Linha de segurança Azure para proteção de informação AzureAzure security baseline for Azure Information Protection

Esta linha de base de segurança aplica orientações da versão 2.0 do Azure Security Benchmark para a Azure Information Protection.This security baseline applies guidance from the Azure Security Benchmark version 2.0 to Azure Information Protection. O Azure Security Benchmark fornece recomendações sobre como pode proteger as suas soluções em nuvem no Azure.The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. O conteúdo é agrupado pelos controlos de segurança definidos pelo Azure Security Benchmark e pela orientação conexa aplicável à Proteção de Informação Azure.The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Azure Information Protection. Foram excluídos os controlos não aplicáveis à Proteção de Informação Azure.Controls not applicable to Azure Information Protection have been excluded.

Para ver como a Proteção de Informações Azure mapeia completamente para o Benchmark de Segurança Azure, consulte o ficheiro completo de mapeamento de base de segurança da Proteção de Informação Azure.To see how Azure Information Protection completely maps to the Azure Security Benchmark, see the full Azure Information Protection security baseline mapping file.

Segurança de RedeNetwork Security

Para mais informações, consulte o Benchmark de Segurança Azure: Segurança da Rede.For more information, see the Azure Security Benchmark: Network Security.

NS-6: Simplificar as regras de segurança da redeNS-6: Simplify network security rules

Orientação: Utilize tags de serviço de rede virtual para definir controlos de acesso à rede em grupos de segurança de rede ou Azure Firewall, que está configurado para os seus recursos de Proteção de Informação Azure.Guidance: Use Virtual Network service tags to define network access controls on network security groups or Azure Firewall, which is configured for your Azure Information Protection resources.

Ao criar regras de segurança, utilize etiquetas de serviço no lugar de endereços IP específicos.When creating security rules, use service tags in place of specific IP addresses. Especifique o nome da etiqueta de serviço, como {AzureInformationProtection}, no campo de origem ou destino apropriado de uma regra, para permitir ou negar o tráfego para o serviço correspondente.Specify the service tag name, such as {AzureInformationProtection}, in the appropriate source or destination field of a rule, to allow or deny the traffic for the corresponding service.

A Microsoft gere os prefixos de endereços que as etiquetas abrangem e atualiza-as automaticamente à medida que os endereços são alterados.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

Gestão de IdentidadesIdentity Management

Para mais informações, consulte o Azure Security Benchmark: Identity Management.For more information, see the Azure Security Benchmark: Identity Management.

IM-1: Normalizar o Azure Ative Directory como o sistema central de identidade e autenticaçãoIM-1: Standardize Azure Active Directory as the central identity and authentication system

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service. Torne-se uma alta prioridade para garantir a Azure AD na prática de segurança na nuvem da sua organização.Make it a high priority to secure Azure AD in your organization’s cloud security practice.

Reveja a pontuação de segurança de identidade Azure para ajudá-lo a avaliar a sua postura de segurança de identidade em relação às recomendações de boas práticas da Microsoft.Review the Azure AD identity secure score to help you assess your identity security posture relative to Microsoft’s best practice recommendations. Use a pontuação para avaliar o quão perto a sua configuração corresponde às recomendações de boas práticas e para fazer melhorias na sua postura de segurança.Use the score to gauge how closely your configuration matches best practice recommendations, and to make improvements in your security posture.

Padronize a Azure AD para governar a gestão de identidade e acesso da sua organização em:Standardize Azure AD to govern your organization’s identity and access management in:

  • Recursos da Microsoft Cloud, como o portal Azure, Azure Storage, Azure Virtual Machines (Linux e Windows), Azure Key Vault, Platform as a Service (PaaS) e Software as a Service (SaaS)Microsoft Cloud resources, such as the Azure portal, Azure Storage, Azure Virtual Machines (Linux and Windows), Azure Key Vault, Platform as a Service (PaaS), and Software as a Service (SaaS) applications

  • Os recursos da sua organização, tais como aplicações no Azure ou os seus recursos de rede corporativaYour organization's resources, such as applications on Azure or your corporate network resources

O Azure AD suporta identidades externas para permitir que os utilizadores sem uma conta Microsoft inscrevam-se nas suas aplicações e recursos com as suas contas não Microsoft.Azure AD supports external identities to allow users without a Microsoft account to sign-in to their applications and resources with their non-Microsoft accounts.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

IM-2: Gerir as identidades da aplicação de forma segura e automáticaIM-2: Manage application identities securely and automatically

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's identity and access management service. O serviço Azure Rights Management utiliza uma identidade de aplicação AD Azure ao aceder às chaves dos clientes armazenadas com a Azure Key Vault para apresentar a sua própria chave (BYOK).Azure Rights Management service uses an Azure AD application identity while accessing customers’ keys stored with Azure Key Vault for Bring Your Own Key (BYOK) scenarios. Autorizar o serviço de Gestão de Direitos Azure a aceder às suas chaves é conseguido através da configuração das políticas de acesso ao Cofre da Chave Azure, que podem ser feitas quer através do portal Azure, quer através da utilização do PowerShell.Authorizing Azure Rights Management service to access your keys is achieved through configuring Azure Key Vault access policies, which can be done either using the Azure portal or using PowerShell.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

IM-3: Use a Azure AD single sign-on (SSO) para acesso à aplicaçãoIM-3: Use Azure AD single sign-on (SSO) for application access

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

A Azure Information Protection utiliza a Azure AD para fornecer gestão de identidade e acesso aos recursos Azure, aplicações em nuvem e aplicações no local.Azure Information Protection uses Azure AD to provide identity and access management to Azure resources, cloud applications, and on-premises applications. Isto inclui identidades empresariais como funcionários, bem como identidades externas, como parceiros, fornecedores e fornecedores.This includes enterprise identities such as employees, as well as external identities such as partners, vendors, and suppliers. Isto permite um único acesso para gerir e garantir o acesso aos dados e recursos da sua organização no local e na nuvem.This enables single sign-on to manage and secure access to your organization’s data and resources on-premises and in the cloud. Ligue todos os seus utilizadores, aplicações e dispositivos ao AD Azure para um acesso sem emenda, acesso seguro e maior visibilidade e controlo.Connect all your users, applications, and devices to the Azure AD for seamless, secure access and greater visibility and control.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

IM-4: Utilize controlos de autenticação forte para todo o acesso baseado no Azure Ative DirectoryIM-4: Use strong authentication controls for all Azure Active Directory based access

Orientação: A Azure Information Protection é integrada com O Diretório Ativo Azure (Azure AD), que suporta a autenticação forte através da autenticação multi-factor.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which supports strong authentication through multi-factor authentication. Para apoiar a autenticação e autorização para a Azure Information Protection, tem de ter um AZure AD.To support authentication and authorization for Azure Information Protection, you must have an Azure AD. Para utilizar as contas dos utilizadores do seu diretor no local (DS AD), também deve configurar a integração do diretório.To use user accounts from your on-premises director (AD DS), you must also configure directory integration.

  • O único sinal de sação é suportado para a Proteção de Informações Azure, de modo a que os utilizadores não sejam repetidamente solicitados para as suas credenciais.Single sign-on is supported for Azure Information Protection, so that users are not repeatedly prompted for their credentials. Se utilizar outra solução de fornecedor para a federação, consulte o fornecedor sobre como configurá-la para Azure AD.If you use another vendor solution for federation, check with that vendor for how to configure it for Azure AD. WS-Trust é um requisito comum para que estas soluções apoiem uma única solução.WS-Trust is a common requirement for these solutions to support single sign-on.

