O que é o Microsoft Defender for Cloud?
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos. Fornece gestão de políticas e monitorização de segurança integrada nas suas subscrições, ajuda a detetar ameaças que caso contrário podem passar despercebidas e funciona com um ecossistema abrangente de soluções de segurança.
O Defender for Cloud usa componentes de monitoramento para coletar e armazenar dados. Para obter detalhes detalhados, consulte Coleta de dados no Microsoft Defender for Cloud.
Como faço para obter o Microsoft Defender for Cloud?
O Microsoft Defender for Cloud é ativado com a sua subscrição do Microsoft Azure e acedido a partir do portal do Azure. Para acessá-lo, entre no portal, selecione Procurar e role até Defender for Cloud.
Existe uma versão de avaliação do Defender for Cloud?
O Defender for Cloud é gratuito durante os primeiros 30 dias. Qualquer utilização superior a 30 dias é automaticamente cobrada de acordo com o esquema de preços. Mais informações. Observe que a verificação de malware no Defender for Storage não está incluída gratuitamente no primeiro período de avaliação de 30 dias e será cobrada a partir do primeiro dia.
Quais recursos do Azure são monitorados pelo Microsoft Defender for Cloud?
O Microsoft Defender for Cloud monitoriza os seguintes recursos do Azure:
- Máquinas virtuais (VMs) (incluindo Serviços de Nuvem)
- Conjuntos de Dimensionamento de Máquinas Virtuais
- Os muitos serviços de PaaS do Azure listados na visão geral do produto
O Defender for Cloud também protege recursos locais e recursos multicloud, incluindo Amazon AWS e Google Cloud.
Como posso ver o estado de segurança atual dos meus recursos do Azure, multicloud e locais?
A página Visão geral do Defender for Cloud mostra a postura geral de segurança do seu ambiente, dividida por computação, rede, armazenamento e dados, e aplicativos. Cada tipo de recurso tem um indicador que mostra as vulnerabilidades de segurança identificadas. A seleção de cada bloco exibe uma lista de problemas de segurança identificados pelo Defender for Cloud, juntamente com um inventário dos recursos em sua assinatura.
O que é uma iniciativa de segurança?
Uma iniciativa de segurança define o conjunto de controles (políticas) recomendados para recursos dentro da assinatura especificada. No Microsoft Defender for Cloud, você atribui iniciativas para suas assinaturas do Azure, contas da AWS e projetos GCP de acordo com os requisitos de segurança da sua empresa e o tipo de aplicativos ou a sensibilidade dos dados em cada assinatura.
As políticas de segurança habilitadas no Microsoft Defender for Cloud direcionam recomendações de segurança e monitoramento. Saiba mais em O que são políticas, iniciativas e recomendações de segurança?.
Quem pode modificar uma política de segurança?
Para modificar uma política de segurança, tem de ser um Administrador de Segurança ou um Proprietário dessa subscrição.
Para saber como configurar uma política de segurança, consulte Definindo políticas de segurança no Microsoft Defender for Cloud.
O que é uma recomendação de segurança?
O Microsoft Defender for Cloud analisa o estado de segurança dos seus recursos do Azure, multicloud e locais. Quando potenciais vulnerabilidades de segurança são identificadas, são criadas recomendações. As recomendações guiam você pelo processo de configuração do controle necessário. Os exemplos são:
- Provisionamento de antimalware para ajudar a identificar e remover software mal-intencionado
- Grupos de segurança de rede e regras para controlar o tráfego para máquinas virtuais
- Provisionamento de um firewall de aplicativo Web para ajudar a se defender contra ataques direcionados a seus aplicativos Web
- Implementação de atualizações do sistema em falta
- Endereçamento de configurações de SO que não correspondem às linhas de base recomendadas
Apenas as recomendações ativadas nas Políticas de Segurança são mostradas aqui.
O que aciona um alerta de segurança?
O Microsoft Defender for Cloud coleta, analisa e funde automaticamente dados de log de seus recursos do Azure, multicloud e locais, da rede e de soluções de parceiros, como antimalware e firewalls. Quando são detetadas ameaças, é criado um alerta de segurança. Os exemplos incluem a deteção de:
- Virtual Machines comprometidas a comunicar com endereços IP maliciosos conhecidos
- Malware avançado detetado usando o relatório de erros do Windows
- Ataques de força bruta contra máquinas virtuais
- Alertas de segurança de soluções de segurança integradas de parceiros, como Antimalware ou Firewalls de Aplicações Web
Qual é a diferença entre ameaças detetadas e alertadas pelo Microsoft Security Response Center versus o Microsoft Defender for Cloud?
