Arquivo para o que há de novo no Defender for Cloud?
Esta página fornece informações sobre recursos, correções e descontinuações com mais de seis meses. Para obter as atualizações mais recentes, leia O que há de novo no Defender for Cloud?.
Setembro de 2023
Painel de segurança de dados disponível em pré-visualização pública
27 de setembro de 2023
O painel de segurança de dados agora está disponível em visualização pública como parte do plano Defender CSPM. O painel de segurança de dados é um painel interativo e centrado em dados que ilumina riscos significativos para dados confidenciais, priorizando alertas e possíveis caminhos de ataque para dados em cargas de trabalho de nuvem híbrida. Saiba mais sobre o painel de segurança de dados.
Versão prévia: Novo processo de provisionamento automático para o SQL Server em máquinas plano
21 de setembro de 2023
O Microsoft Monitoring Agent (MMA) será preterido em agosto de 2024. O Defender for Cloud atualizou sua estratégia substituindo o MMA pelo lançamento de um processo de autoprovisionamento do Agente de Monitoramento do Azure direcionado ao SQL Server.
Durante a visualização, os clientes que estão usando o processo de provisionamento automático do MMA com a opção Azure Monitor Agent (Preview) são solicitados a migrar para o novo processo de autoprovisionamento do Azure Monitoring Agent for SQL Server on machines (Preview). O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.
Para obter mais informações, consulte Migrar para o processo de autoprovisionamento do Agente de Monitoramento do Azure direcionado ao SQL Server.
Alertas do GitHub Advanced Security for Azure DevOps no Defender for Cloud
20 de setembro de 2023
Agora você pode exibir alertas do GitHub Advanced Security for Azure DevOps (GHAzDO) relacionados ao CodeQL, segredos e dependências no Defender for Cloud. Os resultados são exibidos na página DevOps e em Recomendações. Para ver esses resultados, integre seus repositórios habilitados para GHAzDO ao Defender for Cloud.
Saiba mais sobre o GitHub Advanced Security for Azure DevOps.
Funcionalidade isenta agora disponível para recomendações do Defender for APIs
11 de setembro de 2023
Agora você pode isentar as recomendações para as seguintes recomendações de segurança do Defender for APIs.
| Recomendação | Descrição da política relacionada com & | Gravidade |
|---|---|---|
| (Pré-visualização) Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas acidentalmente foram deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | Baixo |
| (Pré-visualização) Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a execução da autenticação por meio das Chaves de Assinatura, JWT e Certificado de Cliente configuradas no Gerenciamento de API do Azure. Se nenhum desses mecanismos de autenticação for executado durante a chamada de API, a API receberá essa recomendação. | Alto |
Saiba mais sobre recomendações de isenção no Defender for Cloud.
Criar alertas de exemplo para deteções do Defender for APIs
11 de setembro de 2023
Agora você pode gerar alertas de exemplo para as deteções de segurança que foram lançadas como parte da visualização pública do Defender for APIs. Saiba mais sobre como gerar alertas de exemplo no Defender for Cloud.
Versão prévia: a avaliação de vulnerabilidade de contêineres fornecida pelo Microsoft Defender Vulnerability Management agora suporta varredura ao pull
6 de setembro de 2023
A avaliação de vulnerabilidade de contêineres fornecida pelo Microsoft Defender Vulnerability Management agora oferece suporte a um gatilho adicional para a verificação de imagens extraídas de um ACR. Este gatilho recém-adicionado fornece cobertura adicional para imagens ativas, além dos gatilhos existentes digitalizando imagens enviadas para um ACR nos últimos 90 dias e imagens atualmente em execução no AKS.
O novo gatilho começará a ser lançado hoje e deverá estar disponível para todos os clientes até o final de setembro.
Formato de nomenclatura atualizado dos padrões do Center for Internet Security (CIS) em conformidade regulatória
6 de setembro de 2023
O formato de nomenclatura dos benchmarks de fundamentos do CIS (Center for Internet Security) no painel de conformidade é alterado de [Cloud] CIS [version number] para CIS [Cloud] Foundations v[version number]. Veja a seguinte tabela:
| Nome Atual | Nome Novo |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Fundações v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Fundações v1.2.0 |
Saiba como melhorar a sua conformidade regulamentar.
Descoberta de dados confidenciais para bancos de dados PaaS (Visualização)
5 de setembro de 2023
Os recursos de postura de segurança com reconhecimento de dados para descoberta de dados confidenciais sem atrito para bancos de dados PaaS (bancos de dados SQL do Azure e instâncias do Amazon RDS de qualquer tipo) agora estão em visualização pública. Essa visualização pública permite que você crie um mapa de seus dados críticos onde quer que eles residam e o tipo de dados encontrados nesses bancos de dados.
A descoberta de dados confidenciais para bancos de dados do Azure e da AWS aumenta a taxonomia e a configuração compartilhadas, que já estão disponíveis publicamente para recursos de armazenamento de objetos na nuvem (Armazenamento de Blobs do Azure, buckets do AWS S3 e buckets de armazenamento do GCP) e fornece uma única experiência de configuração e habilitação.
As bases de dados são analisadas semanalmente. Se você habilitar sensitive data discoveryo , a descoberta será executada dentro de 24 horas. Os resultados podem ser visualizados no Cloud Security Explorer ou revisando os novos caminhos de ataque para bancos de dados gerenciados com dados confidenciais.
A postura de segurança com reconhecimento de dados para bancos de dados está disponível por meio do plano Defender CSPM e é ativada automaticamente em assinaturas em sensitive data discovery que a opção está habilitada.
Você pode saber mais sobre a postura de segurança com reconhecimento de dados nos seguintes artigos:
- Suporte e pré-requisitos para uma postura de segurança com reconhecimento de dados
- Habilite a postura de segurança com reconhecimento de dados
- Explore os riscos para dados confidenciais
Disponibilidade Geral (GA): verificação de malware no Defender for Storage
1 de setembro de 2023
A verificação de malware agora está disponível ao público em geral (GA) como um complemento do Defender for Storage. A verificação de malware no Defender for Storage ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando os recursos do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. O recurso de verificação de malware é uma solução SaaS sem agente que permite a configuração em escala e suporta a automação da resposta em escala.
Saiba mais sobre a verificação de malware no Defender for Storage.
O preço da verificação de malware é calculado de acordo com o seu uso de dados e orçamento. O faturamento começa em 3 de setembro de 2023. Visite a página de preços para obter mais informações.
Se você estiver usando o plano anterior, precisará migrar proativamente para o novo plano para habilitar a verificação de malware.
Leia a postagem do blog de anúncio do Microsoft Defender for Cloud.
Agosto de 2023
As atualizações em agosto incluem:
Defender for Containers: descoberta sem agente para Kubernetes
30 de agosto de 2023
Temos o prazer de apresentar o Defender For Containers: Agentless discovery for Kubernetes. Esta versão marca um avanço significativo na segurança de contêineres, capacitando-o com insights avançados e recursos de inventário abrangentes para ambientes Kubernetes. A nova oferta de contêineres é alimentada pelo gráfico de segurança contextual do Defender for Cloud. Aqui está o que você pode esperar desta última atualização:
- Descoberta do Kubernetes sem agente
- Recursos abrangentes de inventário
- Informações de segurança específicas do Kubernetes
- Caça ao risco aprimorada com o Cloud Security Explorer
A descoberta sem agente para Kubernetes agora está disponível para todos os clientes do Defender For Containers. Você pode começar a usar esses recursos avançados hoje mesmo. Encorajamo-lo a atualizar as suas subscrições para ter o conjunto completo de extensões ativado e beneficiar das mais recentes adições e funcionalidades. Visite o painel Ambiente e configurações da sua assinatura do Defender for Containers para habilitar a extensão.
Nota
Habilitar as adições mais recentes não incorrerá em novos custos para os clientes ativos do Defender for Containers.
Para obter mais informações, consulte Visão geral da segurança de contêineres Microsoft Defender for Containers.
Versão de recomendação: O Microsoft Defender for Storage deve ser habilitado com verificação de malware e deteção de ameaças de dados confidenciais
22 de agosto de 2023
Uma nova recomendação no Defender for Storage foi lançada. Essa recomendação garante que o Defender for Storage esteja habilitado no nível de assinatura com recursos de verificação de malware e deteção de ameaças de dados confidenciais.
| Recomendação | Description |
|---|---|
| O Microsoft Defender for Storage deve ser habilitado com verificação de malware e deteção de ameaças de dados confidenciais | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. Com uma configuração simples sem agente em escala, quando ativada no nível da assinatura, todas as contas de armazenamento existentes e recém-criadas sob essa assinatura serão automaticamente protegidas. Também pode excluir contas de armazenamento específicas de subscrições protegidas. |
Esta nova recomendação substitui a atual recomendação Microsoft Defender for Storage should be enabled (chave de avaliação 1be22853-8ed1-4005-9907-ddad64cb1417). No entanto, essa recomendação ainda estará disponível nas nuvens do Azure Government.
Saiba mais sobre o Microsoft Defender for Storage.
As propriedades estendidas nos alertas de segurança do Defender for Cloud são mascaradas dos registros de atividades
17 de agosto de 2023
Recentemente, alterámos a forma como os alertas de segurança e os registos de atividades são integrados. Para proteger melhor as informações confidenciais dos clientes, não incluímos mais essas informações nos registros de atividades. Em vez disso, mascaramo-lo com asteriscos. No entanto, essas informações ainda estão disponíveis por meio da API de alertas, da exportação contínua e do portal do Defender for Cloud.
Os clientes que dependem de registros de atividades para exportar alertas para suas soluções SIEM devem considerar o uso de uma solução diferente, pois não é o método recomendado para exportar alertas de segurança do Defender for Cloud.
Para obter instruções sobre como exportar alertas de segurança do Defender for Cloud para SIEM, SOAR e outros aplicativos de terceiros, consulte Transmitir alertas para uma solução SIEM, SOAR ou IT Service Management.
Versão prévia do suporte ao GCP no Defender CSPM
15 de agosto de 2023
Estamos anunciando a versão prévia do gráfico de segurança contextual na nuvem do Defender CSPM e da análise de caminho de ataque com suporte para recursos do GCP. Você pode aplicar o poder do Defender CSPM para visibilidade abrangente e segurança inteligente na nuvem em todos os recursos do GCP.
Os principais recursos do nosso suporte GCP incluem:
- Análise de caminho de ataque - Entenda as rotas potenciais que os invasores podem tomar.
- Explorador de segurança na nuvem - Identifique proativamente os riscos de segurança executando consultas baseadas em gráficos no gráfico de segurança.
- Verificação sem agente - Analise servidores e identifique segredos e vulnerabilidades sem instalar um agente.
- Postura de segurança com reconhecimento de dados - Descubra e corrija riscos para dados confidenciais em buckets do Google Cloud Storage.
Saiba mais sobre as opções do plano Defender CSPM.
Novos alertas de segurança no Defender for Servers Plano 2: Detetar potenciais ataques que abusam das extensões de máquina virtual do Azure
7 de agosto de 2023
Esta nova série de alertas concentra-se na deteção de atividades suspeitas de extensões de máquina virtual do Azure e fornece informações sobre as tentativas dos atacantes de comprometer e executar atividades maliciosas nas suas máquinas virtuais.
O Microsoft Defender for Servers agora pode detetar atividades suspeitas das extensões de máquina virtual, permitindo que você obtenha uma melhor cobertura da segurança das cargas de trabalho.
As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por agentes de ameaças para várias intenções maliciosas, por exemplo:
- Para recolha e monitorização de dados.
- Para execução de código e implantação de configuração com altos privilégios.
- Para redefinir credenciais e criar usuários administrativos.
- Para encriptar discos.
Aqui está uma tabela dos novos alertas.
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Falha suspeita ao instalar a extensão GPU na sua subscrição (Pré-visualização) (VM_GPUExtensionSuspiciousFailure) |
Intenção suspeita de instalar uma extensão de GPU em VMs não suportadas. Esta extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, neste caso, as máquinas virtuais não estão equipadas com tal. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações de tal extensão para fins de mineração de criptomoedas. | Impacto | Médio |
| Foi detetada uma instalação suspeita de uma extensão GPU na sua máquina virtual (Pré-visualização) (VM_GPUDriverExtensionUnusualExecution) Este alerta foi lançado em julho de 2023. |
A instalação suspeita de uma extensão de GPU foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking. Esta atividade é considerada suspeita, uma vez que o comportamento do responsável se afasta dos seus padrões habituais. | Impacto | Baixo |
| Executar comando com um script suspeito foi detetado em sua máquina virtual (visualização) (VM_RunCommandSuspiciousScript) |
Um Comando Executar com um script suspeito foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execução | Alto |
| Foi detetada uma utilização suspeita não autorizada do Comando de Execução na sua máquina virtual (Pré-visualização) (VM_RunCommandSuspiciousFailure) |
O uso suspeito não autorizado do Run Command falhou e foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem tentar usar o Comando Executar para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes. | Execução | Médio |
| O uso suspeito do Comando de Execução foi detetado em sua máquina virtual (Visualização) (VM_RunCommandSuspiciousUsage) |
O uso suspeito do Run Command foi detetado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Gerenciador de Recursos do Azure. Esta atividade é considerada suspeita, pois não foi comumente vista antes. | Execução | Baixo |
| Foi detetada uma utilização suspeita de várias extensões de monitorização ou recolha de dados nas suas máquinas virtuais (Pré-visualização) (VM_SuspiciousMultiExtensionUsage) |
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Este uso é considerado suspeito, pois não foi comumente visto antes. | Reconhecimento | Médio |
| Foi detetada uma instalação suspeita de extensões de encriptação de disco nas suas máquinas virtuais (Pré-visualização) (VM_DiskEncryptionSuspiciousUsage) |
A instalação suspeita de extensões de criptografia de disco foi detetada em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem abusar da extensão de encriptação de disco para implementar encriptações de disco completas nas suas máquinas virtuais através do Azure Resource Manager numa tentativa de executar atividade de ransomware. Esta atividade é considerada suspeita, pois não foi comumente vista antes e devido ao alto número de instalações de extensão. | Impacto | Médio |
| Foi detetada uma utilização suspeita da extensão VM Access nas suas máquinas virtuais (Pré-visualização) (VM_VMAccessSuspiciousUsage) |
O uso suspeito da extensão VM Access foi detetado em suas máquinas virtuais. Os invasores podem abusar da extensão VM Access para obter acesso e comprometer suas máquinas virtuais com altos privilégios redefinindo o acesso ou gerenciando usuários administrativos. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão. | Persistência | Médio |
| A extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detetada na máquina virtual (Pré-visualização) (VM_DSCExtensionSuspiciousScript) |
A extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execução | Alto |
| Foi detetada uma utilização suspeita de uma extensão de Configuração de Estado Desejado (DSC) nas suas máquinas virtuais (Pré-visualização) (VM_DSCExtensionSuspiciousUsage) |
O uso suspeito de uma extensão DSC (Configuração de Estado Desejado) foi detetado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Configuração de Estado Desejado) para implantar configurações maliciosas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Esta atividade é considerada suspeita, uma vez que o comportamento da entidade de segurança se afasta dos seus padrões habituais e devido ao elevado número de instalações de extensão. | Impacto | Baixo |
| Foi detetada uma extensão de script personalizada com um script suspeito na sua máquina virtual (Pré-visualização) (VM_CustomScriptExtensionSuspiciousCmd) (Este alerta já existe e foi melhorado com métodos lógicos e de deteção mais avançados.) |
A extensão de script personalizada com um script suspeito foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Gerenciador de Recursos do Azure. O script é considerado suspeito, pois certas partes foram identificadas como sendo potencialmente maliciosas. | Execução | Alto |
Consulte os alertas baseados em extensão no Defender for Servers.