  • A autenticação multifactor é suportada com a Azure Information Protection, quando tem o software do cliente necessário e configurada corretamente a infraestrutura de suporte à autenticação multi-factor.Multifactor authentication is supported with Azure Information Protection, when you have the required client software and have correctly configured the multi-factor authentication-supporting infrastructure.

Para mais informações, consulte as seguintes referências:For more information, see the following references:

Monitorização do Centro de Segurança Azure: SimAzure Security Center monitoring: Yes

Responsabilidade: ClienteResponsibility: Customer

IM-5: Monitor e alerta sobre anomalias de contaIM-5: Monitor and alert on account anomalies

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Orientação adicional relativa à Azure AD:Additional guidance regarding Azure AD:

  • Iniciar s nota - O relatório de inscrição fornece informações sobre a utilização de aplicações geridas e atividades de inscrição do utilizador.Sign-in - The sign-in report provides information about the usage of managed applications and user sign-in activities.
  • Registos de auditoria - Capacidade de rastreio através de registos para todas as alterações efetuadas por várias funcionalidades no Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. Exemplos de registos de auditoria incluem alterações feitas a quaisquer recursos dentro do AZure AD, tais como adicionar ou remover utilizadores, apps, grupos, papéis e políticas.Examples of audit logs include changes made to any resources within Azure AD, such as adding or removing users, apps, groups, roles, and policies.
  • Insusição arriscada - Um sinal de risco é um indicador para uma tentativa de inscrição que pode ter sido realizada por alguém que não é o legítimo proprietário de uma conta de utilizador.Risky sign-in - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
  • Utilizadores sinalizados para risco – Um utilizador de risco é um indicador de uma conta de utilizador que pode ter sido comprometida.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised. Estas fontes de dados podem ser integradas com sistemas Azure Monitor, Azure Sentinel ou siem de terceiros.These data sources can be integrated with Azure Monitor, Azure Sentinel or third-party SIEM systems.

O Azure Security Center também pode alertar para certas atividades suspeitas, como um número excessivo de tentativas de autenticação falhadas ou contas precíídas na subscrição.Azure Security Center can also alert on certain suspicious activities, such as an excessive number of failed authentication attempts, or deprecated accounts in the subscription.

A Azure Advanced Threat Protection (ATP) é uma solução de segurança que pode usar sinais de Ative Directory para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações de insider maliciosas.Azure Advanced Threat Protection (ATP) is a security solution that can use Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

IM-6: Restringir o acesso a recurso Azure com base em condiçõesIM-6: Restrict Azure resource access based on conditions

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service. Dentro do Azure AD, configurar o acesso condicional para a Azure Information Protection.Within Azure AD, configure conditional access for Azure Information Protection. Os administradores podem bloquear ou conceder acesso aos utilizadores no seu inquilino, para documentos protegidos pela Azure Information Protection, com base nos controlos de acesso condicional padrão.Administrators can block or grant access to users in their tenant, for documents protected by Azure Information Protection, based on the standard conditional access controls.

A autenticação multifactor é uma das condições mais comumente solicitadas, enquanto a conformidade do dispositivo com as políticas configuradas de Intune é outra.Multifactor authentication is one of the most commonly requested conditions, while device-compliancy with configured Intune policies is another one. Pode exigir condições para que os dispositivos móveis cumpram os seus requisitos de palavra-passe organizacional, tenham uma versão mínima do sistema operativo e computadores conectados estejam ligados ao domínio.You can require conditions so that mobile devices meet your organizational-password requirements, have a minimum operating system version, and connected computers are domain-joined.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

Acesso PrivilegiadoPrivileged Access

Para mais informações, consulte o Azure Security Benchmark: Acesso Privilegiado.For more information, see the Azure Security Benchmark: Privileged Access.

PA-1: Proteger e limitar utilizadores altamente privilegiadosPA-1: Protect and limit highly privileged users

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

A Azure Information Protection inclui uma função de administrador no Azure AD.Azure Information Protection includes an administrator-level role in Azure AD. Os utilizadores afetados à função administrador têm permissões completas no serviço de Proteção de Informação Azure.Users assigned to the Administrator role have full permissions in the Azure Information Protection service. A função do administrador pode ser usada para configurar rótulos para a política de proteção de informação Azure, gerir modelos de proteção e ativar a proteção.Administrator role can be used to configure labels for the Azure Information Protection policy, managing protection templates, and activating protection. No entanto, a função de Administrador não concede quaisquer permissões no Centro de Proteção de Identidade, Gestão de Identidade Privilegiada, Monitor Microsoft 365 Service Health ou Office 365 Security & Compliance Center.However, the Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Limitar o número de contas ou funções altamente privilegiadas e proteger estas contas a um nível elevado, uma vez que os utilizadores com este privilégio podem ler e modificar direta ou indiretamente todos os recursos do seu ambiente Azure.Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level, as users with this privilege can directly or indirectly read and modify every resource in your Azure environment. Permitir o acesso privilegiado (JIT) ao acesso privilegiado aos recursos da Azure e à AD Azure utilizando a Gestão de Identidade Privilegiada (PIM).Enable just-in-time (JIT) privileged access to Azure resources and Azure AD using Privileged Identity Management (PIM). O acesso just-in-time concede permissões temporárias para executar tarefas privilegiadas apenas quando os utilizadores precisam dela.Just-in-time access grants temporary permissions to perform privileged tasks only when users need it. A PIM também pode gerar alertas de segurança quando há atividade suspeita ou insegura na sua organização Azure AD.PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-2: Restringir o acesso administrativo a sistemas críticos de negóciosPA-2: Restrict administrative access to business-critical systems

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

A Azure Information Protection inclui uma função de administrador no Azure AD.Azure Information Protection includes an administrator-level role in Azure AD. Os utilizadores afetados à função administrador têm permissões completas no serviço de Proteção de Informação Azure.Users assigned to the Administrator role have full permissions in the Azure Information Protection service. A função de administrador permite configurar rótulos para a política de proteção de informação Azure, gerir modelos de proteção e ativar a proteção.The Administrator role allows configuring labels for the Azure Information Protection policy, managing protection templates, and activating protection. A função de Administrador não concede quaisquer permissões no Centro de Proteção de Identidade, Gestão de Identidade Privilegiada, Monitor Microsoft 365 Service Health ou Office 365 Security & Compliance Center.The Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-3: Rever e conciliar o acesso dos utilizadores regularmentePA-3: Review and reconcile user access regularly

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Utilize a Azure AD para gerir recursos, rever contas de utilizadores e aceder regularmente às atribuições para garantir que as contas e o seu acesso são válidos.Use Azure AD to manage resources, review user accounts, and access assignments regularly to ensure that the accounts and their access are valid. Realizar revisões de acesso a Azure para rever membros do grupo, acesso a aplicações empresariais e atribuições de funções.Conduct Azure AD access reviews to review group memberships, access to enterprise applications, and role assignments. Descubra contas velhas com relatórios Azure AD.Discover stale accounts with Azure AD reporting. As funcionalidades de Gestão de Identidade Privilegiada da Azure AD podem ser usadas para criar o fluxo de trabalho do relatório de revisão de acessos para facilitar o processo de revisão.Azure AD's Privileged Identity Management features can be used to create access review report workflow to facilitate the review process.