O Microsoft Security Response Center (MSRC) executa o monitoramento de segurança selecionado da rede e da infraestrutura do Azure e recebe informações sobre ameaças e reclamações de abuso de terceiros. Quando o MSRC toma conhecimento de que os dados do cliente foram acedidos por uma parte ilegal ou não autorizada ou que a utilização do Azure pelo cliente não está em conformidade com os termos de Utilização Aceitável, um gestor de incidentes de segurança notifica o cliente. A notificação normalmente ocorre enviando um email para os contatos de segurança especificados no Microsoft Defender for Cloud ou para o proprietário da assinatura do Azure se um contato de segurança não for especificado.
O Defender for Cloud é um serviço do Azure que monitoriza continuamente o ambiente Azure, multicloud e local do cliente e aplica análises para detetar automaticamente uma vasta gama de atividades potencialmente maliciosas. Essas deteções são exibidas como alertas de segurança no painel de proteção da carga de trabalho.
Como posso controlar quem na minha organização ativou um plano do Microsoft Defender no Defender for Cloud?
As Subscrições do Azure podem ter vários administradores com permissões para alterar as definições de preços. Para descobrir qual usuário fez uma alteração, use o Log de Atividades do Azure.
Se as informações do usuário não estiverem listadas na coluna Evento iniciado por , explore o JSON do evento para obter os detalhes relevantes.
O que acontece quando uma recomendação está incluída em várias iniciativas políticas?
Às vezes, uma recomendação de segurança aparece em mais de uma iniciativa política. Se você tiver várias instâncias da mesma recomendação atribuídas à mesma assinatura e criar uma isenção para a recomendação, isso afetará todas as iniciativas que você tem permissão para editar.
Se tentar criar uma isenção para esta recomendação, verá uma das duas seguintes mensagens:
Se você tiver as permissões necessárias para editar ambas as iniciativas, você verá:
Esta recomendação está incluída em várias iniciativas políticas: [nomes das iniciativas separados por vírgula]. Serão criadas isenções para todos eles.
Se você não tiver permissões suficientes em ambas as iniciativas, verá esta mensagem:
Você tem permissões limitadas para aplicar a isenção em todas as iniciativas políticas, as isenções serão criadas apenas nas iniciativas com permissões suficientes.
Há alguma recomendação que não suporte a isenção?
Estas recomendações geralmente disponíveis não suportam a isenção:
- Todos os tipos avançados de proteção contra ameaças devem ser habilitados nas configurações avançadas de segurança de dados da instância gerenciada SQL
- Todos os tipos de proteção avançada contra ameaças devem estar ativados nas definições da segurança de dados avançada no servidor SQL
- Os limites de CPU e memória do contêiner devem ser impostos
- As imagens de contêiner devem ser implantadas apenas a partir de registros confiáveis
- Contêiner com escalonamento de privilégios deve ser evitado
- Contêineres que compartilham namespaces de host confidenciais devem ser evitados
- Os contentores devem escutar apenas nos portos permitidos
- A Política de Filtro IP Padrão deve ser Negar
- Problemas de configuração de EDR devem ser resolvidos em máquinas virtuais
- A solução EDR deve ser instalada em máquinas virtuais
- O monitoramento da integridade de arquivos deve ser habilitado em máquinas
- O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres
- Dispositivos IoT - Portas abertas no dispositivo
- Dispositivos IoT - Política de firewall permissiva em uma das cadeias foi encontrada
- Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de entrada
- Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de saída
- Regra de filtro de IP de grande intervalo de IP
- Recursos Linux menos privilegiados devem ser aplicados para contêineres
- A substituição ou desativação do perfil AppArmor de contêineres deve ser restrita
- Devem ser evitados contentores privilegiados
- A execução de contêineres como usuário raiz deve ser evitada
- Os serviços devem escutar apenas nas portas permitidas
- Os servidores SQL devem ter um administrador do Microsoft Entra provisionado
- O uso de portas e rede de host deve ser restrito
- O uso de montagens de volume do pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó a partir de contêineres comprometidos
Já estamos usando a política de acesso condicional (CA) para impor a MFA. Por que ainda recebemos as recomendações do Defender for Cloud?
