Pontuação segura no Defender for Cloud

A pontuação segura no Microsoft Defender for Cloud pode ajudá-lo a melhorar sua postura de segurança na nuvem. A pontuação segura agrega as descobertas de segurança em uma única pontuação para que você possa avaliar, rapidamente, sua situação de segurança atual. Quanto maior o escore, menor o nível de risco identificado.

Quando você ativa o Defender para Nuvem em uma assinatura, o padrão de parâmetro de comparação de segurança da nuvem da Microsoft (MCSB) é aplicado por padrão na assinatura. Começa a avaliação dos recursos no escopo em relação ao padrão MCSB.

O MCSB emite recomendações com base nos resultados da avaliação. Somente as recomendações internas do MCSB afetam a pontuação segura. Atualmente, a priorização de risco não afeta a pontuação de segurança.

Observação

As recomendações marcadas como Versão prévia não são incluídas nos cálculos da pontuação de segurança. Você ainda deve corrigir essas recomendações sempre que possível, para que, quando o período de visualização terminar, elas contribuam para sua pontuação. As recomendações de visualização são marcadas com um ícone: .

Exibição da pontuação de segurança

Ao visualizar o painel Visão geral do Defender for Cloud, você pode exibir a pontuação segura de todos os seus ambientes. O painel mostra a pontuação segura como um valor percentual e inclui os valores subjacentes.

Screenshot of the portal dashboard that shows an overall secure score and underlying values.

O aplicativo móvel do Azure mostra a pontuação segura como um valor percentual. Toque nela para ver os detalhes que explicam a pontuação.

Screenshot of the Azure mobile app that shows an overall secure score and details.

Explorando sua postura de segurança

A página Postura de segurança no Defender for Cloud mostra a pontuação segura para seus ambientes em geral e para cada ambiente separadamente.

Screenshot of the Defender for Cloud page for security posture.

Nesta página, você pode ver as assinaturas, contas e projetos que afetam sua pontuação geral, informações sobre recursos não íntegros e recomendações relevantes. Você pode filtrar por ambiente, como Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e Azure DevOps. Em seguida, você pode fazer uma busca detalhada em cada assinatura do Azure, conta da AWS e projeto do GCP.

Screenshot of the bottom half of the security posture page.

Cálculo do escore seguro

Na página Recomendações no Defender for Cloud, a guia Recomendações de pontuação segura mostra como os controles de conformidade no MCSB contribuem para a pontuação geral de segurança.

Screenshot that shows security controls that affect a secure score.

O Defender for Cloud calcula cada controle a cada oito horas para cada assinatura do Azure ou para cada conector de nuvem AWS ou GCP.

Importante

As recomendações dentro de um controle são atualizadas com mais frequência do que o próprio controle. Você pode encontrar discrepâncias entre a contagem de recursos nas recomendações e a contagem de recursos no controle.

Pontuações de exemplo para um controle

O exemplo a seguir se concentra nas recomendações de pontuação segura para habilitar a autenticação multifator (MFA).

Screenshot that shows secure score recommendations for multifactor authentication.

Este exemplo ilustra os campos a seguir nas recomendações.

Campo Detalhes
Corrigir vulnerabilidades Um agrupamento de recomendações para descobrir e resolver vulnerabilidades conhecidas.
Pontuação máxima O número máximo de pontos que você pode ganhar ao completar todas as recomendações dentro de um controle.

A pontuação máxima de um controle indica o significado relativo desse controle e é fixo para cada ambiente.

Use os valores nesta coluna para determinar em quais problemas trabalhar primeiro.
Pontuação atual A pontuação atual para este controle.

Pontuação atual = [Pontuação por recurso] * [Número de recursos íntegros]

Cada controle contribui para a pontuação total. Neste exemplo, o controle está contribuindo com 2,00 pontos para a pontuação total atual.
Possível aumento de pontuação Os pontos restantes disponíveis para você dentro do controle. Se corrigir todas as recomendações desse controle, sua pontuação aumentará em 9%.

Possível aumento na pontuação = [Pontuação por recurso] * [Número de recursos não íntegros]
Insights Detalhes extras para cada recomendação, como:

- Recomendação de visualização: essa recomendação afeta a pontuação segura somente quando ela está disponível para o público em geral.