Além disso, a Azure Privileged Identity Management também pode ser configurada para alertar quando um número excessivo de contas de administrador é criado, e para identificar contas de administrador que estão incompras ou configuradas indevidamente.In addition, Azure Privileged Identity Management can also be configured to alert when an excessive number of administrator accounts are created, and to identify administrator accounts that are stale or improperly configured. Note que alguns serviços da Azure suportam utilizadores locais e funções que não são geridas através do Azure AD.Note that some Azure services support local users and roles that are not managed through Azure AD. Os clientes terão de gerir estes utilizadores separadamente.Customers will need to manage these users separately.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-4: Criar acesso de emergência em Azure ADPA-4: Set up emergency access in Azure AD

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD) para gerir os seus recursos.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD) to manage its resources. Para evitar que seja acidentalmente bloqueado fora da sua organização Azure AD, crie uma conta de acesso de emergência para acesso quando não puder ser utilizada uma conta administrativa normal.To prevent being accidentally locked out of your Azure AD organization, set up an emergency access account for access when normal administrative accounts cannot be used. As contas de acesso de emergência são geralmente altamente privilegiadas, e não devem ser atribuídas a indivíduos específicos.Emergency access accounts are usually highly privileged, and they should not be assigned to specific individuals. As contas de acesso de emergência limitam-se a cenários de emergência ou "vidro quebrado", onde as contas administrativas normais não podem ser utilizadas.Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used.

Deve certificar-se de que as credenciais (como palavra-passe, certificado ou cartão inteligente) para contas de acesso de emergência são mantidas seguras e conhecidas apenas por indivíduos autorizados a usá-las apenas em caso de emergência.You should ensure that the credentials (such as password, certificate, or smart card) for emergency access accounts are kept secure and known only to individuals who are authorized to use them only in an emergency.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-5: Gestão de direitos de automatizaçãoPA-5: Automate entitlement management

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), Azure's default identity and access management service.

A Azure AD oferece funcionalidades de gestão de direitos para automatizar fluxos de trabalho de pedido de acesso, incluindo atribuições de acesso, revisões e expiração.Azure AD offers entitlement management features to automate access request workflows, including access assignments, reviews, and expiration. A aprovação dual ou multi-fase também é apoiada.Dual or multi-stage approval is also supported.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-6: Utilize postos de trabalho privilegiados de acessoPA-6: Use privileged access workstations

Orientação: A Azure Information Protection pode ser gerida a partir de uma estação de trabalho do cliente através da PowerShell.Guidance: Azure Information Protection can be managed from a customer workstation through PowerShell.

Estações de trabalho seguras e isoladas são de importância crucial para a segurança de funções sensíveis, tais como administradores, desenvolvedores e operadores de serviços críticos.Secured, isolated workstations are critically important for the security of sensitive roles, such as administrators, developers, and critical service operators.

Utilize estações de trabalho de utilizador altamente seguras e/ou Bastião Azure para tarefas administrativas.Use highly secured user workstations and/or Azure Bastion for administrative tasks. Utilize o Azure Ative Directory, Microsoft Defender Advanced Threat Protection (ATP) e/ou Microsoft Intune para implementar uma estação de trabalho segura e gerida para tarefas administrativas.Use Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP), and/or Microsoft Intune to deploy a secure and managed user workstation for administrative tasks. As estações de trabalho seguras podem ser geridas centralmente para impor a configuração segura, incluindo a autenticação forte, linhas de base de software e hardware, e acesso lógico e de rede restrito.The secured workstations can be centrally managed to enforce secured configuration, including strong authentication, software and hardware baselines, and restricted logical and network access.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-7: Siga a administração suficiente (princípio de mínimo privilégio)PA-7: Follow just enough administration (least privilege principle)

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

A Azure Information Protection inclui uma função de administrador no Azure AD.Azure Information Protection includes an administrator-level role in Azure AD. Os utilizadores afetados à função administrador têm permissões completas no serviço de Proteção de Informação Azure.Users assigned to the Administrator role have full permissions in the Azure Information Protection service. A função do administrador pode ser usada para configurar rótulos para a política de proteção de informação Azure, gerir modelos de proteção e ativar a proteção.Administrator role can be used to configure labels for the Azure Information Protection policy, managing protection templates, and activating protection. No entanto, a função de Administrador não concede quaisquer permissões no Centro de Proteção de Identidade, Gestão de Identidade Privilegiada, Monitor Microsoft 365 Service Health ou Office 365 Security & Compliance Center.However, the Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Limitar o número de contas ou funções altamente privilegiadas e proteger estas contas a um nível elevado, uma vez que os utilizadores com este privilégio podem ler e modificar direta ou indiretamente todos os recursos do seu ambiente Azure.Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level, as users with this privilege can directly or indirectly read and modify every resource in your Azure environment. Permitir o acesso privilegiado (JIT) ao acesso privilegiado aos recursos da Azure e à AD Azure utilizando a Gestão de Identidade Privilegiada (PIM).Enable just-in-time (JIT) privileged access to Azure resources and Azure AD using Privileged Identity Management (PIM). O acesso just-in-time concede permissões temporárias para executar tarefas privilegiadas apenas quando os utilizadores precisam dela.Just-in-time access grants temporary permissions to perform privileged tasks only when users need it. A PIM também pode gerar alertas de segurança quando há atividade suspeita ou insegura na sua organização Azure AD.PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PA-8: Escolha o processo de aprovação para suporte da MicrosoftPA-8: Choose approval process for Microsoft support

Orientação: A Azure Information Protection suporta o Azure Customer Lockbox para fornecer aos clientes a capacidade de rever, aprovar e rejeitar pedidos de acesso a dados, bem como pedidos de revisão que estão a ser feitos.Guidance: Azure Information Protection supports Azure Customer Lockbox to provide customers with the ability to review, approve, and reject data access requests, as well as review requests being made.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

Proteção de DadosData Protection

Para mais informações, consulte o Benchmark de Segurança Azure: Proteção de Dados.For more information, see the Azure Security Benchmark: Data Protection.

DP-1: Descoberta, classificação e rotulagem de dados sensíveisDP-1: Discovery, classify and label sensitive data

Orientação: A Azure Information Protection fornece a capacidade de descobrir, classificar e rotular informações sensíveis.Guidance: Azure Information Protection provides the ability to discover, classify, and label sensitive information.