Para investigar por que as recomendações ainda estão sendo geradas, verifique as seguintes opções de configuração em sua política de autoridade de certificação de MFA:
- Você incluiu as contas na seção Usuários da sua política de autoridade de certificação de MFA (ou em um dos grupos na seção Grupos )
- A ID do aplicativo de Gerenciamento do Azure (797f4846-ba00-4fd7-ba43-dac1f8f63013), ou todos os aplicativos, estão incluídos na seção Aplicativos da sua política de CA de MFA
- A ID do aplicativo de Gerenciamento do Azure não é excluída na seção Aplicativos da sua política de CA de MFA
- A condição OR é usada apenas com MFA, ou a condição AND é usada com MFA
- Uma política de Acesso Condicional que impõe MFA por meio de Pontos Fortes de Autenticação não é suportada atualmente em nossa avaliação.
Estamos usando uma ferramenta de MFA de terceiros para aplicar a MFA. Por que ainda recebemos as recomendações do Defender for Cloud?
As recomendações de MFA do Defender for Cloud não suportam ferramentas de MFA de terceiros (por exemplo, DUO).
Se as recomendações forem irrelevantes para sua organização, considere marcá-las como "mitigadas", conforme descrito em Isentando recursos e recomendações de sua pontuação segura. Você também pode desativar uma recomendação.
Por que o Defender for Cloud mostra contas de usuário sem permissões na assinatura como "exigindo MFA"?
As recomendações de MFA do Defender for Cloud referem-se às funções do Azure RBAC e à função de administradores de assinatura clássica do Azure. Confirme que nenhuma das contas tem estas funções.
Estamos a aplicar o MFA com o PIM. Por que as contas PIM são mostradas como não compatíveis?
Atualmente, as recomendações de MFA do Defender for Cloud não suportam contas PIM. Pode adicionar estas contas a uma política de AC na secção Utilizadores/Grupo.
Posso isentar ou dispensar algumas das contas?
A capacidade de isentar algumas contas que não usam MFA está disponível nas novas recomendações na visualização:
- Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA
- Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA
- Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA
Para isentar a(s) conta(s), siga estes passos:
- Selecione uma recomendação de MFA associada a uma conta não íntegra.
- Na guia Contas, selecione uma conta para isenção.
- Selecione o botão de três pontos e, em seguida, selecione Conta isenta.
- Selecione um escopo e um motivo de isenção.
Se quiser ver quais contas estão isentas, navegue até Contas isentas para cada recomendação.
Gorjeta
Quando você isenta uma conta, ela não será mostrada como não íntegra e não fará com que uma assinatura pareça não íntegra.
Existem limitações para as proteções de identidade e acesso do Defender for Cloud?
Existem algumas limitações para as proteções de identidade e acesso do Defender for Cloud:
- As recomendações de identidade não estão disponíveis para assinaturas com mais de 6.000 contas. Nesses casos, esses tipos de assinaturas estão listados na guia Não aplicável.
- As recomendações de identidade não estão disponíveis para os agentes administradores do parceiro do Provedor de Soluções na Nuvem (CSP).
- As recomendações de identidade não identificam contas gerenciadas com um sistema de gerenciamento de identidade privilegiado (PIM). Se você estiver usando uma ferramenta PIM, poderá ver resultados imprecisos no controle Gerenciar acesso e permissões .
- As recomendações de identidade não suportam políticas de acesso condicional do Microsoft Entra com Funções de Diretório incluídas em vez de usuários e grupos.
Quais sistemas operacionais para minhas instâncias do EC2 são suportados?
Para obter uma lista das AMIs com o Agente do SSM pré-instalado, consulte esta página nos documentos da AWS.
Para outros sistemas operacionais, o Agente do SSM deve ser instalado manualmente usando as seguintes instruções:
Para o plano CSPM, quais permissões do IAM são necessárias para descobrir recursos da AWS?
