessários ou quando o período de retenção expirar.
Retenção Baseada em Rótulos: Aplicação de políticas de retenção e exclusão com base em rótulos de sensibilidade.
Retenção Legal: Implementação de retenção legal para preservar dados relevantes para litígios ou investigações, mesmo que as políticas de retenção regulares indiquem que eles devam ser excluídos.
Revisão de Disposição: Fluxos de trabalho para revisar e aprovar a disposição final dos dados quando o período de retenção expirar.

Gerenciamento de Registros

O gerenciamento de registros no Microsoft Purview fornece recursos avançados para gerenciar registros importantes de forma compatível com os requisitos legais e regulatórios. Ele estende os recursos de DLM com funcionalidades específicas para registros:

Declaração de Registros: Capacidade de marcar itens como registros, impedindo que sejam editados ou excluídos de acordo com as políticas de retenção de registros.
Planos de Arquivo: Criação de planos para categorizar e gerenciar registros com base em requisitos de retenção específicos.
Disparos de Retenção: Configuração de eventos que iniciam o período de retenção para registros.
Revisão de Disposição de Registros: Fluxos de trabalho para revisar e aprovar a disposição final de registros, geralmente exigindo aprovações de várias partes interessadas.
Prova de Disposição: Geração de relatórios e trilhas de auditoria para documentar a disposição dos registros de forma compatível.
Imutabilidade: Configuração de locais de armazenamento para garantir que os registros não possam ser alterados ou excluídos após serem declarados.

Esses recursos do Microsoft Purview ajudam as organizações a atender a uma ampla gama de requisitos de conformidade, desde a proteção de dados confidenciais até o gerenciamento de registros legais e a resposta a litígios e investigações.

Conceitos e Benefícios da Governança de Dados

A governança de dados é o conjunto de políticas, procedimentos, padrões e responsabilidades que orientam a coleta, o armazenamento, o gerenciamento, a qualidade, a segurança e o uso dos dados de uma organização. Ela garante que os dados sejam precisos, confiáveis, consistentes e estejam em conformidade com as regulamentações, além de apoiar os objetivos de negócios.

Benefícios da governança de dados:

Melhora a qualidade dos dados: Garante que os dados sejam precisos, completos e consistentes, levando a decisões mais informadas.
Aumenta a conformidade regulatória: Ajuda as organizações a cumprir leis e regulamentos de privacidade e proteção de dados.
Otimiza a tomada de decisões: Fornece dados confiáveis e relevantes para análises e insights, auxiliando na tomada de decisões estratégicas.
Melhora a eficiência operacional: Reduz redundâncias e inconsistências nos dados, otimizando processos e diminuindo custos.
Aumenta a confiança nos dados: Garante que os usuários confiem na integridade e na precisão dos dados, promovendo uma cultura orientada por dados.
Permite a descoberta de dados: Facilita a localização e a compreensão dos ativos de dados disponíveis na organização.
Gerencia os riscos de dados: Ajuda a identificar e mitigar riscos relacionados à segurança, privacidade e qualidade dos dados.

Catálogo de Dados do Microsoft Purview

O Catálogo de Dados do Microsoft Purview é um serviço de gerenciamento de metadados totalmente gerenciado e baseado na nuvem. Ele atua como um sistema de registro para todos os ativos de dados de uma organização, ajudando a descobrir, entender, governar e consumir dados de forma mais eficaz.

Principais funcionalidades do Catálogo de Dados do Microsoft Purview:

Descoberta de dados: Permite que os usuários de negócios e técnicos encontrem os dados de que precisam usando pesquisa intuitiva e navegação por metadados.
Classificação e rotulagem: Aplica automaticamente ou manualmente rótulos de sensibilidade aos dados para garantir a proteção e a conformidade adequadas.
Linhagem de dados: Rastreia o fluxo de dados desde a origem até o destino, fornecendo visibilidade sobre como os dados são transformados e usados.
Glossário de negócios: Cria e gerencia um vocabulário de negócios centralizado para garantir uma compreensão consistente dos termos de dados em toda a organização.
Gerenciamento de ativos de dados: Permite catalogar e enriquecer metadados de diversas fontes de dados (Azure, outras nuvens, locais).
Insights de dados: Fornece informações sobre o uso dos dados, a qualidade e a integridade.
Segurança e governança: Integra-se com políticas de segurança e governança para controlar o acesso e o uso dos dados catalogados.

O Catálogo de Dados do Microsoft Purview capacita as organizações a construir uma base sólida para a governança de dados, fornecendo as ferramentas necessárias para entender, gerenciar e proteger seus valiosos ativos de dados.

Referência

Curso Microsoft Security, Compliance, and Identity Fundamentals

Se você chegou até aqui e vai fazer o exame, espero que eu tenha te ajudado de alguma forma e boa sorte na prova!