A Azure Information Protection é uma solução baseada na nuvem que permite às organizações classificar e proteger documentos e e-mails aplicando rótulos.Azure Information Protection is a cloud-based solution that enables organizations to classify and protect documents and emails by applying labels. As etiquetas podem ser aplicadas automaticamente pelos administradores utilizando regras e condições, manualmente pelos utilizadores, ou por uma combinação em que os administradores definem as recomendações apresentadas aos utilizadores.Labels can be applied automatically by administrators using rules and conditions, manually by users, or by a combination where administrators define the recommendations shown to users.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: CompartilhadoResponsibility: Shared

DP-2: Proteger dados sensíveisDP-2: Protect sensitive data

Orientação: A Azure Information Protection fornece proteção de dados, oferecendo a capacidade de rotular informações sensíveis e fornecer proteção sobre esses dados através de encriptação.Guidance: Azure Information Protection provides data protection by offering the ability to label sensitive information and provide protection on that data through encryption. A proteção é fornecida pelo serviço de Gestão de Direitos Azure.Protection is provided by the Azure Rights Management service.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: CompartilhadoResponsibility: Shared

DP-3: Monitor para transferência não autorizada de dados sensíveisDP-3: Monitor for unauthorized transfer of sensitive data

Orientação: A Azure Information Protection fornece a capacidade de monitorizar para transferência não autorizada de dados sensíveis através da pista e revogar a capacidade.Guidance: Azure Information Protection provides the ability to monitor for unauthorized transfer of sensitive data through the track and revoke capability. Track and Revoke permite ao cliente rastrear a forma como as pessoas estão a usar documentos que enviaram e revogar o acesso se as pessoas já não puderem lê-los.Track and Revoke allows the customer to track how people are using documents they have sent and revoke access if people should no longer be able to read them.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: CompartilhadoResponsibility: Shared

Gestão de RecursosAsset Management

Para mais informações, consulte o Azure Security Benchmark: Gestão de Ativos.For more information, see the Azure Security Benchmark: Asset Management.

AM-1: Garantir que a equipa de segurança tem visibilidade em riscos para os ativosAM-1: Ensure security team has visibility into risks for assets

Orientação: Certifique-se de que as equipas de segurança recebem permissões de Leitor de Segurança no seu inquilino Estaure e subscrições para que possam monitorizar riscos de segurança utilizando o Centro de Segurança Azure.Guidance: Ensure security teams are granted Security Reader permissions in your Azure tenant and subscriptions so they can monitor for security risks using Azure Security Center.

Dependendo da forma como as responsabilidades das equipas de segurança são estruturadas, a monitorização dos riscos de segurança pode ser da responsabilidade de uma equipa de segurança central ou de uma equipa local.Depending on how security team responsibilities are structured, monitoring for security risks could be the responsibility of a central security team or a local team. Dito isto, os conhecimentos de segurança e os riscos devem ser sempre agregados centralmente dentro de uma organização.That said, security insights and risks must always be aggregated centrally within an organization.

As permissões do Security Reader podem ser aplicadas amplamente a um inquilino inteiro (Root Management Group) ou a grupos de gestão ou subscrições específicas.Security Reader permissions can be applied broadly to an entire tenant (Root Management Group) or scoped to management groups or specific subscriptions.

Nota: Podem ser necessárias permissões adicionais para obter visibilidade em cargas de trabalho e serviços.Note: Additional permissions might be required to get visibility into workloads and services.

Monitorização do Centro de Segurança Azure: Atualmente não disponívelAzure Security Center monitoring: Currently not available

Responsabilidade: ClienteResponsibility: Customer

AM-3: Utilize apenas serviços Azure aprovadosAM-3: Use only approved Azure services

Orientação: A Azure Information Protection não suporta implementações do Gestor de Recursos Azure nem permite aos clientes a capacidade de limitar as implementações através de definições de Política Azure incorporadas, tais como "Permitir Recursos" ou "Negar Recursos".Guidance: Azure Information Protection does not support Azure Resource Manager Deployments or allow customers the ability to limit deployments through built-in Azure Policy definitions, such as 'Allow Resources' or 'Deny Resources'. No entanto, os clientes podem limitar o uso da Proteção de Informação Azure através de políticas de rotulagem no Centro de Segurança e Conformidade.However, customers can limit usage of Azure Information Protection through labeling policies in the Security and Compliance Center.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

Registo e Deteção de AmeaçasLogging and Threat Detection

Para obter mais informações, consulte o Benchmark de Segurança Azure: Registo e Deteção de Ameaças.For more information, see the Azure Security Benchmark: Logging and Threat Detection.

LT-2: Permitir a deteção de ameaças para a gestão da identidade e do acesso do AzureLT-2: Enable threat detection for Azure identity and access management

Orientação: A Azure Information Protection está integrada com o Azure Ative Directory (Azure AD), que é o serviço de gestão de identidade e acesso padrão da Azure.Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Consulte os registos de utilizadores fornecidos pela Azure com relatórios AD Azure e outras soluções como o Azure Monitor, Azure Sentinel ou outras ferramentas de monitorização SIEM/monitoring para casos de monitorização e utilização analíticos mais sofisticados.View Azure AD-provided user logs with Azure AD reporting and other solutions such as Azure Monitor, Azure Sentinel, or other SIEM/monitoring tools for more sophisticated monitoring and analytics use cases.

A saber:They are:

  • Relatório de inscrição – O relatório de inscrição fornece informações sobre a utilização de aplicações geridas e atividades de inscrição do utilizador.Sign-in report – The sign-in report provides information about the usage of managed applications and user sign-in activities.

  • Registos de auditoria - Capacidade de rastreio através de registos para todas as alterações efetuadas por várias funcionalidades no Azure AD.Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. Exemplos de registos de auditoria incluem alterações feitas a quaisquer recursos dentro do AZure AD, tais como adicionar ou remover utilizadores, apps, grupos, papéis e políticas.Examples of audit logs include changes made to any resources within Azure AD, such as adding or removing users, apps, groups, roles, and policies.

  • Entradas arriscadas - Um sinal de risco é um indicador para uma tentativa de inscrição que pode ter sido realizada por alguém que não é o legítimo proprietário de uma conta de utilizador.Risky sign-ins - A risky sign in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • Utilizadores sinalizados para risco – Um utilizador de risco é um indicador de uma conta de utilizador que pode ter sido comprometida.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

O Azure Security Center também pode alertar para certas atividades suspeitas, como um número excessivo de tentativas de autenticação falhadas e contas precíídas na subscrição.Azure Security Center can also alert on certain suspicious activities, such as an excessive number of failed authentication attempts, and deprecated accounts in the subscription. Além da monitorização básica da higiene de segurança, o módulo de Proteção de Ameaças do Security Center também pode recolher alertas de segurança mais aprofundados de recursos compute individuais da Azure (como máquinas virtuais, contentores, serviço de aplicações), recursos de dados (como SQL DB e armazenamento) e camadas de serviço Azure.In addition to the basic security hygiene monitoring, Security Center’s Threat Protection module can also collect more in-depth security alerts from individual Azure compute resources (such as virtual machines, containers, app service), data resources (such as SQL DB and storage), and Azure service layers. Esta capacidade permite-lhe ver anomalias de conta dentro dos recursos individuais.This capability allows you to see account anomalies inside the individual resources.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

LT-4: Permitir a exploração de madeira para recursos AzureLT-4: Enable logging for Azure resources

Orientação: A Azure Information Protection fornece proteção de dados para documentos e e-mails de uma organização, juntamente com um registo para cada pedido.Guidance: Azure Information Protection provides data protection for an organization's documents and emails, along with a log for each request. Estes pedidos incluem quando os utilizadores protegem documentos e e-mails, quando consomem este conteúdo, ações realizadas por administradores para este serviço e ações realizadas pelos operadores da Microsoft para apoiar a sua implementação de Proteção de Informação Azure.These requests include when users protect documents and emails, when they consume this content, actions performed by administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

Os tipos de registos produzidos pela Azure Information Protection incluem:Types of logs produced by Azure Information Protection include:

  • Admin Log - Regista tarefas administrativas para o serviço de proteção.Admin Log - Logs administrative tasks for the protection service. Por exemplo, se o serviço for desativado, quando a funcionalidade do super utilizador estiver ativada, e quando os utilizadores forem delegados permissões de administração para o serviço.For example, if the service is deactivated, when the super user feature is enabled, and when users are delegated admin permissions to the service.