As seguintes permissões do IAM são necessárias para descobrir recursos da AWS:
| Coletor de dados | Permissões da AWS |
|---|---|
| Gateway de API | apigateway:GET |
| Auto Scaling de aplicativos | application-autoscaling:Describe* |
| Dimensionamento automático | autoscaling-plans:Describe* autoscaling:Describe* |
| Gestor de certificados | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| Logs do CloudWatch | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Serviço de configuração | config:Describe* config:List* |
| DMS - serviço de migração de banco de dados | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| EC2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB - balanceamento de carga elástico (v1/2) | elasticloadbalancing:Describe* |
| Pesquisa elástica | es:Describe* es:List* |
| EMR - redução de mapa elástico | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| Dever de Guarda | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| Firewall da rede | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift [en] | redshift:Describe* |
| S3 e S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Gestor secreto | secretsmanager:Describe* secretsmanager:List* |
| Serviço de notificação simples SNS | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| STS | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
Existe uma API para conectar meus recursos do GCP ao Defender for Cloud?
Sim. Para criar, editar ou excluir conectores de nuvem do Defender for Cloud com uma API REST, consulte os detalhes da API Connectors.
Quais regiões GCP são suportadas pelo Defender for Cloud?
O Defender for Cloud suporta e verifica todas as regiões disponíveis na nuvem pública do GCP.
A automação do fluxo de trabalho oferece suporte a qualquer cenário de continuidade de negócios ou recuperação de desastres (BCDR)?
Ao preparar seu ambiente para cenários BCDR, em que o recurso de destino está enfrentando uma interrupção ou outro desastre, é responsabilidade da organização evitar a perda de dados estabelecendo backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do espaço de trabalho do Log Analytics e dos Aplicativos Lógicos.
Para cada automação ativa, recomendamos que você crie uma automação idêntica (desativada) e armazene-a em um local diferente. Quando há uma interrupção, você pode habilitar essas automações de backup e manter as operações normais.
Saiba mais sobre continuidade de negócios e recuperação de desastres para Aplicativos Lógicos do Azure.
Quais são os custos envolvidos na exportação de dados?
Não há custo para permitir uma exportação contínua. Podem ser incorridos custos de ingestão e retenção de dados em seu espaço de trabalho do Log Analytics, dependendo da sua configuração lá.
Muitos alertas só são fornecidos quando você ativou os planos do Defender para seus recursos. Uma boa maneira de visualizar os alertas que você recebe em seus dados exportados é ver os alertas mostrados nas páginas do Defender for Cloud no portal do Azure.
Saiba mais sobre os preços da área de trabalho do Log Analytics.
Saiba mais sobre os preços dos Hubs de Eventos do Azure.
Para obter informações gerais sobre os preços do Defender for Cloud, consulte a página de preços.
A exportação contínua inclui dados sobre o estado atual de todos os recursos?
N.º A exportação contínua é criada para streaming de eventos:
- Os alertas recebidos antes de ativar a exportação não são exportados.
- As recomendações são enviadas sempre que o estado de conformidade de um recurso muda. Por exemplo, quando um recurso passa de saudável para insalubre. Portanto, como acontece com os alertas, as recomendações para recursos que não mudaram de estado desde que você habilitou a exportação não serão exportadas.
- A pontuação segura por controle de segurança ou assinatura é enviada quando a pontuação de um controle de segurança é alterada em 0,01 ou mais.
- O status de conformidade regulatória é enviado quando o status de conformidade do recurso muda.
Por que motivo é que as recomendações são enviadas em intervalos diferentes?
Diferentes recomendações têm diferentes intervalos de avaliação de conformidade, que podem variar de poucos minutos a poucos dias. Assim, o tempo necessário para que as recomendações apareçam nas suas exportações varia.
Como posso obter uma consulta de exemplo para uma recomendação?
Para obter um exemplo de consulta para uma recomendação, abra a recomendação no Defender for Cloud, selecione Abrir consulta e, em seguida, selecione Consulta que retorna descobertas de segurança.
A exportação contínua oferece suporte a qualquer cenário de continuidade de negócios ou recuperação de desastres (BCDR)?
A exportação contínua pode ser útil na preparação para cenários BCDR em que o recurso de destino está passando por uma interrupção ou outro desastre. No entanto, é responsabilidade da organização evitar a perda de dados estabelecendo backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do espaço de trabalho do Log Analytics e do Logic App.
Saiba mais em Hubs de Eventos do Azure - Recuperação de desastres geográficos.
Posso atualizar programaticamente vários planos em uma única assinatura simultaneamente?
Não recomendamos a atualização programática de vários planos em uma única assinatura simultaneamente (via API REST, modelos ARM, scripts, etc.). Ao usar a API Microsoft.Security/pricings ou qualquer outra solução programática, você deve inserir um atraso de 10 a 15 segundos entre cada solicitação.