Gerenciar políticas de segurança

Observação

A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem. Também renomeamos os planos do Azure Defender para planos do Microsoft Defender. Por exemplo, o Azure Defender para Armazenamento agora é o Microsoft Defender para Armazenamento.

Saiba mais sobre a renomeação recente dos serviços de segurança da Microsoft.

Esta página explica como as políticas de segurança são configuradas e como exibi-las no Microsoft Defender para Nuvem.

Para entender as relações entre iniciativas, políticas e recomendações, consulte O que são políticas de segurança, iniciativas e recomendações?

Quem pode editar as políticas de segurança?

O Defender para Nuvem usa o RBAC do Azure (controle de acesso baseado em função do Azure), que fornece funções internas que podem ser atribuídas a usuários, grupos e serviços do Azure. Quando os usuários abrem o Defender para Nuvem, eles veem somente informações relacionadas aos recursos que podem acessar. Isso significa que os usuários são atribuídos à função de proprietário, colaborador ou leitor para a assinatura do recurso. Também há duas funções específicas do Defender para Nuvem:

  • Leitor de segurança: tem direitos para exibir itens do Defender para Nuvem, como recomendações, alertas, política e integridade. Não pode fazer alterações.
  • Administrador de segurança: tem os mesmos direitos de exibição que o leitor de segurança. Também é possível atualizar a política de segurança e ignorar os alertas.

Você pode editar as políticas de segurança no portal Azure Policy usando a API REST ou o Windows PowerShell.

Gerenciar suas políticas de segurança

Para exibir suas políticas de segurança no Defender para Nuvem:

  1. No menu do Defender para Nuvem, abra a página Configurações de ambiente. Aqui, você pode ver os grupos de gerenciamento, as assinaturas e as iniciativas aplicadas a cada um.

  2. Selecione a assinatura relevante ou o grupo de gerenciamento cujas políticas você deseja visualizar.

  3. Abra a página Política de segurança.

  4. A página de política de segurança para essa assinatura ou grupo de gerenciamento é exibida. Ele mostra as políticas disponíveis e atribuídas.

    Página política de segurança do Defender para Nuvem

    Observação

    Se houver um rótulo "MG herdado" junto com a política padrão, isso significa que a política foi atribuída a um grupo de gerenciamento e herdada pela assinatura que você está exibindo.

  5. Escolha entre as opções disponíveis nesta página:

    1. Para trabalhar com os padrões do setor, selecione Adicionar mais padrões. Para obter mais informações, consulte Personalizar o conjunto de padrões no seu painel de conformidade regulatória.

    2. Para atribuir e gerenciar iniciativas personalizadas, selecione Adicionar iniciativas personalizadas. Para obter mais informações, consulte Usando regras e iniciativas de segurança personalizadas.

    3. Para exibir e editar a iniciativa padrão, selecione-a e prossiga conforme descrito abaixo.

      Tela de Política efetiva.

      A tela Política de segurança reflete a ação tomada pelas políticas atribuídas na assinatura ou no grupo de gerenciamento selecionado.

      • Na parte superior, use os links fornecidos para abrir cada atribuição de política aplicável à assinatura ou ao grupo de gerenciamento. Esses links permitem acessar a atribuição e editar ou desativar a política. Por exemplo, se você perceber que determinada atribuição de política está efetivamente negando a proteção do ponto de extremidade, use o link para editar ou desativar a política.

      • Na lista de políticas, você pode ver a aplicação efetiva da política em sua assinatura ou grupo de gerenciamento. As configurações de cada política que se aplicam ao escopo são levadas em consideração, e o resultado cumulativo das ações executadas pela política é mostrado. Por exemplo, se em uma atribuição a política estiver desabilitada, mas em outra ela estiver definida como AuditIfNotExist, o efeito cumulativo será aplicado a AuditIfNotExist. O efeito mais ativo sempre tem precedência.

      • O efeito das políticas pode ser: Anexar, Auditar, AuditIfNotExists, Negar, DeployIfNotExists, Desativado. Para obter mais informações sobre como os efeitos são aplicados, consulte Reconhecer os efeitos da política.

      Observação

      Ao visualizar as políticas atribuídas, você pode ver várias atribuições e pode ver como cada atribuição é configurada por conta própria.

Desabilitar políticas de segurança e recomendações

Quando a iniciativa de segurança disparar uma recomendação irrelevante para seu ambiente, você poderá impedir que ela apareça novamente. Para desabilitar uma recomendação, desabilite a política específica que gera a recomendação.

A recomendação que você deseja desabilitar ainda aparecerá se for necessária para um padrão regulatório que você aplicou com as ferramentas de conformidade regulatória do Defender para Nuvem. Mesmo que você tenha desabilitado uma política na iniciativa interna, uma política na iniciativa do padrão regulatório ainda disparará a recomendação se for necessária para conformidade. Não é possível desabilitar políticas de iniciativas padrão regulatórias.

Para obter mais informações sobre recomendações, consulte Gerenciar recomendações de segurança.

  1. No menu do Defender para Nuvem, abra a página Configurações de ambiente. Aqui, você pode ver os grupos de gerenciamento, as assinaturas e as iniciativas aplicadas a cada um.

  2. Selecione a assinatura ou o grupo de gerenciamento para o qual deseja desabilitar a recomendação (e a política).

    Observação

    Lembre-se de que um grupo de gerenciamento aplica suas políticas a suas assinaturas. Portanto, se você desabilitar a política de uma assinatura e a assinatura pertencer a um grupo de gerenciamento que ainda usa a mesma política, continuará recebendo as recomendações de política. A política ainda será aplicada do nível de gerenciamento e as recomendações ainda serão geradas.

  3. Abra a página Política de segurança.

  4. Nas seções Política padrão, Padrões do setor e regulatórios ou Suas iniciativas personalizadas, selecione a iniciativa relevante que contém a política que você deseja desabilitar.

  5. Abra a seção Parâmetros e pesquise a política que invoca a recomendação que você deseja desabilitar.

  6. Na lista suspensa, altere o valor da política correspondente para Desabilitado.

    Desabilitação da política.

  7. Selecione Salvar.

    Observação

    A alteração pode levar até 12 horas para entrar em vigor.

Selecione uma política de segurança

Algumas políticas em suas iniciativas podem ser desabilitadas por padrão. Por exemplo, na iniciativa do Azure Security Benchmark, algumas políticas serão fornecidas para você habilitar somente se atenderem a um requisito regulatório ou de conformidade específico para sua organização. Essas políticas incluem recomendações para criptografar dados inativos com chaves gerenciadas pelo cliente, como "Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)".

Para habilitar uma política desabilitada e garantir que ela seja avaliada para seus recursos:

  1. No menu do Defender para Nuvem, abra a página Configurações de ambiente. Aqui, você pode ver os grupos de gerenciamento, as assinaturas e as iniciativas aplicadas a cada um.

  2. Selecione a assinatura ou o grupo de gerenciamento para o qual deseja habilitar a recomendação (e a política).

  3. Abra a página Política de segurança.

  4. Nas seções Política padrão, Padrões do setor e regulatórios ou Suas iniciativas personalizadas, selecione a iniciativa relevante com a política que você deseja habilitar.

  5. Abra a seção Parâmetros e pesquise a política que invoca a recomendação que você deseja desabilitar.

  6. Na lista suspensa, altere o valor da política correspondente para AuditIfNotExists ou Impor.

  7. Selecione Salvar.

    Observação

    A alteração pode levar até 12 horas para entrar em vigor.

Próximas etapas

Esta página explicou as políticas de segurança. Para obter informações relacionadas, confira as seguintes páginas: