Como preparar um Laboratório de Microsoft Defender para o Ponto de Extremidade

Se você ainda não leu a primeira parte deste artigo, clique aqui e descubra o que é o Microsoft Defender para o Ponto de Extremidade e seus requisitos técnicos.

Existe a possibilidade de você criar um cenário de laboratório dentro da console do Windows Defender para efetuar os testes por exemplo de recursos avançados.

Uma simples configuração nos permite criar um cenário para efetuar os testes necessários para recursos específicos da ferramenta.

Leia mais:

O que é o Microsoft Defender para o Ponto de Extremidade?
Conheça as diferenças entre listas de distribuição e grupos do Microsoft 365
Como utilizar o Windows Hello for Business em ambientes 100 % Nuvem
Microsoft anuncia Defender para Android e iOS
4 dicas para uma migração entre Tenants do Microsoft 365 com sucesso

Ao finalizar o processo de configuração do laboratório, podemos adicionar computadores Windows 10 ou Windows Server 2019.

No menu de navegação, selecione Avaliação e tutoriais > Laboratório de Avaliação.

Em seguida, selecione Laboratório de Instalação.

Selecione sua configuração de laboratório preferencial e selecione próximo.

Ao adicionar uma máquina existe a possibilidade de você escolher a versão do sistema operacional para cenário de teste.

No painel, selecione Adicionar dispositivo.

Escolha o tipo de dispositivo a ser acrescentado. Você pode optar por adicionar o Windows 10 ou Windows Server 2019.

Os detalhes da conexão são exibidos, selecione copiar para salvar a senha do dispositivo.

Observação: A senha só é exibida uma vez, certifique-se de salvá-lo para uso posterior.

A configuração do dispositivo começa, isso pode levar até aproximadamente 30 minutos.

Consulte o status dos dispositivos de teste, os níveis de risco e exposição e o status das instalações do simulador selecionando a guia Dispositivos.

Cenários de ataque do faça você mesmo

Se você estiver procurando uma simulação pré-feita, poderá usar nossos cenários de ataque “Faça você mesmo”. Esses scripts são seguros, documentados e fáceis de usar. Esses cenários refletirão os recursos do Defender para o Ponto de Extremidade e o passarão pela experiência de investigação.

 Observação: A conexão com os dispositivos de teste é feita usando RDP. Certifique-se de que suas configurações de firewall permitem conexões RDP.

1- Conecte-se ao dispositivo e execute uma simulação de ataque selecionando Conectar.

2- Salve o arquivo RDP e o iniciar selecionando Conectar.

3- Insira a senha exibida durante a etapa de criação do dispositivo.

4- Execute simulações de ataque do-it-yourself no dispositivo.

Cenários de simulador de Ameaças

Se você optar por instalar qualquer um dos simuladores de ameaça com suporte durante a configuração do laboratório, poderá executar as simulações internas nos dispositivos de laboratório de avaliação.

Executar simulações de ameaças usando plataformas de terceiros é uma boa maneira de avaliar os recursos do Microsoft Defender para o Ponto de Extremidade dentro dos limites de um ambiente de laboratório.

Observação: Antes de executar simulações, certifique-se de que os seguintes requisitos sejam atendidos:

  • Os dispositivos devem ser adicionados ao laboratório de avaliação
  • Simuladores de ameaças devem ser instalados no laboratório de avaliação
  • No portal, selecione Criar simulação.
  • Selecione um simulador de ameaças.

5- Selecione Criar simulação.

6- Exibir o progresso de uma simulação selecionando a guia Simulações. Exibir o estado de simulação, alertas ativos e outros detalhes.

Recomendamos que você ande pela barra de progresso do laboratório e explore o Microsoft Defender para Ponto de Extremidade acionou uma investigação e correção automatizadas. Confira as evidências coletadas e analisadas pelo recurso.

Simulações e Tutoriais

O Microsoft Defender for Endpoint fez parceria com várias plataformas de simulação de ameaças para lhe dar acesso conveniente para testar os recursos da plataforma desde o portal.

Exibir todas as simulações disponíveis indo para Simulações e tutoriais Catálogo de Simulações > no menu.

Uma lista de agentes de simulação de ameaças de terceiros com suporte está listada, e tipos específicos de simulações, juntamente com descrições detalhadas, são fornecidos no catálogo.

Você pode executar convenientemente qualquer simulação disponível a partir do catálogo:

Cada simulação vem com uma descrição detalhada do cenário de ataque e referências, como as técnicas de ataque MITRE usadas e exemplo de consultas de busca avançadas que você executar.

Relatório de Avaliação

Rapidamente, você poderá ver:

  • Incidentes que foram disparados
  • Alertas gerados
  • Avaliações no nível de exposição
  • Categorias de ameaças observadas
  • Fontes de detecção
  • Investigações automatizadas

Visão Geral dessa poderosa Ferramenta de Segurança

  • Gerenciamento de vulnerabilidades e ameaças: Ajuda as organizações a descobrir vulnerabilidades e configurações incorretas em tempo real, com base em sensores.
  • Redução da superfície de ataque: Reduz as superfícies de ataque minimizando os locais em que a sua organização está vulnerável a ataques.
  • Isolamento baseado em hardware no Windows 10: O isolamento baseado em hardware ajuda a proteger a integridade do sistema no Windows 10 e é integrado ao Microsoft defender ATP.
  • Exploit Protection: A proteção contra exploração aplica automaticamente várias técnicas de mitigação de exploração a aplicativos e processos do sistema operacional. A proteção contra exploração tem suporte a partir do Windows 10, versão 1709 e Windows Server, versão 1803.
  • Proteção de rede: A Proteção de rede ajuda a reduzir a superfície de ataque de seus dispositivos em eventos baseados na Internet. Ela evita que funcionários usem qualquer aplicativo para acessar domínios perigosos que podem hospedar tentativas de phishing, explorações e outro conteúdo mal-intencionado na Internet.
  • Controle de aplicativo: Restringe os aplicativos que os usuários têm permissão para executar e o código que é executado no núcleo do sistema (kernel). As políticas de controle de aplicativo também podem bloquear scripts não assinados e restringir o Windows PowerShell a executar em modo de linguagem restrita.
  • Proteção Web: A proteção pela Web permite que você proteja suas máquinas contra ameaças da Web e o ajude a controlar conteúdo indesejado.
  • Acesso Controlado a Pastas: O Acesso controlado a pastas ajuda a proteger dados valiosos contra aplicativos maliciosos e ameaças, como ransomware. Ele protege seus dados verificando a lista de aplicativos confiáveis conhecidos. O acesso a pastas controladas tem suporte no Windows Server 2019, além de clientes do Windows 10.
  • Detecção e resposta: Os recursos de detecção e resposta de ponto de extremidade do Microsoft defender fornecem detecções de ataques avançados quase em tempo real e acionáveis.
  • Fila de Incidentes: mostra uma coleção de incidentes que foram sinalizados de máquinas na sua rede. Ele ajuda você a classificar incidentes para priorizar e criar uma decisão de resposta adequada.
  • Filas de Alertas: A fila de alertas mostra uma lista de alertas que foram sinalizados de máquinas na sua rede. Por padrão, a fila exibe alertas vistos nos últimos 30 dias em uma exibição agrupada, com os alertas mais recentes mostrados na parte superior da lista.
  • Investigações automatizadas: O Microsoft defender usa recursos automatizados de investigação e correção para reduzir significativamente o volume de alertas que devem ser investigados individualmente.

Após a detecção do suposto Ransomware identificado no dispositivo, o EDR entra em ação e impede a propagação do Vírus no restante do ambiente, utilizando inteligência de detecção e resposta ao incidente automaticamente.

Conclusão

O ATP do Windows Defender fornece um poder de segurança com uma proteção preventiva detectando ataques e explorações de dia zero, oferecendo gerenciamento centralizado para o ciclo de vida de segurança de ponta a ponta, facilitando o trabalho do analista a identificar qual máquina foi infectada, de onde esse vírus saiu se foi de um pendrive, se veio através da rede, que tipo de vírus foi identificado nesse dispositivo, se foi um usuário da própria organização que propagou isso para o ambiente, enfim você tem toda a informação do que ocorreu do inicio ao fim.

Você possui todas as informações necessárias para tratar esse tipo de situação através do Dashboard, quando não tem ferramentas com esse poder de precisão fica bem difícil identificar de onde o vírus partiu, supostamente uma das primeiras perguntas que a diretoria da sua organização irá fazer em um momento de crise caso o ambiente tenha sofrido um ataque, de onde esse vírus veio, muitas vezes não temos a resposta de imediato porque em algumas situações não possuímos os recursos adequados para esse tipo de ocorrência.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Diego Gonzalez
Consultor em Segurança em Nuvem em uma das maiores consultorias de Segurança Digital do Brasil, formado em Ciência da Computação responsável pelas ferramentas de Segurança em Nuvem (Azure), Gerenciamento de MDM e MAM no Intune, por administrar e dar suporte (Microsoft CAS, Defender ATP, Azure ATP, Acesso Condicional, AIP, Gerenciamento seguro de identidade e compliance), Atualmente atuo na Implementação de novos Projetos e continuação dos negócios relacionados a Segurança da Informação em produtos como Office 365 e Azure, sou certificado pela Microsoft e continuo na busca constante de novas Certificações em plataformas existentes do mercado.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!