- Correção: Resolva esse problema.

- Impor: implante automaticamente uma política para corrigir esse problema sempre que alguém criar um recurso não compatível.

- Negar: Impedir que novos recursos sejam criados com esse problema.

Equações de cálculo de pontuação

Veja como as pontuações são calculadas.

Controle de segurança

A equação para determinar a pontuação de um controle de segurança é:

Screenshot that shows the equation for calculating a security control score.

A pontuação atual de cada controle é uma medida do status dos recursos no controle. Cada controle de segurança individual contribui para a pontuação segura. Cada recurso que é afetado por uma recomendação dentro do controle contribui para a pontuação atual do controle. A pontuação segura não inclui recursos encontrados nas recomendações de visualização.

No exemplo a seguir, a pontuação máxima de 6 é dividida por 78 porque essa é a soma dos recursos saudáveis e insalubres. Assim, 6 / 78 = 0,0769. Multiplicando isso pelo número de recursos saudáveis (4) resulta no escore atual: 0,0769 * 4 = 0,31.

Screenshot of tooltips that show the values used in calculating the security control's current score.

Assinatura única ou conector

A equação para determinar a pontuação segura para uma única assinatura ou conector é:

Screenshot of the equation for calculating a subscription's secure score.

No exemplo a seguir, há uma única assinatura ou conector com todos os controles de segurança disponíveis (uma pontuação máxima potencial de 60 pontos). O placar mostra 28 pontos em 60 possíveis. Os 32 pontos restantes são refletidos nos números de aumento de pontuação potencial dos controles de segurança.

Screenshot of a single-subscription secure score with all controls enabled.

Screenshot that shows a list of controls and the potential score increase.

Essa equação é a mesma equação para um conector, com apenas a palavra assinatura substituída pela palavra conector.

Várias assinaturas e conectores

A equação para determinar a pontuação segura para várias assinaturas e conectores é:

Screenshot that shows the equation for calculating the secure score for multiple subscriptions.

A pontuação combinada para várias assinaturas e conectores inclui um peso para cada assinatura e conector. O Defender for Cloud determina os pesos relativos para suas assinaturas e conectores com base em fatores como o número de recursos. A pontuação atual para cada assinatura e conector é calculada da mesma forma que para uma única assinatura ou conector, mas o peso é aplicado conforme mostrado na equação.

Quando você exibe várias assinaturas e conectores, a pontuação segura avalia todos os recursos dentro de todas as políticas habilitadas e os agrupa. Agrupá-los mostra como, juntos, eles afetam a pontuação máxima de cada controle de segurança.

Screenshot that shows a secure score for multiple subscriptions with all controls enabled.

A pontuação combinada não é uma média. Em vez disso, é a postura avaliada do status de todos os recursos em todas as assinaturas e conectores. Se você acessar à página Recomendações e adicionar os pontos potenciais disponíveis, encontrará a diferença entre a pontuação atual (22) e a pontuação máxima disponível (58).

Melhorando uma pontuação segura

O MCSB consiste em uma série de controles de conformidade. Cada controle é um grupo lógico de recomendações de segurança relacionadas e reflete as superfícies de ataque vulneráveis.

Para ver como a sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança. Sua pontuação melhora apenas quando você corrige todas as recomendações.

Para obter todos os pontos possíveis para um controle de segurança, todos os seus recursos devem estar em conformidade com todas as recomendações de segurança no controle de segurança. Por exemplo, o Defender for Cloud tem várias recomendações sobre como proteger suas portas de gerenciamento. Você precisa remediar todos eles para fazer a diferença em sua pontuação segura.

Você pode melhorar sua pontuação segura usando um destes métodos:

  • Corrija as recomendações de segurança da sua lista de recomendações. Você pode corrigir cada recomendação manualmente para cada recurso ou pode usar a opção Corrigir (quando disponível) para resolver um problema em vários recursos rapidamente.
  • Aplique ou negue recomendações para melhorar sua pontuação e garantir que seus usuários não criem recursos que afetem negativamente sua pontuação.

Controles de pontuação de segurança

A tabela a seguir lista os controles de segurança no Microsoft Defender for Cloud. Para cada controle, você pode ver o número máximo de pontos que pode adicionar à sua pontuação segura se corrigir todas as recomendações listadas no controle, para todos os seus recursos.