  • Rastreio de Documentos - Permite que os utilizadores rastreiem e revoguem os seus documentos que rastrearam com o cliente Azure Information Protection.Document Tracking - Lets users track and revoke their documents that they have tracked with the Azure Information Protection client. Os administradores globais também podem rastrear estes documentos em nome dos utilizadores.Global administrators can also track these documents on behalf of users.

  • Registos de Eventos do Cliente - Atividade de utilização para o cliente Azure Information Protection, registado no registo de eventos de aplicações e serviços do Windows local, Proteção de Informação Azure.Client Event Logs - Usage activity for the Azure Information Protection client, logged in the local Windows Applications and Services event log, Azure Information Protection.

  • Ficheiros de Registo de Clientes - Registos de resolução de problemas para o cliente Azure Information ProtectionClient Log Files- Troubleshooting logs for the Azure Information Protection client

Os registos de utilização da Proteção podem ser utilizados para identificar "quem" está a aceder aos seus dados protegidos, a partir de dispositivos "quais" e de "onde".The Protection usage logs can be used to identify 'who' is accessing your protected data, from 'which' devices, and from 'where'. Os registos revelam se as pessoas podem ler com sucesso conteúdo protegido, bem como identificar quais as pessoas que leram um documento importante que foi protegido.Logs reveal whether people can successfully read protected content, as well as identify which people have read an important document that was protected.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

LT-5: Centralizar a gestão e análise de registos de segurançaLT-5: Centralize security log management and analysis

Orientação: Certifique-se de que o pessoal de apoio pode construir uma visão completa do que aconteceu durante um evento, consultando e utilizando diversas fontes de dados, uma vez que investiga potenciais incidentes.Guidance: Ensure that support personnel can build a full view of what happened during an event, by querying and using diverse data sources, as they investigate potential incidents.

Evite pontos cegos recolhendo registos diversos e enviando-os para uma solução SIEM central, como a Azure Sentinel, para acompanhar as atividades de um potencial atacante através da cadeia de morte.Avoid blind spots by collecting diverse logs and sending them to a central SIEM solution, such as Azure Sentinel, to track the activities of a potential attacker across the kill chain. Os registos podem revelar se as pessoas podem ler com sucesso conteúdo protegido, bem como identificar quais as pessoas que leram um documento importante que foi protegido.The logs can reveal whether people can successfully read protected content, as well as identify which people have read an important document that was protected. Certifique-se de que os insights e aprendizagens são capturados para outros analistas e para futuras referências históricas.Ensure that insights and learnings are captured for other analysts and for future historical reference.

O Azure Sentinel fornece uma análise extensiva de dados em praticamente qualquer fonte de registo e um portal de gestão de casos para gerir todo o ciclo de vida dos incidentes.Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. Informações de inteligência durante uma investigação podem ser associadas a um incidente para rastrear e reportar propósitos.Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

LT-6: Retenção de armazenamento de madeira configuradaLT-6: Configure log storage retention

Orientação: A Azure Information Protection fornece proteção de dados para documentos e e-mails de uma organização, com um registo para cada pedido.Guidance: Azure Information Protection provides data protection for an organization's documents and emails, with a log for every request to it. Estes pedidos incluem quando os utilizadores protegem documentos e e-mails, quando consomem este conteúdo, ações realizadas pelos seus administradores para este serviço, e ações realizadas pelos operadores da Microsoft para suportar a sua implementação de Proteção de Informação Azure.These requests include when users protect documents and emails, when they consume this content, actions performed by your administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

A quantidade de dados recolhidos e armazenados no seu espaço de trabalho Azure Information Protection, e a sua retenção, variará significativamente para cada inquilino, dependendo de fatores como quantos clientes da Azure Information Protection e outros pontos finais suportados você tem, quer esteja a recolher dados de descoberta de ponto final, você implementou scanners, o número de documentos protegidos que são acedidos, e assim por diante.The amount of data collected and stored in your Azure Information Protection workspace, and its retention, will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

Utilize a funcionalidade de utilização do Azure Monitor Log e funcionalidade de custos estimados para ajudar a estimar e rever a quantidade de dados armazenados e também controlar o período de retenção de dados para o seu espaço de trabalho Log Analytics.Use Azure Monitor Log's Usage and estimated costs feature to help estimate and review the amount of data stored and also control the data retention period for your Log Analytics workspace.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

Resposta a IncidentesIncident Response

Para mais informações, consulte o Benchmark de Segurança Azure: Incident Response.For more information, see the Azure Security Benchmark: Incident Response.

IR-1: Preparação – atualizar o processo de resposta a incidentes para o AzureIR-1: Preparation – update incident response process for Azure

Orientação: Certifique-se de que a sua organização tem processos para responder a incidentes de segurança, atualizou estes processos para o Azure, e está regularmente a exercê-los para garantir a prontidão.Guidance: Ensure your organization has processes to respond to security incidents, has updated these processes for Azure, and is regularly exercising them to ensure readiness.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

IR-2: Preparação – notificação de incidente de configuraçãoIR-2: Preparation – setup incident notification

Orientação: Configurar informações de contacto de incidentes de segurança no Centro de Segurança Azure.Guidance: Set up security incident contact information in Azure Security Center. Estas informações de contacto são utilizadas pela Microsoft para o contactar se o Microsoft Security Response Center (MSRC) descobrir que os seus dados foram acedidos por uma parte ilegal ou não autorizada.This contact information is used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. Também tem opções para personalizar alerta de incidentes e notificação em diferentes serviços Azure com base nas suas necessidades de resposta a incidentes.You also have options to customize incident alert and notification in different Azure services based on your incident response needs.

Monitorização do Centro de Segurança Azure: SimAzure Security Center monitoring: Yes

Responsabilidade: ClienteResponsibility: Customer

IR-3: Deteção e análise – criar incidentes baseados em alertas de alta qualidadeIR-3: Detection and analysis – create incidents based on high quality alerts

Orientação: Certifique-se de que tem um processo para criar alertas de alta qualidade e medir a qualidade dos alertas.Guidance: Ensure you have a process to create high-quality alerts and measure the quality of alerts. Isto permite-lhe aprender lições de incidentes passados e priorizar alertas para analistas, para que não percam tempo com falsos positivos.This allows you to learn lessons from past incidents and prioritize alerts for analysts, so they don’t waste time on false positives.

Alertas de alta qualidade podem ser construídos com base na experiência de incidentes passados, fontes comunitárias validadas e ferramentas projetadas para gerar e limpar alertas fundindo e correlacionando diversas fontes de sinal.High-quality alerts can be built based on experience from past incidents, validated community sources, and tools designed to generate and clean up alerts by fusing and correlating diverse signal sources.

O Azure Security Center fornece alertas de alta qualidade em muitos ativos da Azure.Azure Security Center provides high-quality alerts across many Azure assets. Pode utilizar o conector de dados ASC para transmitir os alertas ao Azure Sentinel.You can use the ASC data connector to stream the alerts to Azure Sentinel. O Azure Sentinel permite criar regras avançadas de alerta para gerar incidentes automaticamente para uma investigação.Azure Sentinel lets you create advanced alert rules to generate incidents automatically for an investigation.

Exporte os alertas e recomendações do Centro de Segurança Azure utilizando a funcionalidade de exportação para ajudar a identificar riscos para os recursos da Azure.Export your Azure Security Center alerts and recommendations using the export feature to help identify risks to Azure resources. Alertas e recomendações de exportação, manualmente ou de forma contínua e contínua.Export alerts and recommendations either manually or in an ongoing, continuous fashion.

Monitorização do Centro de Segurança Azure: Atualmente não disponívelAzure Security Center monitoring: Currently not available

Responsabilidade: ClienteResponsibility: Customer

IR-4: Deteção e análise – investigue um incidenteIR-4: Detection and analysis – investigate an incident

Orientação: Certifique-se de que os analistas podem construir uma visão completa do que aconteceu consultando e usando diversas fontes de dados enquanto investigam potenciais incidentes.Guidance: Ensure that analysts can build a full view of what happened by querying and using diverse data sources as they investigate potential incidents. Evite pontos cegos recolhendo registos diversos para rastrear as atividades de um potencial atacante através da cadeia de morte.Avoid blind spots by collecting diverse logs to track the activities of a potential attacker across the kill chain. Além disso, certifique-se de que os insights e aprendizagens são capturados para outros analistas e para referência histórica futura.Additionally, ensure that insights and learnings are captured for other analysts and for future historical reference.

As fontes de dados para investigação incluem as fontes centralizadas de registo que já estão a ser recolhidas dos serviços de âmbito e dos sistemas de funcionamento, mas também podem incluir:The data sources for investigation include the centralized logging sources that are already being collected from the in-scope services and running systems, but can also include:

  • Dados da rede – utilize os registos de fluxo dos grupos de segurança da rede, o Azure Network Watcher e o Azure Monitor para capturar registos de fluxo de rede e outras informações analíticas.Network data – use network security groups' flow logs, Azure Network Watcher, and Azure Monitor to capture network flow logs and other analytics information.

  • Instantâneos dos sistemas de funcionamento:Snapshots of running systems:

    • Utilize a capacidade de instantâneo da máquina virtual Azure para criar uma imagem do disco do sistema de funcionamento.Use Azure virtual machine's snapshot capability to create a snapshot of the running system's disk.

    • Utilize a capacidade de despejo de memória nativa do sistema operativo para criar uma imagem da memória do sistema de funcionamento.Use the operating system's native memory dump capability to create a snapshot of the running system's memory.

    • Utilize a funcionalidade instantânea dos serviços Azure ou a capacidade do seu próprio software para criar instantâneos dos sistemas de execução.Use the snapshot feature of the Azure services or your software's own capability to create snapshots of the running systems.

O Azure Sentinel fornece uma análise extensiva de dados em praticamente qualquer fonte de registo e um portal de gestão de casos para gerir todo o ciclo de vida dos incidentes.Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. Informações de inteligência durante uma investigação podem ser associadas a um incidente para rastrear e reportar propósitos.Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

IR-5: Deteção e análise – priorizar incidentesIR-5: Detection and analysis – prioritize incidents

Orientação: Fornecer contexto aos analistas sobre quais incidentes se concentrar em primeiro lugar com base na gravidade do alerta e na sensibilidade do ativo.Guidance: Provide context to analysts on which incidents to focus on first based on alert severity and asset sensitivity.

O Centro de Segurança Azure atribui uma gravidade a cada alerta para ajudá-lo a priorizar quais os alertas que devem ser investigados primeiro.Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. A gravidade baseia-se na confiança que o Centro de Segurança está na descoberta ou no analítico utilizado para emitir o alerta, bem como no nível de confiança de que havia intenção maliciosa por trás da atividade que levou ao alerta.The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert, as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Além disso, marque recursos usando tags e crie um sistema de nomeação para identificar e categorizar recursos Azure, especialmente aqueles que processam dados sensíveis.Additionally, mark resources using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. É da sua responsabilidade priorizar a reparação de alertas com base na criticidade dos recursos e ambiente do Azure onde ocorreu o incidente.It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Monitorização do Centro de Segurança Azure: Atualmente não disponívelAzure Security Center monitoring: Currently not available

Responsabilidade: ClienteResponsibility: Customer

IR-6: Contenção, erradicação e recuperação – automatizar o tratamento do incidenteIR-6: Containment, eradication and recovery – automate the incident handling

Orientação: Automatizar tarefas repetitivas manuais para acelerar o tempo de resposta e reduzir o fardo sobre os analistas.Guidance: Automate manual repetitive tasks to speed up response time and reduce the burden on analysts. As tarefas manuais demoram mais tempo a ser executadas, abrandando cada incidente e reduzindo quantos incidentes um analista pode lidar.Manual tasks take longer to execute, slowing each incident and reducing how many incidents an analyst can handle. As tarefas manuais também aumentam a fadiga dos analistas, o que aumenta o risco de erro humano que causa atrasos, e degrada a capacidade dos analistas de se concentrarem eficazmente em tarefas complexas.Manual tasks also increase analyst fatigue, which increases the risk of human error that causes delays, and degrades the ability of analysts to focus effectively on complex tasks. Utilize funcionalidades de automatização de fluxos de trabalho no Azure Security Center e no Azure Sentinel para desencadear automaticamente ações ou executar um livro de jogadas para responder aos alertas de segurança que chegam.Use workflow automation features in Azure Security Center and Azure Sentinel to automatically trigger actions or run a playbook to respond to incoming security alerts. O livro de jogadas toma medidas, tais como o envio de notificações, a desativação de contas e a isolação de redes problemáticas.The playbook takes actions, such as sending notifications, disabling accounts, and isolating problematic networks.

Monitorização do Centro de Segurança Azure: Atualmente não disponívelAzure Security Center monitoring: Currently not available

Responsabilidade: ClienteResponsibility: Customer

Gestão de Postura e VulnerabilidadePosture and Vulnerability Management

Para mais informações, consulte o Azure Security Benchmark: Posture and Vulnerability Management.For more information, see the Azure Security Benchmark: Posture and Vulnerability Management.

PV-1: Estabelecer configurações seguras para os serviços AzurePV-1: Establish secure configurations for Azure services

Orientação: A Proteção de Informações Azure pode ser configurada através do Centro de Segurança e Conformidade ou através do PowerShell.Guidance: Azure Information Protection can be configured through the Security and Compliance Center or through PowerShell.

Dentro do Centro de Segurança e Conformidade, um administrador pode criar etiquetas de sensibilidade, definir o que cada rótulo pode fazer e publicar as etiquetas.Within the Security and Compliance Center, an admin can create sensitivity labels, define what each label can do, and publish the labels.

Crie os rótulos: Crie e nomeie os seus rótulos de sensibilidade de acordo com a taxonomia de classificação da sua organização para diferentes níveis de sensibilidade de conteúdo.Create the labels: Create and name your sensitivity labels according to your organization's classification taxonomy for different sensitivity levels of content. Utilize nomes ou termos comuns que façam sentido para os seus utilizadores.Use common names or terms that make sense to your users. Se ainda não tem uma taxonomia estabelecida, considere começar com nomes de etiquetas como Pessoal, Público, Geral, Confidencial e Altamente Confidencial.If you don't already have an established taxonomy, consider starting with label names such as Personal, Public, General, Confidential, and Highly Confidential. Em seguida, pode utilizar sublbels para agrupar rótulos semelhantes por categoria.You can then use sublabels to group similar labels by category. Quando criar uma etiqueta, utilize o texto da ponta da ferramenta para ajudar os utilizadores a selecionar a etiqueta adequada.When you create a label, use the tooltip text to help users select the appropriate label.

Defina o que cada etiqueta pode fazer: Configure as definições de proteção que pretende associadas a cada etiqueta.Define what each label can do: Configure the protection settings you want associated with each label. Por exemplo, pode querer que um conteúdo de sensibilidade mais baixo (como uma etiqueta "Geral") tenha apenas um cabeçalho ou rodapé aplicado, enquanto um conteúdo de sensibilidade mais elevado (como uma etiqueta "Confidencial") deve ter uma marca de água e encriptação.For example, you might want lower sensitivity content (such as a "General" label) to have just a header or footer applied, while higher sensitivity content (such as a "Confidential" label) should have a watermark and encryption.

Publique as etiquetas: Depois de configurar as etiquetas de sensibilidade, publique-as utilizando uma política de etiquetas.Publish the labels: After your sensitivity labels are configured, publish them by using a label policy. Decida quais os utilizadores e grupos que devem ter os rótulos e quais as definições de política a utilizar.Decide which users and groups should have the labels and what policy settings to use. Uma única etiqueta é reutilizável — define-a uma vez e depois pode incluí-la em várias políticas de etiquetas atribuídas a diferentes utilizadores.A single label is reusable—you define it once, and then you can include it in several label policies assigned to different users. Assim, por exemplo, pode pilotar os seus rótulos de sensibilidade atribuindo uma política de etiquetas a apenas alguns utilizadores.So for example, you could pilot your sensitivity labels by assigning a label policy to just a few users. Depois, quando estiver pronto para lançar as etiquetas em toda a sua organização, pode criar uma nova política de etiquetas para as suas etiquetas e, desta vez, especificar todos os utilizadores.Then when you're ready to roll out the labels across your organization, you can create a new label policy for your labels and this time, specify all users.

Para utilizar o PowerShell, instale o Módulo PowerShell AIPService.In order to use PowerShell, install the AIPService PowerShell Module. Dentro do PowerShell, um administrador pode executar estas tarefas juntamente com outras:Within PowerShell, an admin can perform these tasks along with others:

  • Migrar da Gestão de Direitos no local (AD RMS ou Windows RMS) para a Azure Information ProtectionMigrate from on-premise Rights Management (AD RMS or Windows RMS) to Azure Information Protection
  • Gerencie e Gere a chave do seu próprio inquilino- o cenário trazer a sua própria chave (BYOK)Generate and Manage your own tenant key- the bring your own key (BYOK) scenario
  • Ativar ou desativar o serviço de Gestão de Direitos para a sua organizaçãoActivate or deactivate the Rights Management service for your organization
  • Configurar controlos de embarque para uma implantação faseada do serviço de Gestão de Direitos AzureConfigure onboarding controls for a phased deployment of the Azure Rights Management service
  • Crie e gere modelos de Gestão de Direitos para a sua organizaçãoCreate and manage Rights Management templates for your organization
  • Gerir utilizadores e grupos autorizados a administrar o serviço de Gestão de Direitos para a sua organizaçãoManage users and groups who are authorized to administer Rights Management service for your organization
  • Registar e analisar o uso para a Gestão de DireitosLog and analyze usage for Rights Management

Para mais informações, consulte as seguintes referências:For more information, see the following references:

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

PV-8: Realizar simulação regular de ataquePV-8: Conduct regular attack simulation

Orientação: Conforme necessário, realize testes de penetração ou atividades de equipa vermelha nos seus recursos Azure e garanta a reparação de todos os resultados críticos de segurança.Guidance: As required, conduct penetration testing or red team activities on your Azure resources and ensure remediation of all critical security findings. Siga as Regras de Teste de Penetração na Nuvem da Microsoft para garantir que os seus testes de penetração não violam as políticas da Microsoft.Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Use a estratégia da Microsoft e a execução de testes de penetração em red teaming e site ao vivo contra infraestruturas, serviços e aplicações de nuvem geridas pela Microsoft.Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: CompartilhadoResponsibility: Shared

Cópia de Segurança e RecuperaçãoBackup and Recovery

Para mais informações, consulte o Benchmark de Segurança Azure: Backup and Recovery.For more information, see the Azure Security Benchmark: Backup and Recovery.

BR-4: Mitigar o risco de chaves perdidasBR-4: Mitigate risk of lost keys

Orientação: A Azure Information Protection proporciona aos clientes a capacidade de configurar o seu inquilino com a sua própria chave através da Bring Your Own Key (BYOK).Guidance: Azure Information Protection provides customers with the ability to configure their tenant with their own key through Bring Your Own Key (BYOK). As chaves geradas pelo cliente devem ser armazenadas no Cofre da Chave Azure para proteção.Customer-generated keys must be stored in Azure Key Vault for protection. O Azure Key Vault ajuda a prevenir a perda de chaves através de uma eliminação suave, separação de funções e domínios de segurança separados.Azure Key Vault helps prevent the loss of keys through soft delete, role separation, and separated security domains.

Monitorização do Centro de Segurança Azure: SimAzure Security Center monitoring: Yes

Responsabilidade: ClienteResponsibility: Customer

Governação e EstratégiaGovernance and Strategy

Para mais informações, consulte o Benchmark de Segurança Azure: Governação e Estratégia.For more information, see the Azure Security Benchmark: Governance and Strategy.

GS-1: Definir estratégia de gestão de ativos e proteção de dadosGS-1: Define asset management and data protection strategy

Orientação: Certifique-se de que documenta e comunica uma estratégia clara de monitorização e proteção contínua de sistemas e dados.Guidance: Ensure you document and communicate a clear strategy for continuous monitoring and protection of systems and data. Priorize a descoberta, a avaliação, a proteção e o acompanhamento de dados e sistemas críticos do negócio.Prioritize discovery, assessment, protection, and monitoring of business-critical data and systems.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:This strategy should include documented guidance, policy, and standards for the following elements:

  • Norma de classificação de dados de acordo com os riscos empresariaisData classification standard in accordance with the business risks

  • Visibilidade da organização de segurança em riscos e inventário de ativosSecurity organization visibility into risks and asset inventory

  • Aprovação da organização de segurança dos serviços da Azure para utilizaçãoSecurity organization approval of Azure services for use

  • Segurança dos bens através do seu ciclo de vidaSecurity of assets through their lifecycle

  • Estratégia de controlo de acesso exigida de acordo com a classificação de dados organizacionaisRequired access control strategy in accordance with organizational data classification

  • Utilização de capacidades de proteção de dados nativas e de terceiros da AzureUse of Azure native and third-party data protection capabilities

  • Requisitos de encriptação de dados para casos de utilização em trânsito e em repousoData encryption requirements for in-transit and at-rest use cases

  • Padrões criptográficos adequadosAppropriate cryptographic standards

Para mais informações, consulte as seguintes referências:For more information, see the following references:

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

GS-2: Definir estratégia de segmentação empresarialGS-2: Define enterprise segmentation strategy

Orientação: Estabeleça uma estratégia em toda a empresa para segmentar o acesso a ativos utilizando uma combinação de identidade, rede, aplicação, subscrição, grupo de gestão e outros controlos.Guidance: Establish an enterprise-wide strategy to segmenting access to assets using a combination of identity, network, application, subscription, management group, and other controls.

Equilibra cuidadosamente a necessidade de separação de segurança com a necessidade de permitir o funcionamento diário dos sistemas que precisam de comunicar entre si e aceder aos dados.Carefully balance the need for security separation with the need to enable daily operation of the systems that need to communicate with each other and access data.

Certifique-se de que a estratégia de segmentação é implementada de forma consistente em todos os tipos de controlo, incluindo modelos de segurança de rede, identidade e acesso, e modelos de permissão/acesso de aplicações e controlos de processos humanos.Ensure that the segmentation strategy is implemented consistently across control types including network security, identity and access models, and application permission/access models, and human process controls.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

GS-3: Definir estratégia de gestão da postura de segurançaGS-3: Define security posture management strategy

Orientação: Medir e mitigar continuamente os riscos para os seus ativos individuais e para o ambiente em que estão hospedados.Guidance: Continuously measure and mitigate risks to your individual assets and the environment they are hosted in. Priorize ativos de alto valor e superfícies de ataque altamente expostas, tais como aplicações publicadas, entradas de rede e pontos de saída, pontos finais de utilizador e administrador, etc.Prioritize high value assets and highly-exposed attack surfaces, such as published applications, network ingress and egress points, user and administrator endpoints, etc.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

GS-4: Alinhar papéis de organização, responsabilidades e responsabilidadesGS-4: Align organization roles, responsibilities, and accountabilities

Orientação: Certifique-se de que documenta e comunica uma estratégia clara para funções e responsabilidades na sua organização de segurança.Guidance: Ensure you document and communicate a clear strategy for roles and responsibilities in your security organization. Priorizar a prestação de contas claras às decisões de segurança, educar todos no modelo de responsabilidade partilhada e educar as equipas técnicas em tecnologia para garantir a nuvem.Prioritize providing clear accountability for security decisions, educating everyone on the shared responsibility model, and educate technical teams on technology to secure the cloud.

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

GS-5: Definir estratégia de segurança de redeGS-5: Define network security strategy

Orientação: Estabeleça uma abordagem de segurança da rede Azure como parte da estratégia global de controlo de acesso à segurança da sua organização.Guidance: Establish an Azure network security approach as part of your organization’s overall security access control strategy.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:This strategy should include documented guidance, policy, and standards for the following elements:

  • Responsabilidade centralizada de gestão de redes e segurançaCentralized network management and security responsibility

  • Modelo de segmentação de rede virtual alinhado com a estratégia de segmentação da empresaVirtual network segmentation model aligned with the enterprise segmentation strategy

  • Estratégia de remediação em diferentes cenários de ameaça e ataqueRemediation strategy in different threat and attack scenarios

  • Internet borda e estratégia de entrada e saídaInternet edge and ingress and egress strategy

  • Estratégia híbrida de interconectividade em nuvem e no localHybrid cloud and on-premises interconnectivity strategy

  • Artefactos de segurança da rede atualizados (por exemplo, diagramas de rede, arquitetura de rede de referência)Up-to-date network security artifacts (e.g. network diagrams, reference network architecture)

Para mais informações, consulte as seguintes referências:For more information, see the following references:

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

GS-6: Definir estratégia de identidade e acesso privilegiadoGS-6: Define identity and privileged access strategy

Orientação: Estabeleça uma identidade azul e abordagens privilegiadas de acesso como parte da estratégia global de controlo de acesso à segurança da sua organização.Guidance: Establish an Azure identity and privileged access approaches as part of your organization’s overall security access control strategy.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:This strategy should include documented guidance, policy, and standards for the following elements:

  • Um sistema centralizado de identidade e autenticação e a sua interconectividade com outros sistemas de identidade interna e externaA centralized identity and authentication system and its interconnectivity with other internal and external identity systems

  • Métodos de autenticação forte em diferentes casos e condições de utilizaçãoStrong authentication methods in different use cases and conditions

  • Proteção de utilizadores altamente privilegiadosProtection of highly privileged users

  • Monitorização e manuseamento de atividades de utilizadores de anomaliasAnomaly user activities monitoring and handling

  • Revisão e reconciliação da identidade do utilizador e acessoUser identity and access review and reconciliation process

Para mais informações, consulte as seguintes referências:For more information, see the following references:

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

GS-7: Definir a estratégia de resposta ao abate e à ameaçaGS-7: Define logging and threat response strategy

Orientação: Estabeleça uma estratégia de resposta à exploração madeireira e a ameaças para detetar e remediar rapidamente as ameaças, cumprindo os requisitos de conformidade.Guidance: Establish a logging and threat response strategy to rapidly detect and remediate threats while meeting compliance requirements. Priorize fornecer aos analistas alertas de alta qualidade e experiências perfeitas para que se concentrem em ameaças em vez de integração e passos manuais.Prioritize providing analysts with high-quality alerts and seamless experiences so that they can focus on threats rather than integration and manual steps.

Esta estratégia deve incluir orientações, políticas e normas documentadas para os seguintes elementos:This strategy should include documented guidance, policy, and standards for the following elements:

  • O papel e as responsabilidades da organização das operações de segurança (SecOps)The security operations (SecOps) organization’s role and responsibilities

  • Um processo de resposta a incidentes bem definido, alinhado com o NIST ou outro quadro da indústriaA well-defined incident response process aligning with NIST or another industry framework

  • Registar captura e retenção para apoiar a deteção de ameaças, resposta a incidentes e necessidades de conformidadeLog capture and retention to support threat detection, incident response, and compliance needs

  • Visibilidade centralizada e correlação de informações sobre ameaças, utilizando siem, capacidades nativas de Azure, e outras fontesCentralized visibility of and correlation information about threats, using SIEM, native Azure capabilities, and other sources

  • Plano de comunicação e notificação com os seus clientes, fornecedores e partes públicas de interesseCommunication and notification plan with your customers, suppliers, and public parties of interest

  • Utilização de plataformas nativas e de terceiros da Azure para o tratamento de incidentes, tais como deteção de registos e ameaças, perícia e remediação e erradicação de ataquesUse of Azure native and third-party platforms for incident handling, such as logging and threat detection, forensics, and attack remediation and eradication

  • Processos de tratamento de incidentes e atividades pós-incidente, tais como lições aprendidas e retenção de provasProcesses for handling incidents and post-incident activities, such as lessons learned and evidence retention

Para mais informações, consulte as seguintes referências:For more information, see the following references:

Monitorização do Centro de Segurança Azure: Não aplicávelAzure Security Center monitoring: Not applicable

Responsabilidade: ClienteResponsibility: Customer

Passos seguintesNext steps