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender for Cloud.
Modelo de negócios e atualizações de preços para os planos do Defender for Cloud
1 de agosto de 2023
O Microsoft Defender for Cloud tem três planos que oferecem proteção da camada de serviço:
Defender for Key Vault
Defender for Resource Manager
Defender para DNS
Esses planos fizeram a transição para um novo modelo de negócios com preços e embalagens diferentes para atender ao feedback dos clientes em relação à previsibilidade de gastos e simplificação da estrutura geral de custos.
Modelo de negócio e resumo das alterações de preços:
Os clientes existentes do Defender for Key-Vault, do Defender for Resource Manager e do Defender for DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender for Resource Manager: Este plano tem um preço fixo por subscrição por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender for Resource Manager.
Os clientes existentes do Defender for Key-Vault, do Defender for Resource Manager e do Defender for DNS mantêm seu modelo de negócios e preços atuais, a menos que optem ativamente por mudar para o novo modelo de negócios e preço.
- Defender for Resource Manager: Este plano tem um preço fixo por subscrição por mês. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo por assinatura do Defender for Resource Manager.
- Defender for Key Vault: Este plano tem um preço fixo por cofre, por mês, sem cobrança de sobrecarga. Os clientes podem mudar para o novo modelo de negócios selecionando o novo modelo do Defender for Key Vault por cofre
- Defender for DNS: Os clientes do Defender for Servers Plan 2 obtêm acesso ao valor do Defender for DNS como parte do Defender for Servers Plan 2 sem nenhum custo extra. Os clientes que têm o Defender for Server Plan 2 e o Defender for DNS não são mais cobrados pelo Defender for DNS. O Defender for DNS não está mais disponível como um plano autônomo.
Saiba mais sobre os preços desses planos na página de preços do Defender for Cloud.
Julho de 2023
As atualizações em julho incluem:
Versão prévia da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender
31 de julho de 2023
Estamos anunciando o lançamento da Avaliação de Vulnerabilidade (VA) para imagens de contêiner do Linux em registros de contêiner do Azure com tecnologia Microsoft Defender Vulnerability Management no Defender for Containers e Defender for Container Registries. A nova oferta de VA de contêiner será fornecida juntamente com nossa oferta existente de VA de contêiner alimentada pela Qualys no Defender for Containers e no Defender for Container Registries, e incluirá revarreduras diárias de imagens de contêineres, informações de exploração, suporte para SO e linguagens de programação (SCA) e muito mais.
Esta nova oferta começará a ser lançada hoje e espera-se que esteja disponível para todos os clientes até 7 de agosto.
Saiba mais sobre a avaliação de vulnerabilidade de contêiner com o Gerenciamento de Vulnerabilidades do Microsoft Defender.
A postura do contêiner sem agente no Defender CSPM agora está disponível para o público em geral
30 de julho de 2023
Os recursos de postura de contêiner sem agente agora estão geralmente disponíveis (GA) como parte do plano Defender CSPM (Cloud Security Posture Management).
Saiba mais sobre a postura de contêiner sem agente no Defender CSPM.
Gerenciamento de atualizações automáticas para o Defender for Endpoint for Linux
20 de julho de 2023
Por padrão, o Defender for Cloud tenta atualizar seus agentes do Defender for Endpoint para Linux integrados com a MDE.Linux extensão. Com esta versão, você pode gerenciar essa configuração e desativar a configuração padrão para gerenciar seus ciclos de atualização manualmente.
Saiba como gerenciar a configuração de atualizações automáticas para Linux.
Verificação de segredos sem agente para máquinas virtuais no Defender para servidores P2 & Defender CSPM
18 de julho de 2023
A verificação de segredos agora está disponível como parte da verificação sem agente no Defender for Servers P2 e no Defender CSPM. Esse recurso ajuda a detetar segredos não gerenciados e inseguros salvos em máquinas virtuais no Azure ou em recursos da AWS que podem ser usados para se mover lateralmente na rede. Se forem detetados segredos, o Defender for Cloud pode ajudar a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimentos laterais, tudo sem afetar o desempenho da sua máquina.
Para obter mais informações sobre como proteger seus segredos com a verificação de segredos, consulte Gerenciar segredos com a verificação de segredos sem agente.
Novo alerta de segurança no plano 2 do Defender for Servers: detetar possíveis ataques aproveitando as extensões de driver de GPU da VM do Azure
12 de julho de 2023
Este alerta se concentra na identificação de atividades suspeitas aproveitando as extensões de driver de GPU da máquina virtual do Azure e fornece informações sobre as tentativas dos invasores de comprometer suas máquinas virtuais. O alerta tem como alvo implantações suspeitas de extensões de driver de GPU; tais extensões são frequentemente abusadas por agentes de ameaças para utilizar todo o poder da placa GPU e executar cryptojacking.
| Nome de exibição do alerta (Tipo de alerta) |
Description | Gravidade | Tática MITRE |
|---|---|---|---|
| Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização) (VM_GPUDriverExtensionUnusualExecution) |
A instalação suspeita de uma extensão de GPU foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking. | Baixo | Impacto |
Para obter uma lista completa de alertas, consulte a tabela de referência para todos os alertas de segurança no Microsoft Defender for Cloud.
Suporte para desativar descobertas de vulnerabilidade específicas
9 de julho de 2023
Liberação do suporte para desabilitar descobertas de vulnerabilidade para suas imagens de registro de contêiner ou executar imagens como parte da postura de contêiner sem agente. Se você tiver uma necessidade organizacional de ignorar uma descoberta de vulnerabilidade na imagem do registro do contêiner, em vez de corrigi-la, opcionalmente poderá desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Saiba como desativar as descobertas de avaliação de vulnerabilidade em imagens do Registro de contêiner.
A postura de segurança com reconhecimento de dados agora está disponível ao público em geral
1 de julho de 2023
A postura de segurança com reconhecimento de dados no Microsoft Defender for Cloud agora está disponível ao público em geral. Ele ajuda os clientes a reduzir o risco de dados e responder a violações de dados. Com a postura de segurança com deteção de dados, pode:
- Descubra automaticamente recursos de dados confidenciais no Azure e na AWS.
- Avalie a sensibilidade dos dados, a exposição dos dados e como os dados fluem pela organização.
- Descubra de forma proativa e contínua os riscos que podem levar a violações de dados.
- Detetar atividades suspeitas que possam indicar ameaças contínuas a recursos de dados confidenciais
Para obter mais informações, consulte Postura de segurança com reconhecimento de dados no Microsoft Defender for Cloud.
Junho de 2023
As atualizações em junho incluem:
Integração simplificada de contas multicloud com configurações aprimoradas
26 de junho de 2023
O Defender for Cloud melhorou a experiência de integração para incluir uma nova interface de usuário simplificada e instruções, além de novos recursos que permitem integrar seus ambientes AWS e GCP enquanto fornecem acesso a recursos avançados de integração.
Para organizações que adotaram o Hashicorp Terraform para automação, o Defender for Cloud agora inclui a capacidade de usar o Terraform como método de implantação ao lado do AWS CloudFormation ou do GCP Cloud Shell. Agora você pode personalizar os nomes de função necessários ao criar a integração. Você também pode selecionar entre:
Acesso padrão - Permite que o Defender for Cloud analise seus recursos e inclua automaticamente recursos futuros.
Acesso menos privilegiado - Concede ao Defender for Cloud acesso apenas às permissões atuais necessárias para os planos selecionados.
Se você selecionar as permissões menos privilegiadas, receberá notificações apenas sobre quaisquer novas funções e permissões necessárias para obter funcionalidade completa na integridade do conector.
O Defender for Cloud permite que você distinga entre suas contas de nuvem por seus nomes nativos dos fornecedores de nuvem. Por exemplo, aliases de conta da AWS e nomes de projetos do GCP.
Suporte de ponto final privado para verificação de malware no Defender for Storage
25 de junho de 2023
O suporte ao Private Endpoint agora está disponível como parte da visualização pública da Verificação de Malware no Defender for Storage. Esse recurso permite habilitar a verificação de malware em contas de armazenamento que estão usando pontos de extremidade privados. Nenhuma outra configuração é necessária.
A verificação de malware (visualização) no Defender for Storage ajuda a proteger suas contas de armazenamento contra conteúdo mal-intencionado, executando uma verificação completa de malware no conteúdo carregado quase em tempo real, usando os recursos do Microsoft Defender Antivírus. Ele foi projetado para ajudar a cumprir os requisitos de segurança e conformidade para lidar com conteúdo não confiável. É uma solução SaaS sem agente que permite uma configuração simples em escala, com manutenção zero, e suporta a automatização da resposta em escala.
Os pontos de extremidade privados fornecem conectividade segura aos seus serviços de Armazenamento do Azure, eliminando efetivamente a exposição pública à Internet, e são considerados uma prática recomendada de segurança.
Para contas de armazenamento com pontos de extremidade privados que já têm a Verificação de Malware habilitada, você precisará desativar e habilitar o plano com a Verificação de Malware para que isso funcione.
Saiba mais sobre como usar endpoints privados no Defender for Storage e como proteger ainda mais seus serviços de armazenamento.
Recomendação liberada para visualização: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia do Microsoft Defender Vulnerability Management)
21 de junho de 2023
Uma nova recomendação de contêiner no Defender CSPM com tecnologia Microsoft Defender Vulnerability Management foi lançada para visualização:
| Recomendação | Description | Chave de avaliação |
|---|---|---|
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management)(Preview) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | C609CF0F-71AB-41E9-A3C6-9A1F7FE1B8D5 |
Esta nova recomendação substitui a atual recomendação de mesmo nome, alimentada pela Qualys, apenas no Defender CSPM (substituindo a chave de avaliação 41503391-efa5-47ee-9282-4eff6131462c).
Foram feitas atualizações de controle para os padrões NIST 800-53 em conformidade regulatória
15 de junho de 2023
Os padrões NIST 800-53 (R4 e R5) foram recentemente atualizados com alterações de controle na conformidade regulatória do Microsoft Defender for Cloud. Os controles gerenciados pela Microsoft foram removidos do padrão e as informações sobre a implementação de responsabilidade da Microsoft (como parte do modelo de responsabilidade compartilhada na nuvem) agora estão disponíveis apenas no painel de detalhes do controle em Ações da Microsoft.
Esses controles foram calculados anteriormente como controles aprovados, portanto, você pode ver uma queda significativa em sua pontuação de conformidade para os padrões NIST entre abril de 2023 e maio de 2023.
Para obter mais informações sobre controles de conformidade, consulte Tutorial: Verificações de conformidade regulatória - Microsoft Defender for Cloud.
O planejamento da migração para a nuvem com um caso de negócios do Azure Migrate agora inclui o Defender for Cloud
11 de junho de 2023
Agora você pode descobrir possíveis economias de custos em segurança aplicando o Defender for Cloud no contexto de um caso de negócios do Azure Migrate.
A configuração expressa para avaliações de vulnerabilidade no Defender for SQL agora está disponível para o público em geral
7 de junho de 2023
A configuração expressa para avaliações de vulnerabilidade no Defender for SQL agora está disponível ao público em geral. A configuração Express fornece uma experiência de integração simplificada para avaliações de vulnerabilidade SQL usando uma configuração de um clique (ou uma chamada de API). Não são necessárias configurações ou dependências extras em contas de armazenamento gerenciado.
Confira este blog para saber mais sobre a configuração expressa.
Você pode aprender as diferenças entre a configuração expressa e clássica.
Mais escopos adicionados aos Conectores de DevOps do Azure existentes
6 de junho de 2023
O Defender for DevOps adicionou os seguintes escopos extras ao aplicativo Azure DevOps (ADO):
Gestão de Segurança Avançada:
vso.advsec_manage. O que é necessário para permitir que você habilite, desative e gerencie o GitHub Advanced Security for ADO.Mapeamento de contêineres:
vso.extension_manage,vso.gallery_manager; O que é necessário para permitir que você compartilhe a extensão do decorador com a organização ADO.
Somente os novos clientes do Defender for DevOps que estão tentando integrar recursos do ADO ao Microsoft Defender for Cloud são afetados por essa alteração.
A integração direta (sem o Azure Arc) ao Defender for Servers agora está disponível para o público em geral
5 de junho de 2023
Anteriormente, o Azure Arc era necessário integrar servidores que não eram do Azure ao Defender for Servers. No entanto, com a versão mais recente, você também pode integrar seus servidores locais ao Defender for Servers usando apenas o agente do Microsoft Defender for Endpoint.
Esse novo método simplifica o processo de integração para clientes focados na proteção de endpoint principal e permite que você aproveite a cobrança baseada no consumo do Defender for Servers para ativos na nuvem e fora da nuvem. A opção de integração direta via Defender for Endpoint já está disponível, com faturamento para máquinas embarcadas a partir de 1º de julho.
Para obter mais informações, consulte Conectar suas máquinas que não são do Azure ao Microsoft Defender for Cloud com o Defender for Endpoint.
Substituindo a descoberta baseada em agente pela descoberta sem agente para recursos de contêineres no Defender CSPM
4 de junho de 2023
Com os recursos de postura de contêiner sem agente disponíveis no Defender CSPM, os recursos de descoberta baseados em agente agora foram desativados. Se você usa atualmente recursos de contêiner no Defender CSPM, certifique-se de que as extensões relevantes estejam habilitadas para continuar recebendo o valor relacionado ao contêiner dos novos recursos sem agente, como caminhos de ataque relacionados ao contêiner, insights e inventário. (Pode levar até 24 horas para ver os efeitos de ativar as extensões).
Saiba mais sobre a postura do recipiente sem agente.
Maio de 2023
As atualizações podem incluir:
- Um novo alerta no Defender for Key Vault.
- Suporte para varredura sem agente de discos criptografados na AWS.
- Alterações nas convenções de nomenclatura de regras JIT (Just-In-Time) no Defender for Cloud.
- A integração de regiões selecionadas da AWS.
- Alterações nas recomendações de identidade.