Pontuação segura Controle de segurança
10 Habilitar MFA: o Defender for Cloud valoriza a MFA. Use estas recomendações para ajudar a proteger os usuários de suas assinaturas.

Há três maneiras de habilitar o MFA e estar em conformidade com as recomendações: padrões de segurança, atribuição por usuário e diretiva de acesso condicional. Saiba mais.
8 Portas de gerenciamento seguras: os ataques de força bruta geralmente têm como alvo as portas de gerenciamento. Use estas recomendações para reduzir sua exposição com ferramentas como acesso à VM just-in-time e grupos de segurança de rede.
6 Aplicar atualizações do sistema: a não aplicação de atualizações deixa vulnerabilidades sem correção e resulta em ambientes suscetíveis a ataques. Use essas recomendações para manter a eficiência operacional, reduzir as vulnerabilidades de segurança e fornecer um ambiente mais estável para seus usuários. Você pode usar a solução de Gerenciamento de Atualizações para gerenciar patches e atualizações de seus computadores.
4 Corrigir configurações de segurança: ativos de TI mal configurados têm um risco maior de serem atacados. Use estas recomendações para proteger os erros de configuração identificados em sua infraestrutura.
4 Gerenciar acesso e permissões: uma parte central de um programa de segurança é garantir que seus usuários tenham apenas o acesso necessário para fazer seus trabalhos: o modelo de acesso com privilégios mínimos. Siga estas recomendações para gerenciar seus requisitos de identidade e acesso.
4 Habilitar criptografia em repouso: use estas recomendações para garantir que você reduza as configurações incorretas em torno da proteção dos dados armazenados.
4 Criptografar dados em trânsito: use estas recomendações para ajudar a proteger os dados que estão se movendo entre componentes, locais ou programas. Esses dados são suscetíveis a ataques man-in-the-middle, espionagem e sequestro de sessão.
4 Restringir o acesso não autorizado à rede: o Azure oferece um conjunto de ferramentas que ajudam você a fornecer altos padrões de segurança para acesso em toda a rede.

Use essas recomendações para gerenciar a proteção de rede adaptável no Defender for Cloud, garantir que você configurou o Azure Private Link para todos os serviços relevantes de plataforma como serviço (PaaS), habilitar o Firewall do Azure em redes virtuais e muito mais.
3 Aplique o controle adaptativo de aplicativos: o controle adaptativo de aplicativos é uma solução inteligente, automatizada e completa para controlar quais aplicativos podem ser executados em suas máquinas. Ele também ajuda a proteger seus computadores contra malware.
2 Proteger aplicativos contra ataques DDoS: as soluções avançadas de segurança de rede no Azure incluem a Proteção contra DDoS do Azure, o Firewall de Aplicativo Web do Azure e o complemento Política do Azure para Kubernetes. Use essas recomendações para ajudar a proteger seus aplicativos com essas ferramentas e outras.
2 Habilitar a proteção de endpoint: o Defender for Cloud verifica os pontos de extremidade da sua organização em busca de soluções ativas de detecção e resposta a ameaças, como o Microsoft Defender for Endpoint ou qualquer uma das principais soluções mostradas nesta lista.

Se nenhuma solução de detecção e resposta de ponto de extremidade (EDR) estiver habilitada, use estas recomendações para implantar o Microsoft Defender for Endpoint. O Defender for Endpoint está incluído no plano Defender for Servers.

Outras recomendações nesse controle ajudam você a implantar agentes e a configurar o monitoramento da integridade de arquivos.
1 Habilite a auditoria e o registro em log: os logs detalhados são uma parte crucial das investigações de incidentes e de muitas outras operações de solução de problemas. As recomendações neste controle se concentram em garantir que você habilite os logs de diagnóstico onde quer que sejam relevantes.
0 Habilitar recursos de segurança aprimorados: use estas recomendações para habilitar qualquer plano do Defender for Cloud.
0 Implementar práticas recomendadas de segurança: essa coleção de recomendações é importante para a segurança da organização, mas não afeta a pontuação segura.

Próximas etapas

Acompanhar sua pontuação de segurança