O ScuBA é uma rotina executada em PowerShell para analisar o ambiente do Microsoft 365 e recomendar melhorias na defesa cibernetica do ambiente de nuvem. Você também pode executar o ScuBA em outras nuvens, como por exemplo, no Google, mas, por aqui, vamos focar na execução do ambiente do Microsoft 365
A Agência de Segurança Cibernética e Infraestrutura (CISA) desenvolveu o projeto Secure Cloud Business Applications (SCuBA) para oferecer diretrizes e recursos destinados à proteção dos ambientes de aplicativos de negócios em nuvem das agências governamentais, visando resguardar as informações federais geradas, acessadas, compartilhadas e armazenadas nessas plataformas.
O SCuBA tem como objetivo salvaguardar os ativos de informações do Poder Executivo Civil Federal (FCEB) que estão hospedados em ambientes de nuvem, através da implementação de configurações de segurança consistentes, eficazes, modernas e gerenciáveis para os produtos listados abaixo:
Microsoft Defender para Office 365
Entra ID
Microsoft Exchange On-line
Microsoft Sharepoint e OneDrive
Microsoft PowerBI
Power Plataform
MS Teams
Permissões mínimas de usuário
Os usuários com a função de Administrador Global sempre têm as permissões de usuário necessárias para executar a ferramenta. Se você quiser definir permissões mínimas de usuário para criar um relatório de segurança, poderá fazer isso.
As funções mínimas de usuário necessárias para cada produto são descritas abaixo:
Produto
Papel
Entra ID
Leitor Global
Defender para Office 365
Leitor Global (ou Administrador do Exchange)
Troca Online
Leitor Global (ou Administrador do Exchange)
Plataforma de energia
Administrador do Power Platform com uma licença “Power Apps para Office 365”
Sharepoint Online
Administrador do SharePoint
Equipes da Microsoft
Leitor Global (ou Administrador do Teams)
Como obter um relatório de linha de base de segurança do Microsoft 365
Para criar um relatório de recomendações de segurança do Microsoft 365, siga estas etapas:
Passo 1. Instale o módulo ScubaGear
Atualmente, há suporte apenas para o PowerShell 5.1. O PowerShell 7 pode funcionar, mas não foi testado. O suporte completo ao PowerShell 7 será adicionado em uma versão futura.
Execute o PowerShell como administrador e execute o
Execute o script em vários produtos e crie um relatório.
Invoke-SCuBA -OPAPath "C:\Temp\ScubaGear\" -ProductNames aad, exo, teams -OutPath "C:\Temp\ScubaGear"
Durante a execução você terá uma tela parecida com a tela abaixo e terá que autenticar algumas vezes com sua credencial de Administrador global.
Etapa 4. Verifique o relatório de linha de base de segurança do Microsoft 365
Um relatório HTML aparecerá automaticamente. Caso contrário, abra o relatório na pasta.
Os relatorios possuem uma qualidade muito boa e com muitas informações.
Não ajuste imediatamente todas as configurações para que os resultados sejam aprovados. Cada organização é diferente e você precisa abordar isso com cuidado.
Desconectar sessão SCuBA
Desconecte-se de todas as sessões da Microsoft após terminar ou se quiser executá-las em outro locatário.
Disconnect-SCuBATenant
Conclusão
Neste texto, discutimos a importância de verificar as recomendações de segurança do Microsoft 365 utilizando o script CISA SCuBA PowerShell. Embora seja possível criar seu próprio script do PowerShell e Graph, isso demanda tempo e esforço contínuo para garantir que ele esteja alinhado com os mais recentes padrões de segurança, os quais estão em constante evolução.
A equipe da CISA trabalha constantemente para aprimorar este script, introduzindo novos recursos e corrigindo eventuais bugs, de modo que os usuários possam manter-se atualizados com as mais recentes alterações de segurança do Microsoft 365 sem custo adicional. Recomendamos fortemente a utilização deste script em seu ambiente do Microsoft 365 para reforçar a segurança da sua organização.
Não deixe de nos seguir e compartilhar nossos artigos.
Blog do Chesley 