- Descontinuação de padrões legados no painel de conformidade.
- Atualização de duas recomendações do Defender for DevOps para incluir descobertas de verificação do Azure DevOps.
- Nova configuração padrão para a solução de avaliação de vulnerabilidades do Defender for Servers.
- Capacidade de baixar um relatório CSV dos resultados da consulta do explorador de segurança na nuvem (Visualização).
- O lançamento da avaliação de vulnerabilidade de contêineres com o Microsoft Defender Vulnerability Management.
- A renomeação de recomendações de contêineres alimentado por Qualys.
- Uma atualização para o aplicativo GitHub do Defender for DevOps.
- Mude para anotações de solicitação pull do Defender for DevOps nos repositórios de DevOps do Azure que agora incluem Infraestrutura como configurações incorretas de código.
Novo alerta no Defender for Key Vault
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Acesso incomum ao cofre de chaves a partir de um IP suspeito (não Microsoft ou externo) (KV_UnusualAccessSuspiciousIP) |
Um usuário ou entidade de serviço tentou acesso anômalo a cofres de chaves de um IP que não seja da Microsoft nas últimas 24 horas. Este padrão de acesso anômalo pode ser uma atividade legítima. Pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Acesso a credenciais | Médio |
Para todos os alertas disponíveis, consulte Alertas para o Cofre de Chaves do Azure.
A verificação sem agente agora oferece suporte a discos criptografados na AWS
A verificação sem agente para VMs agora oferece suporte ao processamento de instâncias com discos criptografados na AWS, usando CMK e PMK.
Esse suporte estendido aumenta a cobertura e a visibilidade sobre sua propriedade na nuvem sem afetar suas cargas de trabalho em execução. O suporte para discos criptografados mantém o mesmo método de impacto zero em instâncias em execução.
- Para novos clientes que permitem a verificação sem agente na AWS, a cobertura de discos criptografados é incorporada e suportada por padrão.
- Para clientes existentes que já têm um conector da AWS com a verificação sem agente habilitada, você precisa reaplicar a pilha do CloudFormation às suas contas da AWS integradas para atualizar e adicionar as novas permissões necessárias para processar discos criptografados. O modelo atualizado do CloudFormation inclui novas atribuições que permitem que o Defender for Cloud processe discos criptografados.
Você pode saber mais sobre as permissões usadas para verificar instâncias da AWS.
Para reaplicar sua pilha do CloudFormation:
- Vá para Configurações do ambiente do Defender for Cloud e abra o conector da AWS.
- Navegue até a guia Configurar acesso .
- Selecione Clique para baixar o modelo do CloudFormation.
- Navegue até seu ambiente da AWS e aplique o modelo atualizado.
Saiba mais sobre a varredura sem agente e como habilitar a varredura sem agente na AWS.
Convenções de nomenclatura de regras JIT (Just-In-Time) revisadas no Defender for Cloud
Revisamos as regras JIT (Just-In-Time) para alinhá-las com a marca Microsoft Defender for Cloud. Alteramos as convenções de nomenclatura para as regras do Firewall do Azure e do NSG (Grupo de Segurança de Rede).
As alterações estão listadas da seguinte forma:
| Description | Nome Antigo | Nome Novo |
|---|---|---|
| Nomes de regras JIT (permitir e negar) no NSG (Grupo de Segurança de Rede) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Descrições das regras JIT no NSG | Regra de acesso à rede ASC JIT | Regra de acesso à rede JIT MDC |
| Nomes de coleção de regras de firewall JIT | ASC-JIT | MDC-JIT |
| Nomes de regras de firewall JIT | ASC-JIT | MDC-JIT |
Saiba como proteger suas portas de gerenciamento com acesso Just-In-Time.
Integre regiões selecionadas da AWS
Para ajudá-lo a gerenciar os custos e as necessidades de conformidade do AWS CloudTrail, agora você pode selecionar quais regiões da AWS digitalizar ao adicionar ou editar um conector de nuvem. Agora você pode verificar regiões específicas da AWS selecionadas ou todas as regiões disponíveis (padrão) ao integrar suas contas da AWS ao Defender for Cloud. Saiba mais em Conecte sua conta da AWS ao Microsoft Defender for Cloud.
Várias alterações nas recomendações de identidade
As recomendações a seguir agora são lançadas como Disponibilidade Geral (GA) e estão substituindo as recomendações V1 que agora foram preteridas.
Versão de disponibilidade geral (GA) de recomendações de identidade V2
A versão V2 das recomendações de identidade introduz os seguintes aprimoramentos:
- O escopo da verificação foi expandido para incluir todos os recursos do Azure, não apenas assinaturas. Isso permite que os administradores de segurança visualizem atribuições de função por conta.
- Contas específicas podem agora ser isentas de avaliação. Contas como quebra-vidros ou contas de serviço podem ser excluídas pelos administradores de segurança.
- A frequência de varredura foi aumentada de 24 horas para 12 horas, garantindo assim que as recomendações de identidade sejam mais atualizadas e precisas.
As seguintes recomendações de segurança estão disponíveis no GA e substituem as recomendações V1:
| Recomendação | Chave de avaliação |
|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | 6240402E-F77C-46FA-9060-A7CE53997754 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | 050AC097-3DDA-4D24-AB6D-82568E7A50CF |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Descontinuação das recomendações de identidade V1
As seguintes recomendações de segurança foram preteridas:
| Recomendação | Chave de avaliação |
|---|---|
| O MFA deve ser habilitado em contas com permissões de proprietário em assinaturas. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| O MFA deve ser habilitado em contas com permissões de gravação em assinaturas. | 57E98606-6B1E-6193-0E3D-FE621387C16B |
| O MFA deve ser habilitado em contas com permissões de leitura em assinaturas. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Contas externas com permissões de proprietário devem ser removidas das assinaturas. | C3B6AE71-F1F0-31B4-E6C1-D5951285D03D |
| Contas externas com permissões de gravação devem ser removidas das assinaturas. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Contas externas com permissões de leitura devem ser removidas das assinaturas. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Contas preteridas com permissões de proprietário devem ser removidas das assinaturas. | E52064AA-6853-E252-A11E-DFFC675689C2 |
| Contas preteridas devem ser removidas de assinaturas | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Recomendamos atualizar seus scripts personalizados, fluxos de trabalho e regras de governança para corresponder às recomendações da V2.
Descontinuação de padrões herdados no painel de conformidade
O PCI DSS v3.2.1 herdado e o TSP SOC herdado foram totalmente preteridos no painel de conformidade do Defender for Cloud e substituídos pela iniciativa SOC 2 Tipo 2 e pelos padrões de conformidade baseados na iniciativa PCI DSS v4 . Temos suporte totalmente preterido do padrão/iniciativa PCI DSS no Microsoft Azure operado pela 21Vianet.
Saiba como personalizar o conjunto de normas no seu painel de conformidade regulamentar.
Duas recomendações do Defender for DevOps agora incluem descobertas da verificação do Azure DevOps
O Defender for DevOps Code e o IaC expandiram sua cobertura de recomendações no Microsoft Defender for Cloud para incluir as descobertas de segurança do Azure DevOps para as duas recomendações a seguir:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Anteriormente, a cobertura da verificação de segurança do Azure DevOps incluía apenas a recomendação de segredos.
Saiba mais sobre o Defender for DevOps.
Nova configuração padrão para a solução de avaliação de vulnerabilidade do Defender for Servers
As soluções de avaliação de vulnerabilidade (VA) são essenciais para proteger as máquinas de ciberataques e violações de dados.
O Gerenciamento de Vulnerabilidades do Microsoft Defender agora está habilitado como a solução interna padrão para todas as assinaturas protegidas pelo Defender for Servers que ainda não têm uma solução VA selecionada.
Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes dessa assinatura. Você pode optar por habilitar uma solução VA nas VMs restantes em suas assinaturas.
Transferir um relatório CSV dos resultados da consulta do explorador de segurança na nuvem (Pré-visualização)
O Defender for Cloud adicionou a capacidade de baixar um relatório CSV dos resultados da consulta do explorador de segurança na nuvem.
Depois de executar uma pesquisa para uma consulta, você pode selecionar o botão Baixar relatório CSV (Visualização) na página Cloud Security Explorer no Defender for Cloud.
Saiba como criar consultas com o explorador de segurança na nuvem
A liberação da avaliação de vulnerabilidade de contêineres com o Gerenciamento de Vulnerabilidades do Microsoft Defender
Estamos anunciando o lançamento da Avaliação de Vulnerabilidade para imagens do Linux em registros de contêiner do Azure com tecnologia Microsoft Defender Vulnerability Management no Defender CSPM. Esta versão inclui a digitalização diária de imagens. As descobertas usadas no Security Explorer e nos caminhos de ataque dependem da Avaliação de Vulnerabilidade do Microsoft Defender, em vez do mecanismo de varredura Qualys.
A recomendação Container registry images should have vulnerability findings resolved existente é substituída por uma nova recomendação:
| Recomendação | Description | Chave de avaliação |
|---|---|---|
| As imagens do Registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | DBD0CB49-B563-45E7-9724-889E799FA648 é substituído por C0B7CFC6-3172-465A-B378-53C7FF2CC0D5. |
Saiba mais sobre a postura de contêineres sem agente no Defender CSPM.
Saiba mais sobre o Gerenciamento de Vulnerabilidades do Microsoft Defender.
Renomeando recomendações de contêineres com tecnologia Qualys
As recomendações atuais de contêiner no Defender for Containers serão renomeadas da seguinte maneira:
| Recomendação | Description | Chave de avaliação |
|---|---|---|
| As imagens do registro de contêiner devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | DBD0CB49-B563-45E7-9724-889E799FA648 |
| A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Qualys) | A avaliação de vulnerabilidade de imagem de contêiner verifica imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. | 41503391-EFA5-47EE-9282-4EFF6131462C |
Atualização do aplicativo Defender for DevOps GitHub
O Microsoft Defender for DevOps está constantemente fazendo alterações e atualizações que exigem que os clientes do Defender for DevOps que integraram seus ambientes GitHub no Defender for Cloud forneçam permissões como parte do aplicativo implantado em sua organização do GitHub. Essas permissões são necessárias para garantir que todos os recursos de segurança do Defender for DevOps funcionem normalmente e sem problemas.
Sugerimos atualizar as permissões o mais rápido possível para garantir o acesso contínuo a todos os recursos disponíveis do Defender for DevOps.
As permissões podem ser concedidas de duas maneiras diferentes:
Na sua organização, selecione Aplicativos GitHub. Localize Sua organização e selecione Revisar solicitação.
Você receberá um e-mail automatizado do Suporte do GitHub. No e-mail, selecione Rever pedido de permissão para aceitar ou rejeitar esta alteração.
Depois de seguir qualquer uma dessas opções, você será navegado para a tela de revisão, onde deverá analisar a solicitação. Selecione Aceitar novas permissões para aprovar a solicitação.
Se precisar de assistência para atualizar permissões, você pode criar uma solicitação de suporte do Azure.
Você também pode saber mais sobre o Defender for DevOps. Se uma assinatura tiver uma solução VA habilitada em qualquer uma de suas VMs, nenhuma alteração será feita e o Gerenciamento de Vulnerabilidades do Microsoft Defender não será habilitado por padrão nas VMs restantes dessa assinatura. Você pode optar por habilitar uma solução VA nas VMs restantes em suas assinaturas.
As anotações do Defender for DevOps Pull Request nos repositórios do Azure DevOps agora incluem Infraestrutura como configurações incorretas de código
O Defender for DevOps expandiu sua cobertura de anotação de solicitação pull (PR) no Azure DevOps para incluir configurações incorretas de infraestrutura como código (IaC) que são detetadas nos modelos do Azure Resource Manager e Bicep.
Os desenvolvedores agora podem ver anotações para configurações incorretas do IaC diretamente em seus PRs. Os desenvolvedores também podem corrigir problemas críticos de segurança antes que a infraestrutura seja provisionada em cargas de trabalho na nuvem. Para simplificar a correção, os desenvolvedores recebem um nível de gravidade, uma descrição de configuração incorreta e instruções de correção em cada anotação.
Anteriormente, a cobertura das anotações PR do Defender for DevOps no Azure DevOps incluía apenas segredos.
Saiba mais sobre o Defender for DevOps e as anotações Pull Request.
Abril de 2023
As atualizações em abril incluem:
- Postura de contêiner sem agente no Defender CSPM (Visualização)
- Nova recomendação de pré-visualização da Encriptação Unificada de Disco
- Alterações na recomendação As máquinas devem ser configuradas de forma segura
- Descontinuação das políticas de monitoramento de idioma do Serviço de Aplicativo
- Novo alerta no Defender for Resource Manager
- Três alertas no plano do Defender for Resource Manager foram preteridos
- A exportação automática de alertas para o espaço de trabalho do Log Analytics foi preterida
- Descontinuação e melhoria de alertas selecionados para servidores Windows e Linux
- Novas recomendações relacionadas à autenticação do Azure Ative Directory para os Serviços de Dados do Azure
- Duas recomendações relacionadas a atualizações ausentes do sistema operacional (SO) foram lançadas para o GA
- Defender para APIs (Visualização)
Postura de contêiner sem agente no Defender CSPM (Visualização)
Os novos recursos Agentless Container Posture (Preview) estão disponíveis como parte do plano Defender CSPM (Cloud Security Posture Management).
O Agentless Container Posture permite que as equipes de segurança identifiquem riscos de segurança em contêineres e reinos do Kubernetes. Uma abordagem sem agente permite que as equipes de segurança obtenham visibilidade de seus registros de Kubernetes e contêineres em SDLC e tempo de execução, removendo o atrito e a pegada das cargas de trabalho.
O Agentless Container Posture oferece avaliações de vulnerabilidade de contêiner que, combinadas com a análise de caminho de ataque, permitem que as equipes de segurança priorizem e ampliem vulnerabilidades específicas de contêineres. Você também pode usar o explorador de segurança na nuvem para descobrir riscos e procurar informações sobre a postura do contêiner, como a descoberta de aplicativos que executam imagens vulneráveis ou expostas à Internet.
Saiba mais em Agentless Container Posture (Preview).
Recomendação de criptografia de disco unificada (visualização)
Há novas recomendações de criptografia de disco unificada na visualização.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Essas recomendações substituem Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, que detetou a Criptografia de Disco do Azure e a política Virtual machines and virtual machine scale sets should have encryption at host enabled, que detetou EncryptionAtHost. ADE e EncryptionAtHost fornecem criptografia comparável em cobertura de repouso, e recomendamos habilitar um deles em cada máquina virtual. As novas recomendações detetam se o ADE ou o EncryptionAtHost estão habilitados e só avisam se nenhum deles estiver habilitado. Também avisamos se o ADE está habilitado em alguns, mas não em todos os discos de uma VM (essa condição não é aplicável a EncryptionAtHost).
As novas recomendações exigem a Configuração de Máquina de Gerenciamento Automático do Azure.
Estas recomendações baseiam-se nas seguintes políticas:
- (Pré-visualização) As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost
- (Pré-visualização) As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost
Saiba mais sobre ADE e EncryptionAtHost e como habilitar um deles.
Alterações na recomendação As máquinas devem ser configuradas de forma segura
A recomendação Machines should be configured securely foi atualizada. A atualização melhora o desempenho e a estabilidade da recomendação e alinha sua experiência com o comportamento genérico das recomendações do Defender for Cloud.
Como parte desta atualização, o ID da recomendação foi alterado de 181ac480-f7c4-544b-9865-11b8ffe87f47 para c476dc48-8110-4139-91af-c8d940896b98.
Nenhuma ação é necessária do lado do cliente e não há efeito esperado na pontuação segura.
Descontinuação das políticas de monitoramento de idioma do Serviço de Aplicativo
As seguintes políticas de monitoramento de idioma do Serviço de Aplicativo foram preteridas devido à sua capacidade de gerar falsos negativos e porque não fornecem melhor segurança. Deve sempre certificar-se de que está a utilizar uma versão linguística sem vulnerabilidades conhecidas.
| Nome da política | ID da Política |
|---|---|
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar a 'versão Java' mais recente | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Os aplicativos do Serviço de Aplicativo que usam Python devem usar a 'versão do Python' mais recente | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos funcionais que usam Java devem usar a 'versão Java' mais recente | 9D0B6EA4-93E2-4578-BF2F-6BB17D22B4BC |
| Os aplicativos de função que usam Python devem usar a 'versão Python' mais recente | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar a 'versão do PHP' mais recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
Os clientes podem usar políticas internas alternativas para monitorar qualquer versão de idioma especificado para seus Serviços de Aplicativo.
Essas políticas não estão mais disponíveis nas recomendações integradas do Defender for Cloud. Você pode adicioná-los como recomendações personalizadas para que o Defender for Cloud os monitore.
Novo alerta no Defender for Resource Manager
O Defender for Resource Manager tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| PREVIEW - Criação suspeita de recursos computacionais detetada (ARM_SuspiciousComputeCreation) |
O Microsoft Defender for Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Escala do Azure. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que o principal está comprometido e está sendo usado com intenção maliciosa. |
Impacto | Médio |
Você pode ver uma lista de todos os alertas disponíveis para o Gerenciador de Recursos.
Três alertas no plano do Defender for Resource Manager foram preteridos
Os três alertas a seguir para o plano do Defender for Resource Manager foram preteridos:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Em um cenário em que a atividade de um endereço IP suspeito é detetada, um dos seguintes alertas do Defenders for Resource Manager alerta Azure Resource Manager operation from suspicious IP address ou Azure Resource Manager operation from suspicious proxy IP address estará presente.
A exportação automática de alertas para o espaço de trabalho do Log Analytics foi preterida
Os alertas de segurança do Defenders for Cloud são exportados automaticamente para um espaço de trabalho padrão do Log Analytics no nível do recurso. Isso causa um comportamento indeterminista e, portanto, preterimos esse recurso.
Em vez disso, você pode exportar seus alertas de segurança para um espaço de trabalho dedicado do Log Analytics com a Exportação Contínua.
Se você já configurou a exportação contínua de seus alertas para um espaço de trabalho do Log Analytics, nenhuma ação adicional será necessária.
Descontinuação e melhoria de alertas selecionados para servidores Windows e Linux
O processo de melhoria da qualidade do alerta de segurança para o Defender for Servers inclui a substituição de alguns alertas para servidores Windows e Linux. Os alertas preteridos agora são originados e cobertos pelos alertas de ameaça do Defender for Endpoint.
Se você já tiver a integração do Defender for Endpoint habilitada, nenhuma ação adicional será necessária. Você pode experimentar uma diminuição no volume de alertas em abril de 2023.
Se você não tiver a integração do Defender for Endpoint habilitada no Defender for Servers, precisará habilitar a integração do Defender for Endpoint para manter e melhorar sua cobertura de alerta.
Todos os clientes do Defender for Servers têm acesso total à integração do Defender for Endpoint como parte do plano Defender for Servers.
Você pode saber mais sobre as opções de integração do Microsoft Defender for Endpoint.
Você também pode exibir a lista completa de alertas que estão definidos para serem preteridos.
Leia o blog do Microsoft Defender for Cloud.
Novas recomendações relacionadas à autenticação do Azure Ative Directory para os Serviços de Dados do Azure
Adicionámos quatro novas recomendações de autenticação do Azure Ative Directory para os Serviços de Dados do Azure.
| Nome da recomendação | Descrição da recomendação | Política |
|---|---|---|
| O modo de autenticação da Instância Gerenciada SQL do Azure deve ser Somente o Azure Ative Directory | Desabilitar métodos de autenticação local e permitir apenas a Autenticação do Ative Directory do Azure melhora a segurança, garantindo que as Instâncias Gerenciadas SQL do Azure possam ser acessadas exclusivamente pelas identidades do Azure Ative Directory. | A Instância Gerenciada SQL do Azure deve ter a Autenticação Apenas do Ative Directory do Azure habilitada |
| O modo de autenticação do Azure Synapse Workspace deve ser Somente Azure Ative Directory | Os métodos de autenticação somente do Ative Directory do Azure melhoram a segurança, garantindo que os Espaços de Trabalho Synapse exijam exclusivamente identidades do Azure AD para autenticação. Mais informações. | Os Espaços de Trabalho Synapse devem usar apenas identidades do Azure Ative Directory para autenticação |
| O Banco de Dados do Azure para MySQL deve ter um administrador do Azure Ative Directory provisionado | Provisione um administrador do Azure AD para seu Banco de Dados do Azure para MySQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | Um administrador do Azure Ative Directory deve ser provisionado para servidores MySQL |
| O Banco de Dados do Azure para PostgreSQL deve ter um administrador do Azure Ative Directory provisionado | Provisione um administrador do Azure AD para seu Banco de Dados do Azure para PostgreSQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | Um administrador do Ative Directory do Azure deve ser provisionado para servidores PostgreSQL |
Duas recomendações relacionadas a atualizações ausentes do sistema operacional (SO) foram lançadas para o GA
As recomendações System updates should be installed on your machines (powered by Azure Update Manager) e Machines should be configured to periodically check for missing system updates foram liberadas para disponibilidade geral.
Para usar a nova recomendação, você precisa:
- Conecte suas máquinas que não são do Azure ao Arc.
- Habilite a propriedade de avaliação periódica. Você pode usar o botão Corrigir.
na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
Depois de concluir essas etapas, você pode remover a recomendação System updates should be installed on your machinesantiga , desativando-a da iniciativa interna do Defender for Cloud na política do Azure.
As duas versões das recomendações:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Ambos estarão disponíveis até que o agente do Log Analytics seja preterido em 31 de agosto de 2024, que é quando a versão mais antiga (System updates should be installed on your machines) da recomendação também será preterida. Ambas as recomendações retornam os mesmos resultados e estão disponíveis sob o mesmo controle Apply system updates.
A nova recomendação System updates should be installed on your machines (powered by Azure Update Manager) tem um fluxo de correção disponível através do botão Corrigir, que pode ser usado para corrigir quaisquer resultados através do Update Manager (Pré-visualização). Este processo de remediação ainda está em pré-visualização.
Não se espera que a nova recomendação System updates should be installed on your machines (powered by Azure Update Manager) afete o seu Secure Score, pois tem os mesmos resultados que a recomendação System updates should be installed on your machinesantiga.
A recomendação de pré-requisito (Ativar a propriedade de avaliação periódica) tem um efeito negativo no seu Secure Score. Você pode corrigir o efeito negativo com o botão Corrigir disponível.
Defender para APIs (Visualização)
O Defender for Cloud da Microsoft está anunciando que o novo Defender for APIs está disponível em pré-visualização.
O Defender for APIs oferece proteção de ciclo de vida completo, deteção e cobertura de resposta para APIs.
O Defender for APIs ajuda você a obter visibilidade sobre APIs críticas para os negócios. Você pode investigar e melhorar sua postura de segurança da API, priorizar correções de vulnerabilidades e detetar rapidamente ameaças ativas em tempo real.
Saiba mais sobre o Defender for APIs.
Março de 2023
As atualizações em março incluem:
- Um novo plano do Defender for Storage está disponível, incluindo verificação de malware quase em tempo real e deteção de ameaças de dados confidenciais
- Postura de segurança com reconhecimento de dados (visualização)
- Experiência melhorada para gerir as políticas de segurança predefinidas do Azure
- O Defender CSPM (Cloud Security Posture Management) agora está disponível para o público em geral (GA)
- Opção para criar recomendações personalizadas e padrões de segurança no Microsoft Defender for Cloud
- Microsoft cloud security benchmark (MCSB) versão 1.0 agora está disponível em geral (GA)
- Algumas normas de conformidade regulatória estão agora disponíveis em nuvens governamentais
- Nova recomendação de pré-visualização para os SQL Servers do Azure
- Novo alerta no Defender for Key Vault
Um novo plano do Defender for Storage está disponível, incluindo verificação de malware quase em tempo real e deteção de ameaças de dados confidenciais
O armazenamento em nuvem desempenha um papel fundamental na organização e armazena grandes volumes de dados valiosos e confidenciais. Hoje estamos anunciando um novo plano Defender for Storage. Se você estiver usando o plano anterior (agora renomeado para "Defender for Storage (clássico)"), precisará migrar proativamente para o novo plano para usar os novos recursos e benefícios.
O novo plano inclui recursos avançados de segurança para ajudar a proteger contra uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. Ele também fornece uma estrutura de preços mais previsível e flexível para um melhor controle sobre a cobertura e os custos.
O novo plano tem novas capacidades agora em pré-visualização pública:
Deteção de exposição de dados confidenciais e eventos de exfiltração
Verificação quase em tempo real de malware no upload de blob em todos os tipos de arquivos
Detetando entidades sem identidades usando tokens SAS
Esses recursos aprimoram a capacidade existente de monitoramento de atividades, com base na análise de log de controle e plano de dados e modelagem comportamental para identificar os primeiros sinais de violação.
Todos esses recursos estão disponíveis em um novo plano de preços previsível e flexível que fornece controle granular sobre a proteção de dados nos níveis de assinatura e recursos.
Saiba mais em Visão geral do Microsoft Defender for Storage.
Postura de segurança com reconhecimento de dados (visualização)
O Microsoft Defender for Cloud ajuda as equipes de segurança a serem mais produtivas na redução de riscos e na resposta a violações de dados na nuvem. Ele permite que eles cortem o ruído com o contexto de dados e priorizem os riscos de segurança mais críticos, evitando uma violação de dados dispendiosa.
- Descubra automaticamente recursos de dados na nuvem e avalie sua acessibilidade, sensibilidade de dados e fluxos de dados configurados. -Descobrir continuamente riscos de violações de dados de recursos de dados confidenciais, exposição ou caminhos de ataque que possam levar a um recurso de dados usando uma técnica de movimento lateral.
- Detete atividades suspeitas que possam indicar uma ameaça contínua a recursos de dados confidenciais.
Saiba mais sobre a postura de segurança com reconhecimento de dados.
Experiência melhorada para gerir as políticas de segurança predefinidas do Azure
Apresentamos uma experiência aprimorada de gerenciamento de políticas de segurança do Azure para recomendações internas que simplifica a maneira como os clientes do Defender for Cloud ajustam seus requisitos de segurança. A nova experiência inclui as seguintes novas capacidades:
- Uma interface simples permite um melhor desempenho e experiência ao gerenciar políticas de segurança padrão no Defender for Cloud.
- Uma visão única de todas as recomendações de segurança internas oferecidas pelo benchmark de segurança na nuvem da Microsoft (anteriormente o benchmark de segurança do Azure). As recomendações são organizadas em grupos lógicos, facilitando a compreensão dos tipos de recursos cobertos e a relação entre parâmetros e recomendações.
- Novos recursos, como filtros e pesquisa, foram adicionados.
Saiba como gerir políticas de segurança.
Leia o blog do Microsoft Defender for Cloud.
O Defender CSPM (Cloud Security Posture Management) agora está disponível para o público em geral (GA)
Estamos anunciando que o Defender CSPM agora está disponível em geral (GA). O Defender CSPM oferece todos os serviços disponíveis sob os recursos do CSPM Foundational e adiciona os seguintes benefícios:
- Análise de caminho de ataque e API ARG - A análise de caminho de ataque usa um algoritmo baseado em gráfico que verifica o gráfico de segurança da nuvem para expor caminhos de ataque e sugere recomendações sobre a melhor forma de corrigir problemas que interrompem o caminho de ataque e evitar uma violação bem-sucedida. Você também pode consumir caminhos de ataque programaticamente consultando a API do Azure Resource Graph (ARG). Saiba como usar a análise de caminho de ataque
- Cloud Security explorer - Use o Cloud Security Explorer para executar consultas baseadas em gráficos no gráfico de segurança na nuvem, para identificar proativamente os riscos de segurança em seus ambientes multicloud. Saiba mais sobre o explorador de segurança na nuvem.
Saiba mais sobre o Defender CSPM.
Opção para criar recomendações personalizadas e padrões de segurança no Microsoft Defender for Cloud
O Microsoft Defender for Cloud oferece a opção de criar recomendações e padrões personalizados para AWS e GCP usando consultas KQL. Você pode usar um editor de consultas para criar e testar consultas sobre seus dados. Esse recurso faz parte do plano Defender CSPM (Cloud Security Posture Management). Saiba como criar recomendações e padrões personalizados.
Microsoft cloud security benchmark (MCSB) versão 1.0 agora está disponível em geral (GA)
O Microsoft Defender for Cloud está anunciando que o Microsoft Cloud Security Benchmark (MCSB) versão 1.0 agora está disponível em geral (GA).
O MCSB versão 1.0 substitui o Azure Security Benchmark (ASB) versão 3 como a política de segurança padrão do Defender for Cloud. O MCSB versão 1.0 aparece como o padrão de conformidade padrão no painel de conformidade e é habilitado por padrão para todos os clientes do Defender for Cloud.
Você também pode aprender como o Microsoft Cloud Security Benchmark (MCSB) ajuda você a ter sucesso em sua jornada de segurança na nuvem.
Saiba mais sobre o MCSB.
Algumas normas de conformidade regulatória estão agora disponíveis em nuvens governamentais
Estamos atualizando esses padrões para clientes no Azure Government e no Microsoft Azure operados pela 21Vianet.
Azure Government:
Microsoft Azure operado pela 21Vianet:
Saiba como Personalizar o conjunto de normas no seu painel de conformidade regulamentar.
Nova recomendação de pré-visualização para os SQL Servers do Azure
Adicionámos uma nova recomendação para os SQL Servers do Azure, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
A recomendação baseia-se na política existente Azure SQL Database should have Azure Active Directory Only Authentication enabled
Esta recomendação desativa os métodos de autenticação local e permite apenas a Autenticação do Azure Ative Directory, o que melhora a segurança ao garantir que os Bancos de Dados SQL do Azure possam ser acessados exclusivamente pelas identidades do Azure Ative Directory.
Saiba como criar servidores com a autenticação somente do Azure AD habilitada no Azure SQL.
Novo alerta no Defender for Key Vault
O Defender for Key Vault tem o seguinte novo alerta:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Acesso negado de um IP suspeito a um cofre de chaves (KV_SuspiciousIPAccessDenied) |
Um acesso malsucedido ao cofre de chaves foi tentado por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Embora essa tentativa não tenha sido bem-sucedida, isso indica que sua infraestrutura pode ter sido comprometida. Recomendamos investigações adicionais. | Acesso a credenciais | Baixo |
Você pode ver uma lista de todos os alertas disponíveis para o Cofre da Chave.
Fevereiro de 2023
As atualizações em fevereiro incluem:
- Explorador de Segurança na Nuvem Melhorado
- Verificações de vulnerabilidade do Defender for Containers de imagens Linux em execução agora GA
- Anúncio do suporte para o padrão de conformidade do AWS CIS 1.5.0
- O Microsoft Defender for DevOps (visualização) já está disponível em outras regiões
- A política interna [Visualização]: Ponto de extremidade privado deve ser configurado para que o Cofre da Chave tenha sido preterido
Explorador de Segurança na Nuvem Melhorado
Uma versão melhorada do explorador de segurança na nuvem inclui uma experiência de utilizador atualizada que remove drasticamente a fricção das consultas, adicionou a capacidade de executar consultas multicloud e multi-recursos e documentação incorporada para cada opção de consulta.
O Cloud Security Explorer agora permite que você execute consultas abstratas na nuvem entre recursos. Você pode usar os modelos de consulta pré-criados ou usar a pesquisa personalizada para aplicar filtros para criar sua consulta. Saiba como gerir o Cloud Security Explorer.
Verificações de vulnerabilidade do Defender for Containers de imagens Linux em execução agora GA
O Defender for Containers deteta vulnerabilidades na execução de contêineres. Há suporte para contêineres Windows e Linux.
Em agosto de 2022, este recurso foi lançado em pré-visualização para Windows e Linux. Estamos agora a lançá-lo para disponibilidade geral (GA) para Linux.
Quando vulnerabilidades são detetadas, o Defender for Cloud gera a seguinte recomendação de segurança listando as descobertas da verificação: A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como visualizar vulnerabilidades para executar imagens.
Anúncio do suporte para o padrão de conformidade do AWS CIS 1.5.0
O Defender for Cloud agora oferece suporte ao padrão de conformidade CIS Amazon Web Services Foundations v1.5.0. O padrão pode ser adicionado ao seu painel de Conformidade Regulatória e se baseia nas ofertas existentes da MDC para recomendações e padrões multicloud.
Esse novo padrão inclui recomendações existentes e novas que estendem a cobertura do Defender for Cloud para novos serviços e recursos da AWS.
Saiba como gerenciar avaliações e padrões da AWS.
O Microsoft Defender for DevOps (visualização) já está disponível em outras regiões
O Microsoft Defender for DevOps expandiu sua visualização e agora está disponível nas regiões da Europa Ocidental e Austrália Oriental, quando você integra seus recursos do Azure DevOps e do GitHub.
Saiba mais sobre o Microsoft Defender for DevOps.
A política interna [Visualização]: Ponto de extremidade privado deve ser configurado para que o Cofre da Chave tenha sido preterido
A política [Preview]: Private endpoint should be configured for Key Vault interna foi preterida e substituída [Preview]: Azure Key Vaults should use private link pela política.
Saiba mais sobre a integração do Azure Key Vault com a Política do Azure.
Janeiro de 2023
As atualizações em janeiro incluem:
- O componente Proteção de ponto de extremidade (Microsoft Defender for Endpoint) agora é acessado na página Configurações e monitoramento
- Nova versão da recomendação para encontrar atualizações do sistema ausentes (Visualização)
- Limpeza de máquinas Azure Arc excluídas em contas conectadas da AWS e do GCP
- Permitir a exportação contínua para Hubs de Eventos atrás de um firewall
- O nome do controle de pontuação segura Proteja seus aplicativos com as soluções avançadas de rede do Azure foi alterado
- As configurações de Avaliação de Vulnerabilidade da política para o SQL Server devem conter um endereço de email para receber relatórios de verificação que foram preteridos
- A recomendação para habilitar logs de diagnóstico para Conjuntos de Dimensionamento de Máquina Virtual foi preterida
O componente Proteção de ponto de extremidade (Microsoft Defender for Endpoint) agora é acessado na página Configurações e monitoramento
Para acessar o Endpoint protection, navegue até Configurações de>ambiente Defender planeja>Configurações e monitoramento. A partir daqui, você pode definir a proteção de ponto final como Ativada. Você também pode ver os outros componentes que são gerenciados.
Saiba mais sobre como habilitar o Microsoft Defender for Endpoint em seus servidores com o Defender for Servers.
Nova versão da recomendação para encontrar atualizações do sistema ausentes (Visualização)
Você não precisa mais de um agente em suas VMs do Azure e máquinas Azure Arc para garantir que as máquinas tenham todas as atualizações críticas ou de segurança mais recentes do sistema.
A nova recomendação de atualizações do Apply system updates sistema, System updates should be installed on your machines (powered by Azure Update Manager) no controle, é baseada no Update Manager (visualização). A recomendação depende de um agente nativo incorporado em cada VM do Azure e máquinas Azure Arc em vez de um agente instalado. A Correção Rápida na nova recomendação leva você a uma instalação única das atualizações ausentes no portal do Update Manager.
Para usar a nova recomendação, você precisa:
- Conecte suas máquinas que não são do Azure ao Arc
- Ative a propriedade de avaliação periódica. Você pode usar a Correção Rápida na nova recomendação,
Machines should be configured to periodically check for missing system updatespara corrigir a recomendação.
A recomendação existente "As atualizações do sistema devem ser instaladas em suas máquinas", que depende do agente do Log Analytics, ainda está disponível sob o mesmo controle.
Limpeza de máquinas Azure Arc excluídas em contas conectadas da AWS e do GCP
Uma máquina conectada a uma conta da AWS e do GCP coberta pelo Defender for Servers ou pelo Defender for SQL em máquinas é representada no Defender for Cloud como uma máquina Azure Arc. Até agora, essa máquina não era excluída do inventário quando era excluída da conta da AWS ou do GCP. Levando a recursos desnecessários do Azure Arc deixados no Defender for Cloud que representam máquinas excluídas.
Agora, o Defender for Cloud excluirá automaticamente as máquinas Azure Arc quando essas máquinas forem excluídas na conta conectada da AWS ou do GCP.
Permitir a exportação contínua para Hubs de Eventos atrás de um firewall
Agora você pode habilitar a exportação contínua de alertas e recomendações, como um serviço confiável para Hubs de Eventos protegidos por um firewall do Azure.
Você pode habilitar a exportação contínua à medida que os alertas ou recomendações são gerados. Você também pode definir um cronograma para enviar instantâneos periódicos de todos os novos dados.
Saiba como habilitar a exportação contínua para Hubs de Eventos atrás de um firewall do Azure.
O nome do controle de pontuação segura Proteja seus aplicativos com soluções avançadas de rede do Azure é alterado
O controle Protect your applications with Azure advanced networking solutions de pontuação seguro é alterado para Protect applications against DDoS attacks.
O nome atualizado é refletido no Azure Resource Graph (ARG), na API Secure Score Controls e no Download CSV report.
As configurações de Avaliação de Vulnerabilidade da política para o SQL Server devem conter um endereço de email para receber relatórios de verificação que foram preteridos
A política Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports foi preterida.
O relatório de e-mail de avaliação de vulnerabilidades do Defender for SQL ainda está disponível e as configurações de email existentes não foram alteradas.
A recomendação para habilitar logs de diagnóstico para Conjuntos de Dimensionamento de Máquina Virtual foi preterida
A recomendação Diagnostic logs in Virtual Machine Scale Sets should be enabled foi preterida.
A definição de política relacionada também foi preterida de quaisquer padrões exibidos no painel de conformidade regulatória.
| Recomendação | Description | Gravidade |
|---|---|---|
| Os logs de diagnóstico em Conjuntos de Dimensionamento de Máquina Virtual devem ser habilitados | Habilite logs e retenha-os por até um ano, permitindo que você recrie trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida. | Baixo |
Dezembro de 2022
As atualizações em dezembro incluem:
Anunciando a configuração expressa para avaliação de vulnerabilidades no Defender for SQL
A configuração expressa para avaliação de vulnerabilidades no Microsoft Defender for SQL fornece às equipes de segurança uma experiência de configuração simplificada nos Bancos de Dados SQL do Azure e nos Pools SQL Dedicados fora dos Espaços de Trabalho Sinapse.
Com a experiência de configuração expressa para avaliações de vulnerabilidade, as equipes de segurança podem:
- Conclua a configuração de avaliação de vulnerabilidade na configuração de segurança do recurso SQL, sem quaisquer outras configurações ou dependências em contas de armazenamento gerenciadas pelo cliente.
- Adicione imediatamente os resultados da verificação às linhas de base para que o status da localização mude de Não íntegro para Íntegro sem verificar novamente um banco de dados.
- Adicione várias regras às linhas de base de uma só vez e use os resultados da verificação mais recentes.
- Habilite a avaliação de vulnerabilidade para todos os SQL Servers do Azure ao ativar o Microsoft Defender para bancos de dados no nível da assinatura.
Saiba mais sobre a avaliação de vulnerabilidades do Defender for SQL.
Novembro de 2022
As atualizações em novembro incluem:
- Proteja contêineres em toda a sua organização GCP com o Defender for Containers
- Valide as proteções do Defender for Containers com exemplos de alertas
- Regras de governação à escala (Pré-visualização)
- A capacidade de criar avaliações personalizadas na AWS e no GCP (visualização) foi preterida
- A recomendação para configurar filas de mensagens mortas para funções do Lambda foi preterida
Proteja contêineres em toda a sua organização GCP com o Defender for Containers
Agora você pode habilitar o Defender for Containers para seu ambiente GCP para proteger clusters GKE padrão em toda uma organização GCP. Basta criar um novo conector GCP com o Defender for Containers habilitado ou habilitar o Defender for Containers em um conector GCP existente no nível da organização.
Saiba mais sobre como conectar projetos e organizações do GCP ao Defender for Cloud.
Valide as proteções do Defender for Containers com exemplos de alertas
Agora você pode criar alertas de exemplo também para o plano Defender for Containers. Os novos alertas de amostra são apresentados como sendo de AKS, clusters conectados ao Arc, EKS e recursos GKE com diferentes gravidades e táticas MITRE. Você pode usar os alertas de exemplo para validar configurações de alertas de segurança, como integrações SIEM, automação de fluxo de trabalho e notificações por email.
Saiba mais sobre a validação de alertas.
Regras de governação à escala (Pré-visualização)
Temos o prazer de anunciar a nova capacidade de aplicar regras de governança em escala (Visualização) no Defender for Cloud.
Com essa nova experiência, as equipes de segurança são capazes de definir regras de governança em massa para vários escopos (assinaturas e conectores). As equipes de segurança podem realizar essa tarefa usando escopos de gerenciamento, como grupos de gerenciamento do Azure, contas de nível superior da AWS ou organizações GCP.
Além disso, a página Regras de governança (Visualização) apresenta todas as regras de governança disponíveis que são eficazes nos ambientes da organização.
Saiba mais sobre a experiência em escala das novas regras de governança.
Nota
A partir de 1º de janeiro de 2023, para experimentar os recursos oferecidos pela Governança, você deve ter o plano Defender CSPM habilitado em sua assinatura ou conector.
A capacidade de criar avaliações personalizadas na AWS e no GCP (visualização) foi preterida
A capacidade de criar avaliações personalizadas para contas da AWS e projetos GCP, que era um recurso de visualização, foi preterida.
A recomendação para configurar filas de mensagens mortas para funções do Lambda foi preterida
A recomendação Lambda functions should have a dead-letter queue configured foi preterida.
| Recomendação | Description | Gravidade |
|---|---|---|
| As funções do Lambda devem ter uma fila de mensagens mortas configurada | Esse controle verifica se uma função do Lambda está configurada com uma fila de letras mortas. O controle falhará se a função do Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar sua função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas age da mesma forma que um destino em caso de falha. É usado quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você analise erros ou solicitações com falha para sua função do Lambda para depurar ou identificar um comportamento incomum. Do ponto de vista da segurança, é importante entender por que sua função falhou e garantir que sua função não perca dados ou comprometa a segurança dos dados como resultado. Por exemplo, se sua função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de negação de serviço (DoS) em outro lugar da rede. | Médio |
Outubro de 2022
As atualizações em outubro incluem:
- Anunciando o benchmark de segurança na nuvem da Microsoft
- Análise de caminho de ataque e recursos de segurança contextual no Defender for Cloud (Visualização)
- Análise sem agente para máquinas Azure e AWS (Pré-visualização)
- Defender for DevOps (Pré-visualização)
- O Painel de Conformidade Regulatória agora oferece suporte ao gerenciamento manual de controle e informações detalhadas sobre o status de conformidade da Microsoft
- O provisionamento automático é renomeado para Configurações e monitoramento e tem uma experiência atualizada
- Gerenciamento de postura de segurança do Defender Cloud (CSPM) (visualização)
- O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
- O Defender for Containers agora oferece suporte à avaliação de vulnerabilidades para o Elastic Container Registry (Preview)
Anunciando o benchmark de segurança na nuvem da Microsoft
O Microsoft Cloud Security Benchmark (MCSB) é uma nova estrutura que define princípios fundamentais de segurança na nuvem com base em padrões comuns do setor e estruturas de conformidade. Juntamente com orientações técnicas detalhadas para a implementação dessas práticas recomendadas em plataformas de nuvem. O MCSB está substituindo o Benchmark de Segurança do Azure. O MCSB fornece detalhes prescritivos sobre como implementar suas recomendações de segurança agnósticas da nuvem em várias plataformas de serviço de nuvem, abrangendo inicialmente o Azure e a AWS.
Agora você pode monitorar sua postura de conformidade de segurança na nuvem por nuvem em um único painel integrado. Você pode ver o MCSB como o padrão de conformidade padrão quando navega até o painel de conformidade regulatória do Defender for Cloud.
O benchmark de segurança na nuvem da Microsoft é atribuído automaticamente às suas assinaturas do Azure e contas da AWS quando você integra o Defender for Cloud.
Saiba mais sobre o benchmark de segurança na nuvem da Microsoft.
Análise de caminho de ataque e recursos de segurança contextual no Defender for Cloud (Visualização)
O novo gráfico de segurança na nuvem, a análise de caminhos de ataque e os recursos contextuais de segurança na nuvem agora estão disponíveis no Defender for Cloud em visualização.
Um dos maiores desafios que as equipes de segurança enfrentam hoje é o número de problemas de segurança que enfrentam diariamente. Existem inúmeros problemas de segurança que precisam ser resolvidos e nunca recursos suficientes para resolvê-los todos.
Os novos recursos de análise de caminho de ataque e gráfico de segurança na nuvem do Defender for Cloud dão às equipes de segurança a capacidade de avaliar o risco por trás de cada problema de segurança. As equipes de segurança também podem identificar os problemas de maior risco que precisam ser resolvidos o mais rápido possível. O Defender for Cloud trabalha com equipes de segurança para reduzir o risco de uma violação afetiva ao seu ambiente da maneira mais eficaz.
Saiba mais sobre o novo gráfico de segurança na nuvem, a análise de caminhos de ataque e o explorador de segurança na nuvem.
Análise sem agente para máquinas Azure e AWS (Pré-visualização)
Até agora, o Defender for Cloud baseava suas avaliações de postura para VMs em soluções baseadas em agentes. Para ajudar os clientes a maximizar a cobertura e reduzir o atrito de integração e gerenciamento, estamos lançando a verificação sem agente para VMs visualizarem.
Com a verificação sem agente para VMs, você obtém ampla visibilidade sobre o software instalado e CVEs de software. Você obtém a visibilidade sem que os desafios de instalação e manutenção do agente, os requisitos de conectividade de rede e o desempenho afetem suas cargas de trabalho. A análise é alimentada pelo Microsoft Defender Vulnerability Management.
A verificação de vulnerabilidades sem agente está disponível no Defender Cloud Security Posture Management (CSPM) e no Defender for Servers P2, com suporte nativo para VMs da AWS e do Azure.
- Saiba mais sobre a verificação sem agente.
- Saiba como ativar a avaliação de vulnerabilidade sem agente.
Defender for DevOps (Pré-visualização)
O Microsoft Defender for Cloud permite visibilidade abrangente, gerenciamento de postura e proteção contra ameaças em ambientes híbridos e multicloud, incluindo Azure, AWS, Google e recursos locais.
Agora, o novo plano Defender for DevOps integra sistemas de gerenciamento de código-fonte, como o GitHub e o Azure DevOps, ao Defender for Cloud. Com essa nova integração, estamos capacitando as equipes de segurança para proteger seus recursos do código para a nuvem.
O Defender for DevOps permite que você obtenha visibilidade e gerencie seus ambientes de desenvolvedor conectados e recursos de código. Atualmente, você pode conectar os sistemas DevOps e GitHub do Azure ao Defender for Cloud e aos repositórios de DevOps integrados ao Inventory e à nova página Segurança do DevOps. Ele fornece às equipes de segurança uma visão geral de alto nível dos problemas de segurança descobertos que existem nelas em uma página unificada de Segurança de DevOps.
Você pode configurar anotações em solicitações pull para ajudar os desenvolvedores a lidar com descobertas de verificação de segredos no Azure DevOps diretamente em suas solicitações pull.
Você pode configurar as ferramentas de DevOps de Segurança da Microsoft nos fluxos de trabalho do Azure Pipelines e do GitHub para habilitar as seguintes verificações de segurança:
| Nome | Idioma | Licença |
|---|---|---|
| Bandido | Python | Apache Licença 2.0 |
| BinSkim | Binário – Windows, ELF | Licença MIT |
| ESlint | JavaScript | Licença MIT |
| CredScan (somente Azure DevOps) | Credential Scanner (também conhecido como CredScan) é uma ferramenta desenvolvida e mantida pela Microsoft para identificar vazamentos de credenciais, como aqueles no código-fonte e arquivos de configuração tipos comuns: senhas padrão, cadeias de conexão SQL, certificados com chaves privadas | Não Open Source |
| Análise de modelo | Modelo ARM, arquivo Bicep | Licença MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON / YAML), Leme v3, Kustomize, Dockerfiles, Formação de Nuvem | Apache Licença 2.0 |
| Trivy | Imagens de contêiner, sistemas de arquivos, repositórios git | Apache Licença 2.0 |
As novas recomendações a seguir estão disponíveis para DevOps:
| Recomendação | Description | Gravidade |
|---|---|---|
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura de código resolvidas | O Defender for DevOps encontrou vulnerabilidades em repositórios de código. Para melhorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Nenhuma política relacionada) | Médio |
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura secretas resolvidas | O Defender for DevOps encontrou um segredo nos repositórios de código. Esta situação deve ser corrigida imediatamente para evitar uma violação da segurança. Segredos encontrados em repositórios podem ser vazados ou descobertos por adversários, levando ao comprometimento de um aplicativo ou serviço. Para o Azure DevOps, a ferramenta Microsoft Security DevOps CredScan verifica apenas as compilações nas quais está configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos em seus repositórios. (Nenhuma política relacionada) | Alto |
| (Pré-visualização) Os repositórios de código devem ter as descobertas de varredura do Dependabot resolvidas | O Defender for DevOps encontrou vulnerabilidades em repositórios de código. Para melhorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Nenhuma política relacionada) | Médio |
| (Pré-visualização) Os repositórios de código devem ter infraestrutura à medida que os resultados da varredura de código forem resolvidos | (Pré-visualização) Os repositórios de código devem ter infraestrutura à medida que os resultados da varredura de código forem resolvidos | Médio |
| (Pré-visualização) Os repositórios do GitHub devem ter a verificação de código habilitada | O GitHub usa a verificação de código para analisar o código a fim de encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, triar e priorizar correções para problemas existentes em seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser agendadas para dias e horários específicos, ou podem ser acionadas quando ocorre um evento específico no repositório, como um push. Se a verificação de código encontrar uma vulnerabilidade ou erro potencial no código, o GitHub exibirá um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto. (Nenhuma política relacionada) | Médio |
| (Pré-visualização) Os repositórios do GitHub devem ter a verificação secreta ativada | O GitHub verifica os repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram acidentalmente cometidos em repositórios. A verificação secreta verificará todo o histórico do Git em todas as ramificações presentes no repositório GitHub em busca de quaisquer segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo for verificado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório poderá usá-lo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Nenhuma política relacionada) | Alto |
| (Pré-visualização) Os repositórios do GitHub devem ter a verificação Dependabot ativada | O GitHub envia alertas ao Dependabot quando deteta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto ou de outros projetos que usam seu código. As vulnerabilidades variam em tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Nenhuma política relacionada) | Médio |
As recomendações do Defender for DevOps substituíram o verificador de vulnerabilidades preterido para fluxos de trabalho de CI/CD incluído no Defender for Containers.
Saiba mais sobre o Defender for DevOps
O painel de Conformidade Regulatória agora oferece suporte ao gerenciamento manual de controle e a informações detalhadas sobre o status de conformidade da Microsoft
O dashboard de conformidade no Defender para a Cloud é uma ferramenta fundamental para os clientes perceberem e monitorizarem o respetivo estado de conformidade. Os clientes podem monitorar continuamente os ambientes de acordo com os requisitos de muitas normas e regulamentações diferentes.
Agora, você pode gerenciar totalmente sua postura de conformidade atestando manualmente os controles operacionais e outros. Agora, pode fornecer provas de conformidade para controlos que não são automatizados. Juntamente com as avaliações automatizadas, pode agora gerar um relatório completo de conformidade dentro de um âmbito selecionado, abordando todo o conjunto de controlos de uma determinada norma.
Além disso, com informações de controlo mais detalhadas e detalhes aprofundados e provas do estado de conformidade da Microsoft, tem agora todas as informações necessárias para auditorias ao seu alcance.
Alguns dos benefícios novos incluem:
As ações manuais do cliente fornecem um mecanismo para atestar manualmente a conformidade com controles não automatizados. Incluindo a capacidade de vincular evidências, definir uma data de conformidade e uma data de validade.
Detalhes de controle mais avançados para padrões suportados que mostram ações da Microsoft e ações manuais do cliente, além das ações automatizadas do cliente já existentes.
As ações da Microsoft dão transparência ao estado de conformidade da Microsoft, que inclui procedimentos de avaliação de auditorias, resultados de testes e respostas d Microsoft a desvios.
As ofertas de conformidade fornecem um local central para verificar os produtos Azure, Dynamics 365 e Power Platform e suas respetivas certificações de conformidade regulatória.
Saiba mais sobre como Melhorar a conformidade regulamentar com o Defender para a Cloud.
O provisionamento automático é renomeado para Configurações e monitoramento e tem uma experiência atualizada
Renomeamos a página Autoprovisioning para Configurações e monitoramento.
O provisionamento automático foi criado para permitir a habilitação em escala de pré-requisitos, que são necessários para os recursos avançados do Defender for Cloud. Para melhor suportar as nossas capacidades expandidas, estamos a lançar uma nova experiência com as seguintes alterações:
A página de planos do Defender for Cloud agora inclui:
- Quando você habilita um plano do Defender que requer componentes de monitoramento, esses componentes são habilitados para provisionamento automático com configurações padrão. Opcionalmente, essas configurações podem ser editadas a qualquer momento.
- Você pode acessar as configurações do componente de monitoramento para cada plano Defender na página do plano Defender.
- A página de planos do Defender indica claramente se todos os componentes de monitoramento estão em vigor para cada plano Defender ou se sua cobertura de monitoramento está incompleta.
A página Configurações e monitoramento:
- Cada componente de monitoramento indica os planos do Defender aos quais está relacionado.
Saiba mais sobre como gerenciar suas configurações de monitoramento.
Gestão de Postura de Segurança na Nuvem do Defender (CSPM)
Um dos principais pilares do Microsoft Defender for Cloud para a segurança na nuvem é o Cloud Security Posture Management (CSPM). O CSPM fornece orientação de proteção que ajuda você a melhorar sua segurança de forma eficiente e eficaz. O CSPM também oferece visibilidade da sua situação de segurança atual.
Estamos anunciando um novo plano Defender: Defender CSPM. Este plano melhora os recursos de segurança do Defender for Cloud e inclui os seguintes recursos novos e expandidos:
- Avaliação contínua da configuração de segurança dos seus recursos na nuvem
- Recomendações de segurança para corrigir configurações incorretas e fraquezas
- Classificação de segurança
- Governação
- Conformidade regulamentar
- Gráfico de segurança na nuvem
- Análise de trajetória de ataque
- Varredura sem agente para máquinas
Saiba mais sobre o plano Defender CSPM.
O mapeamento da estrutura MITRE ATT&CK agora também está disponível para recomendações de segurança da AWS e do GCP
Para os analistas de segurança, é essencial identificar os riscos potenciais associados às recomendações de segurança e entender os vetores de ataque, para que possam priorizar suas tarefas de forma eficiente.
O Defender for Cloud facilita a priorização mapeando as recomendações de segurança do Azure, AWS e GCP em relação à estrutura MITRE ATT&CK. A estrutura MITRE ATT&CK é uma base de conhecimento globalmente acessível de táticas e técnicas adversárias baseadas em observações do mundo real, permitindo que os clientes fortaleçam a configuração segura de seus ambientes.
A estrutura MITRE ATT&CK está integrada de três maneiras:
- As recomendações mapeiam as táticas e técnicas MITRE ATT&CK.
- Consulte táticas e técnicas MITRE ATT&CK sobre recomendações usando o Gráfico de Recursos do Azure.
O Defender for Containers agora oferece suporte à avaliação de vulnerabilidades para o Elastic Container Registry (Preview)
O Microsoft Defender for Containers agora oferece verificação de avaliação de vulnerabilidade sem agente para o Elastic Container Registry (ECR) na Amazon AWS. Expansão da cobertura para ambientes multicloud, com base no lançamento no início deste ano de proteção avançada contra ameaças e proteção de ambiente Kubernetes para AWS e Google GCP. O modelo sem agente cria recursos da AWS em suas contas para digitalizar suas imagens sem extrair imagens de suas contas da AWS e sem espaço ocupado em sua carga de trabalho.
A verificação de avaliação de vulnerabilidades sem agente para imagens em repositórios ECR ajuda a reduzir a superfície de ataque de seu patrimônio conteinerizado, examinando continuamente as imagens para identificar e gerenciar vulnerabilidades de contêineres. Com esta nova versão, o Defender for Cloud verifica as imagens de contêiner depois que elas são enviadas por push para o repositório e reavalia continuamente as imagens de contêiner ECR no registro. As descobertas estão disponíveis no Microsoft Defender for Cloud como recomendações, e você pode usar os fluxos de trabalho automatizados integrados do Defender for Cloud para tomar medidas sobre as descobertas, como abrir um tíquete para corrigir uma vulnerabilidade de alta gravidade em uma imagem.
Saiba mais sobre a avaliação de vulnerabilidades para imagens do Amazon ECR.
Setembro de 2022
As atualizações em setembro incluem:
- Suprimir alertas com base em entidades Container e Kubernetes
- O Defender for Servers dá suporte ao monitoramento da integridade de arquivos com o Azure Monitor Agent
- Descontinuação das APIs de avaliações herdadas
- Recomendações adicionais adicionadas à identidade
- Alertas de segurança removidos para máquinas que relatam para espaços de trabalho do Log Analytics entre locatários
Suprimir alertas com base em entidades Container e Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Segredo do Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Trabalho do Kubernetes
- Kubernetes CronJob
Saiba mais sobre as regras de supressão de alertas.
O Defender for Servers dá suporte ao monitoramento da integridade de arquivos com o Azure Monitor Agent
O monitoramento de integridade de arquivos (FIM) examina arquivos e registros do sistema operacional em busca de alterações que possam indicar um ataque.
O FIM agora está disponível em uma nova versão baseada no Azure Monitor Agent (AMA), que você pode implantar por meio do Defender for Cloud.
Saiba mais sobre o Monitoramento de Integridade de Arquivos com o Azure Monitor Agent.
Descontinuação das APIs de avaliações herdadas
As seguintes APIs foram preteridas:
- Tarefas de Segurança
- Status de segurança
- Resumos de Segurança
Essas três APIs expuseram formatos antigos de avaliações e foram substituídas pelas APIs de avaliações e APIs de subavaliações. Todos os dados expostos por essas APIs herdadas também estão disponíveis nas novas APIs.
Recomendações adicionais adicionadas à identidade
Recomendações do Defender for Cloud para melhorar a gestão de utilizadores e contas.
Novas recomendações
A nova versão contém os seguintes recursos:
Âmbito de avaliação alargado – A cobertura foi melhorada para contas de identidade sem MFA e contas externas nos recursos do Azure (em vez de apenas subscrições), o que permite que os administradores de segurança vejam atribuições de função por conta.
Intervalo de frescura melhorado - As recomendações de identidade têm agora um intervalo de frescura de 12 horas.
Capacidade de isenção de conta - O Defender for Cloud tem muitos recursos que você pode usar para personalizar sua experiência e garantir que sua pontuação segura reflita as prioridades de segurança da sua organização. Por exemplo, você pode isentar recursos e recomendações de sua pontuação segura.
Esta atualização permite isentar contas específicas da avaliação com as seis recomendações listadas na tabela a seguir.
Normalmente, você isentaria contas de emergência "quebra-vidro" das recomendações de MFA, porque essas contas geralmente são deliberadamente excluídas dos requisitos de MFA de uma organização. Como alternativa, você pode ter contas externas às quais gostaria de permitir acesso, que não têm MFA habilitada.
Gorjeta
Quando você isenta uma conta, ela não será mostrada como não íntegra e também não fará com que uma assinatura pareça não íntegra.
Recomendação Chave de avaliação Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA 6240402E-F77C-46FA-9060-A7CE53997754 Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas 20606e75-05c4-48c0-9d97-add6daa2109a Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas 050AC097-3DDA-4D24-AB6D-82568E7A50CF Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
As recomendações, embora em pré-visualização, aparecerão ao lado das recomendações que estão atualmente em AG.
Alertas de segurança removidos para máquinas que relatam para espaços de trabalho do Log Analytics entre locatários
No passado, o Defender for Cloud permitia que você escolhesse o espaço de trabalho ao qual seus agentes do Log Analytics se reportavam. Quando uma máquina pertencia a um locatário (Locatário A), mas seu agente do Log Analytics reportava a um espaço de trabalho em um locatário diferente ("Locatário B"), alertas de segurança sobre a máquina eram relatados ao primeiro locatário (Locatário A).
Com essa alteração, os alertas em máquinas conectadas ao espaço de trabalho do Log Analytics em um locatário diferente não aparecem mais no Defender for Cloud.
Se quiser continuar recebendo os alertas no Defender for Cloud, conecte o agente do Log Analytics das máquinas relevantes ao espaço de trabalho no mesmo locatário da máquina.
Saiba mais sobre alertas de segurança.
Agosto de 2022
As atualizações em agosto incluem:
- As vulnerabilidades para a execução de imagens agora estão visíveis com o Defender for Containers em seus contêineres do Windows
- Integração do Azure Monitor Agent agora em pré-visualização
- Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster Kubernetes
As vulnerabilidades para a execução de imagens agora estão visíveis com o Defender for Containers em seus contêineres do Windows
O Defender for Containers agora mostra vulnerabilidades para executar contêineres do Windows.
Quando vulnerabilidades são detetadas, o Defender for Cloud gera a seguinte recomendação de segurança listando os problemas detetados: A execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas.
Saiba mais sobre como visualizar vulnerabilidades para executar imagens.
Integração do Azure Monitor Agent agora em pré-visualização
O Defender for Cloud agora inclui suporte de visualização para o Azure Monitor Agent (AMA). O AMA destina-se a substituir o agente herdado do Log Analytics (também conhecido como Microsoft Monitoring Agent (MMA)), que está em um caminho para a descontinuação. O AMA oferece muitos benefícios em relação aos agentes legados.
No Defender for Cloud, quando você habilita o provisionamento automático para AMA, o agente é implantado em VMs novas e existentes e em máquinas habilitadas para Azure Arc que são detetadas em suas assinaturas. Se os planos do Defenders for Cloud estiverem habilitados, o AMA coletará informações de configuração e logs de eventos de VMs do Azure e máquinas Azure Arc. A integração AMA está em pré-visualização, por isso recomendamos usá-la em ambientes de teste, em vez de em ambientes de produção.
Alertas de VM preteridos sobre atividades suspeitas relacionadas a um cluster Kubernetes
A tabela a seguir lista os alertas que foram preteridos:
| Nome do alerta | Description | Táticas | Gravidade |
|---|---|---|---|
| Operação de compilação do Docker detetada em um nó do Kubernetes (VM_ImageBuildOnNode) |
Os logs de máquina indicam uma operação de compilação de uma imagem de contêiner em um nó do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem criar suas imagens maliciosas localmente para evitar a deteção. | Evasão de Defesa | Baixo |
| Solicitação suspeita para a API do Kubernetes (VM_KubernetesAPI) |
Os logs da máquina indicam que uma solicitação suspeita foi feita à API do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora esse comportamento possa ser intencional, ele pode indicar que o nó está executando um contêiner comprometido. | Movimento Lateral | Médio |
| O servidor SSH está sendo executado dentro de um contêiner (VM_ContainerSSH) |
Os logs da máquina indicam que um servidor SSH está sendo executado dentro de um contêiner do Docker. Embora esse comportamento possa ser intencional, ele frequentemente indica que um contêiner está configurado incorretamente ou violado. | Execução | Médio |
Esses alertas são usados para notificar um usuário sobre atividades suspeitas conectadas a um cluster do Kubernetes. Os alertas serão substituídos por alertas correspondentes que fazem parte dos alertas do Microsoft Defender for Cloud Container (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI e K8S.NODE_ ContainerSSH), que fornecerão fidelidade aprimorada e contexto abrangente para investigar e agir sobre os alertas. Saiba mais sobre alertas para clusters do Kubernetes.
As vulnerabilidades de contêiner agora incluem informações detalhadas do pacote
A avaliação de vulnerabilidade (VA) do Defender for Container agora inclui informações detalhadas do pacote para cada localização, incluindo: nome do pacote, tipo de pacote, caminho, versão instalada e versão fixa. As informações do pacote permitem encontrar pacotes vulneráveis para que você possa corrigir a vulnerabilidade ou remover o pacote.
Esta informação detalhada do pacote está disponível para novas digitalizações de imagens.
Julho de 2022
As atualizações em julho incluem:
- Disponibilidade geral (GA) do agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes
- O VA do Defender for Container adiciona suporte para a deteção de pacotes específicos de idioma (Visualização)
- Proteção contra a vulnerabilidade de infraestrutura de gerenciamento de operações CVE-2022-29149
- Integração com o Entra Permissions Management
- As recomendações do Key Vault foram alteradas para "auditoria"
- Depreciar políticas de Aplicativo de API para o Serviço de Aplicativo
Disponibilidade geral (GA) do agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes
Estamos entusiasmados em compartilhar que o agente de segurança nativo da nuvem para proteção de tempo de execução do Kubernetes agora está disponível em geral (GA)!
As implantações de produção de clusters Kubernetes continuam a crescer à medida que os clientes continuam a contentorizar seus aplicativos. Para ajudar nesse crescimento, a equipe do Defender for Containers desenvolveu um agente de segurança orientado ao Kubernetes nativo da nuvem.
O novo agente de segurança é um Kubernetes DaemonSet, baseado na tecnologia eBPF e está totalmente integrado em clusters AKS como parte do Perfil de Segurança AKS.
A ativação do agente de segurança está disponível por meio de provisionamento automático, fluxo de recomendações, AKS RP ou em escala usando a Política do Azure.
Você pode implantar o agente Defender hoje em seus clusters AKS.
Com este anúncio, a proteção em tempo de execução - deteção de ameaças (carga de trabalho) agora também está disponível para o público em geral.
Saiba mais sobre a disponibilidade de recursos do Defender for Container.
Também pode rever todos os alertas disponíveis.
Observe que, se você estiver usando a versão de visualização, o AKS-AzureDefender sinalizador de recurso não será mais necessário.
O VA do Defender for Container adiciona suporte para a deteção de pacotes específicos de idioma (Visualização)
A avaliação de vulnerabilidade (VA) do Defender for Container é capaz de detetar vulnerabilidades em pacotes do sistema operacional implantados por meio do gerenciador de pacotes do sistema operacional. Agora ampliamos as habilidades do VA para detetar vulnerabilidades incluídas em pacotes específicos de idiomas.
Este recurso está em pré-visualização e só está disponível para imagens Linux.
Para ver todos os pacotes específicos de idiomas incluídos que foram adicionados, confira a lista completa de recursos do Defender for Container e sua disponibilidade.
Proteção contra a vulnerabilidade de infraestrutura de gerenciamento de operações CVE-2022-29149
A Infraestrutura de Gerenciamento de Operações (OMI) é uma coleção de serviços baseados em nuvem para gerenciar ambientes locais e em nuvem a partir de um único local. Em vez de implantar e gerenciar recursos locais, os componentes do OMI são totalmente hospedados no Azure.
O Log Analytics integrado ao Azure HDInsight executando o OMI versão 13 requer um patch para corrigir o CVE-2022-29149. Consulte o relatório sobre esta vulnerabilidade no guia de Atualização de Segurança da Microsoft para obter informações sobre como identificar recursos afetados por esta vulnerabilidade e etapas de correção.
Se você tiver o Defender for Servers habilitado com a Avaliação de Vulnerabilidade, poderá usar esta pasta de trabalho para identificar os recursos afetados.
Integração com o Entra Permissions Management
O Defender for Cloud foi integrado ao Microsoft Entra Permissions Management, uma solução de gerenciamento de direitos de infraestrutura em nuvem (CIEM) que fornece visibilidade e controle abrangentes sobre permissões para qualquer identidade e qualquer recurso no Azure, AWS e GCP.
Cada assinatura do Azure, conta da AWS e projeto GCP que você integra agora mostrará uma exibição do seu PCI (Permission Creep Index).
Saiba mais sobre o Entra Permission Management (anteriormente Cloudknox)
As recomendações do Key Vault foram alteradas para "auditoria"
O efeito das recomendações do Key Vault listadas aqui foi alterado para "auditoria":
| Nome da recomendação | ID da recomendação |
|---|---|
| O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses | FC84ABC0-EEE6-4758-8372-A7681965CA44 |
| Os segredos do Key Vault devem ter uma data de validade | 14257785-9437-97FA-11AE-898CFB24302B |
| As chaves do Key Vault devem ter uma data de validade | 1AABFA0D-7585-F9F5-1D92-BCE40291D9F2 |
Depreciar políticas de Aplicativo de API para o Serviço de Aplicativo
Substituímos as seguintes políticas pelas políticas correspondentes que já existem para incluir aplicativos de API:
| A ser preterido | Mudar para |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Junho de 2022
As atualizações em junho incluem:
- Disponibilidade geral (GA) do Microsoft Defender para Azure Cosmos DB
- Disponibilidade geral (GA) do Defender for SQL em máquinas para ambientes AWS e GCP
- Impulsione a implementação de recomendações de segurança para melhorar a sua postura de segurança
- Filtrar alertas de segurança por endereço IP
- Alertas por grupo de recursos
- Autoprovisionamento da solução unificada Microsoft Defender for Endpoint
- Substituir a política "O aplicativo de API só deve ser acessível por HTTPS"
- Novos alertas do Cofre da Chave
Disponibilidade geral (GA) do Microsoft Defender para Azure Cosmos DB
O Microsoft Defender para Azure Cosmos DB agora está disponível em geral (GA) e oferece suporte a tipos de conta de API SQL (core).
Esta nova versão do GA faz parte do pacote de proteção de banco de dados Microsoft Defender for Cloud, que inclui diferentes tipos de bancos de dados SQL e MariaDB. O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB.
Ao habilitar esse plano, você será alertado sobre possíveis injeções de SQL, agentes mal-intencionados conhecidos, padrões de acesso suspeitos e possíveis explorações de seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas fornecem detalhes de atividades suspeitas, juntamente com as etapas de investigação relevantes, ações de correção e recomendações de segurança.
O Microsoft Defender for Azure Cosmos DB analisa continuamente o fluxo de telemetria gerado pelos serviços do Azure Cosmos DB e os cruza com o Microsoft Threat Intelligence e modelos comportamentais para detetar qualquer atividade suspeita. O Defender for Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB e não tem nenhum efeito no desempenho do seu banco de dados.
Saiba mais sobre o Microsoft Defender for Azure Cosmos DB.
Com a adição do suporte para o Azure Cosmos DB, o Defender for Cloud agora fornece uma das ofertas de proteção de carga de trabalho mais abrangentes para bancos de dados baseados em nuvem. As equipes de segurança e os proprietários de bancos de dados agora podem ter uma experiência centralizada para gerenciar a segurança do banco de dados de seus ambientes.
Saiba como habilitar proteções para seus bancos de dados.
Disponibilidade geral (GA) do Defender for SQL em máquinas para ambientes AWS e GCP
Os recursos de proteção de banco de dados fornecidos pelo Microsoft Defender for Cloud adicionaram suporte para seus servidores SQL hospedados em ambientes AWS ou GCP.
Defender for SQL, as empresas agora podem proteger todo o seu patrimônio de banco de dados, hospedado no Azure, AWS, GCP e máquinas locais.
O Microsoft Defender for SQL fornece uma experiência multicloud unificada para exibir recomendações de segurança, alertas de segurança e descobertas de avaliação de vulnerabilidades para o servidor SQL e o sistema operacional Windows sublinhado.
Usando a experiência de integração multicloud, você pode habilitar e aplicar a proteção de bancos de dados para servidores SQL executados no AWS EC2, RDS Custom for SQL Server e mecanismo de computação GCP. Depois de ativar qualquer um desses planos, todos os recursos suportados que existem na assinatura são protegidos. Os recursos futuros criados na mesma subscrição também serão protegidos.
Saiba como proteger e conectar seu ambiente da AWS e sua organização GCP ao Microsoft Defender for Cloud.
Impulsione a implementação de recomendações de segurança para melhorar a sua postura de segurança
As crescentes ameaças atuais às organizações estendem os limites do pessoal de segurança para proteger suas cargas de trabalho em expansão. As equipas de segurança são desafiadas a implementar as proteções definidas nas suas políticas de segurança.
Agora, com a experiência de governança em visualização, as equipes de segurança podem atribuir recomendações de correção de segurança aos proprietários de recursos e exigir um cronograma de correção. Eles podem ter total transparência sobre o progresso da remediação e ser notificados quando as tarefas estão atrasadas.
Saiba mais sobre a experiência de governança em Conduzindo sua organização a corrigir problemas de segurança com governança de recomendação.
Filtrar alertas de segurança por endereço IP
Em muitos casos de ataques, você deseja rastrear alertas com base no endereço IP da entidade envolvida no ataque. Até agora, o IP aparecia apenas na seção "Entidades relacionadas" no painel de alerta único. Agora, pode filtrar os alertas na página de alertas de segurança para ver os alertas relacionados com o endereço IP e pode procurar um endereço IP específico.
Alertas por grupo de recursos
A capacidade de filtrar, classificar e agrupar por grupo de recursos é adicionada à página Alertas de segurança.
Uma coluna de grupo de recursos é adicionada à grade de alertas.
É adicionado um novo filtro que lhe permite visualizar todos os alertas para grupos de recursos específicos.
Agora você também pode agrupar seus alertas por grupo de recursos para exibir todos os alertas de cada um dos grupos de recursos.
Autoprovisionamento da solução unificada Microsoft Defender for Endpoint
Até agora, a integração com o Microsoft Defender for Endpoint (MDE) incluía a instalação automática da nova solução unificada MDE para máquinas (assinaturas do Azure e conectores multicloud) com o Defender for Servers Plan 1 habilitado e para conectores multicloud com o Defender for Servers Plan 2 habilitado. O Plano 2 para assinaturas do Azure habilitou a solução unificada apenas para máquinas Linux e servidores Windows 2019 e 2022. Os servidores Windows 2012R2 e 2016 usaram a solução herdada MDE dependente do agente do Log Analytics.
Agora, a nova solução unificada está disponível para todas as máquinas em ambos os planos, para assinaturas do Azure e conectores multicloud. Para assinaturas do Azure com o Plano de Servidores 2 que habilitaram a integração MDE após 20 de junho de 2022, a solução unificada é habilitada por padrão para todas as máquinas As assinaturas do Azure com o Plano 2 do Defender for Servers habilitado com integração MDE antes de 20 de junho de 2022 agora podem habilitar a instalação da solução unificada para servidores Windows 2012R2 e 2016 por meio do botão dedicado na página Integrações:
Saiba mais sobre a integração do MDE com o Defender for Servers.
Substituir a política "O aplicativo de API só deve ser acessível por HTTPS"
A política API App should only be accessible over HTTPS foi preterida. Esta política é substituída Web Application should only be accessible over HTTPS pela política, que é renomeada para App Service apps should only be accessible over HTTPS.
Para saber mais sobre definições de política para o Serviço de Aplicativo do Azure, consulte Definições internas da Política do Azure para o Serviço de Aplicativo do Azure.
Novos alertas do Cofre da Chave
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender for Key Vault, adicionamos dois novos alertas.
Estes alertas informam-no de uma anomalia de acesso negado, detetada em qualquer um dos seus cofres de chaves.
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Acesso incomum negado - Usuário que acessa alto volume de cofres de chaves negado (KV_DeniedAccountVolumeAnomaly) |
Um usuário ou entidade de serviço tentou acessar um volume anormalmente alto de cofres de chaves nas últimas 24 horas. Este padrão de acesso anómalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. Recomendamos investigações adicionais. | Deteção | Baixo |
| Acesso incomum negado - Usuário incomum acessando cofre de chaves negado (KV_UserAccessDeniedAnomaly) |
Um acesso ao cofre de chaves foi tentado por um usuário que normalmente não o acessa, esse padrão de acesso anômalo pode ser uma atividade legítima. Embora essa tentativa não tenha sido bem-sucedida, pode ser uma indicação de uma possível tentativa de obter acesso ao cofre de chaves e aos segredos contidos nele. | Acesso inicial, descoberta | Baixo |
Maio de 2022
As atualizações em maio incluem:
- As configurações multicloud do plano Servidores agora estão disponíveis no nível do conector
- O acesso JIT (Just-in-time) para VMs já está disponível para instâncias do AWS EC2 (Visualização)
- Adicionar e remover o sensor Defender para clusters AKS usando a CLI
As configurações multicloud do plano Servidores agora estão disponíveis no nível do conector
Agora há configurações no nível do conector para o Defender for Servers em multicloud.
As novas configurações no nível do conector fornecem granularidade para definição de preço e provisionamento automático por conector, independentemente da assinatura.
Todos os componentes de provisionamento automático disponíveis no nível do conector (Azure Arc, MDE e avaliações de vulnerabilidade) são habilitados por padrão, e a nova configuração dá suporte aos níveis de preços do Plano 1 e do Plano 2.
As atualizações na interface do usuário incluem um reflexo da camada de preço selecionada e dos componentes necessários configurados.
Alterações à avaliação da vulnerabilidade
O Defender for Containers agora exibe vulnerabilidades com gravidades médias e baixas que não podem ser corrigidas.
Como parte desta atualização, as vulnerabilidades que têm gravidades médias e baixas são agora mostradas, quer os patches estejam ou não disponíveis. Esta atualização fornece visibilidade máxima, mas ainda permite filtrar vulnerabilidades indesejadas usando a regra Desativar fornecida.
Saiba mais sobre a gestão de vulnerabilidades
O acesso JIT (Just-in-time) para VMs já está disponível para instâncias do AWS EC2 (Visualização)
Quando você conecta contas da AWS, o JIT avalia automaticamente a configuração de rede dos grupos de segurança da sua instância e recomenda quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isso é semelhante a como o JIT funciona com o Azure. Quando você integra instâncias desprotegidas do EC2, o JIT bloqueia o acesso público às portas de gerenciamento e só as abre com solicitações autorizadas por um período de tempo limitado.
Saiba como o JIT protege suas instâncias do AWS EC2
Adicionar e remover o sensor Defender para clusters AKS usando a CLI
O agente do Defender é necessário para que o Defender for Containers forneça as proteções de tempo de execução e colete sinais dos nós. Agora você pode usar a CLI do Azure para adicionar e remover o agente do Defender para um cluster AKS.
Nota
Esta opção está incluída na CLI do Azure 3.7 e superior.
Abril de 2022
As atualizações em abril incluem:
- Novos planos do Defender for Servers
- Realocação de recomendações personalizadas
- Script do PowerShell para transmitir alertas para Splunk e QRadar
- Substituída a recomendação do Cache do Azure para Redis
- Nova variante de alerta para o Microsoft Defender for Storage (visualização) para detetar a exposição de dados confidenciais
- Título do alerta de verificação de contêiner aumentado com a reputação do endereço IP
- Ver os registos de atividade relacionados com um alerta de segurança
Novos planos do Defender for Servers
O Microsoft Defender for Servers agora é oferecido em dois planos incrementais:
- Defender for Servers Plan 2, anteriormente Defender for Servers
- Defender for Servers Plan 1, fornece suporte apenas para o Microsoft Defender for Endpoint
Enquanto o Defender for Servers Plan 2 continua a fornecer proteções contra ameaças e vulnerabilidades para suas cargas de trabalho na nuvem e no local, o Defender for Servers Plan 1 fornece apenas proteção de endpoint, alimentado pelo Defender for Endpoint integrado nativamente. Leia mais sobre os planos do Defender for Servers.
Se você tem usado o Defender for Servers até agora, nenhuma ação é necessária.
Além disso, o Defender for Cloud também inicia o suporte gradual para o agente unificado do Defender for Endpoint para Windows Server 2012 R2 e 2016. O Plano 1 do Defender for Servers implanta o novo agente unificado nas cargas de trabalho do Windows Server 2012 R2 e 2016.
Realocação de recomendações personalizadas
As recomendações personalizadas são aquelas criadas pelos usuários e não têm efeito sobre a pontuação segura. As recomendações personalizadas agora podem ser encontradas na guia Todas as recomendações.
Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.
Saiba mais em Criar iniciativas e políticas de segurança personalizadas.
Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar
Recomendamos que você use Hubs de Eventos e um conector integrado para exportar alertas de segurança para o Splunk e o IBM QRadar. Agora você pode usar um script do PowerShell para configurar os recursos do Azure necessários para exportar alertas de segurança para sua assinatura ou locatário.
Basta baixar e executar o script do PowerShell. Depois de fornecer alguns detalhes do seu ambiente, o script configura os recursos para você. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.
Para saber mais, consulte Transmitir alertas para Splunk e QRadar.
Substituída a recomendação do Cache do Azure para Redis
A recomendação Azure Cache for Redis should reside within a virtual network (Pré-visualização) foi preterida. Alterámos as nossas orientações para proteger a Cache do Azure para instâncias Redis. Recomendamos o uso de um ponto de extremidade privado para restringir o acesso à sua instância do Cache do Azure para Redis, em vez de uma rede virtual.
Nova variante de alerta para o Microsoft Defender for Storage (visualização) para detetar a exposição de dados confidenciais
Os alertas do Microsoft Defender for Storage notificam quando agentes de ameaças tentam verificar e expor, com êxito ou não, contêineres de armazenamento abertos publicamente e mal configurados para tentar exfiltrar informações confidenciais.
Para permitir uma triagem e um tempo de resposta mais rápidos, quando a exfiltração de dados potencialmente confidenciais pode ter ocorrido, lançamos uma nova variação para o alerta existente Publicly accessible storage containers have been exposed .
O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é acionado com um High nível de gravidade, após uma descoberta bem-sucedida de um contêiner de armazenamento aberto publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles podem conter informações confidenciais.
| Alerta (tipo de alerta) | Description | Tática MITRE | Gravidade |
|---|---|---|---|
| PREVIEW - Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Alguém examinou sua conta de Armazenamento do Azure e expôs contêineres que permitem acesso público. Um ou mais dos contêineres expostos têm nomes que indicam que eles podem conter dados confidenciais. Isso geralmente indica reconhecimento por um agente de ameaça que está verificando se há contêineres de armazenamento acessíveis publicamente configurados incorretamente que possam conter dados confidenciais. Depois que um agente de ameaça descobre com êxito um contêiner, ele pode continuar exfiltrando os dados. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Coleção | Alto |
Título do alerta de verificação de contêiner aumentado com a reputação do endereço IP
A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um agente de ameaça conhecido ou de um ator que está usando a rede Tor para ocultar sua identidade. Ambos os indicadores sugerem que há intenção maliciosa. A reputação do endereço IP é fornecida pelo Microsoft Threat Intelligence.
A adição da reputação do endereço IP ao título do alerta fornece uma maneira de avaliar rapidamente a intenção do ator e, portanto, a gravidade da ameaça.
Os seguintes alertas incluirão estas informações:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Por exemplo, as informações adicionadas ao título do Publicly accessible storage containers have been exposed alerta terão esta aparência:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Todos os alertas do Microsoft Defender for Storage continuarão a incluir informações de inteligência sobre ameaças na entidade IP na seção Entidades Relacionadas do alerta.
Ver os registos de atividade relacionados com um alerta de segurança
Como parte das ações que você pode tomar para avaliar um alerta de segurança, você pode encontrar os logs da plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. O Microsoft Defender for Cloud identifica os logs da plataforma que estão dentro de um dia após o alerta.
Os logs da plataforma podem ajudá-lo a avaliar a ameaça à segurança e identificar as etapas que você pode tomar para mitigar o risco identificado.
Março de 2022
As atualizações em março incluem:
- Disponibilidade global da Pontuação de Segurança para ambientes do AWS e GCP
- Substituídas as recomendações para instalar o agente de coleta de dados de tráfego de rede
- O Defender for Containers agora pode verificar vulnerabilidades em imagens do Windows (visualização)
- Novo alerta para o Microsoft Defender for Storage (visualização)
- Definir definições de notificações por e-mail a partir de um alerta
- Alerta de visualização preterido: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Movida a recomendação As vulnerabilidades nas configurações de segurança de contêiner devem ser corrigidas da pontuação segura para as práticas recomendadas
- Obsoleta a recomendação de usar entidades de serviço para proteger suas assinaturas
- Implementação legada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
- Recomendações preteridas do Microsoft Defender para dispositivos IoT
- Alertas de dispositivo Microsoft Defender para IoT preteridos
- Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para disponibilidade geral (GA)
- Verificação de registro para imagens do Windows no ACR adicionado suporte para nuvens nacionais
Disponibilidade global da Pontuação de Segurança para ambientes do AWS e GCP
Os recursos de gerenciamento de postura de segurança na nuvem fornecidos pelo Microsoft Defender for Cloud agora adicionaram suporte para seus ambientes AWS e GCP em seu Secure Score.
Agora, as empresas podem visualizar sua postura geral de segurança em vários ambientes, como Azure, AWS e GCP.
A página Pontuação segura é substituída pelo painel Postura de segurança. O painel Postura de segurança permite que você visualize uma pontuação geral combinada para todos os seus ambientes ou um detalhamento de sua postura de segurança com base em qualquer combinação de ambientes que você escolher.
A página Recomendações também foi redesenhada para fornecer novos recursos, tais como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta da AWS, projeto GCP e muito mais), interface de usuário aprimorada em baixa resolução, suporte para consulta aberta no gráfico de recursos e muito mais. Você pode saber mais sobre sua postura geral de segurança e recomendações de segurança.
Substituídas as recomendações para instalar o agente de coleta de dados de tráfego de rede
As alterações no nosso roteiro e prioridades eliminaram a necessidade do agente de recolha de dados de tráfego de rede. As duas recomendações a seguir e suas políticas relacionadas foram preteridas.
| Recomendação | Description | Gravidade |
|---|---|---|
| O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | O Defender for Cloud usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Médio |
| O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows | O Defender for Cloud usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | Médio |
O Defender for Containers agora pode verificar vulnerabilidades em imagens do Windows (visualização)
A verificação de imagens do Defender for Container agora dá suporte a imagens do Windows hospedadas no Registro de Contêiner do Azure. Este recurso é gratuito durante a pré-visualização e incorrerá em um custo quando estiver disponível ao público.
Saiba mais em Usar o Microsoft Defender for Container para verificar suas imagens em busca de vulnerabilidades.
Novo alerta para o Microsoft Defender for Storage (visualização)
Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender for Storage, adicionamos um novo alerta de visualização.
Os agentes de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. O Microsoft Defender for Storage deteta esses aplicativos e ferramentas para que você possa bloqueá-los e corrigir sua postura.
Este alerta de pré-visualização chama-se Access from a suspicious application. O alerta é relevante apenas para o Armazenamento de Blobs do Azure e para o ADLS Gen2.
| Alerta (tipo de alerta) | Description | Tática MITRE | Gravidade |
|---|---|---|---|
| PREVIEW - Acesso a partir de uma aplicação suspeita (Storage.Blob_SuspiciousApp) |
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação. Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado em sua organização. Aplica-se a: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Acesso inicial | Médio |
Definir definições de notificações por e-mail a partir de um alerta
Uma nova seção foi adicionada à interface do usuário (UI) de alerta que permite visualizar e editar quem receberá notificações por e-mail para alertas que são acionados na assinatura atual.
Saiba como Configurar notificações por e-mail para alertas de segurança.
Alerta de visualização preterido: ARM. MCAS_ActivityFromAnonymousIPAddresses
O seguinte alerta de pré-visualização foi preterido:
| Nome do alerta | Description |
|---|---|
| PREVIEW - Atividade de um endereço IP arriscado (BRAÇO. MCAS_ActivityFromAnonymousIPAddresses) |
A atividade dos usuários a partir de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detetada. Esses proxies são usados por pessoas que querem ocultar o endereço IP do dispositivo e podem ser usados para intenções maliciosas. Essa deteção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados pelos usuários na organização. Requer uma licença ativa do Microsoft Defender for Cloud Apps. |
Foi criado um novo alerta que fornece essas informações e as complementa. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem uma licença para o Microsoft Defender for Cloud Apps (anteriormente conhecido como Microsoft Cloud App Security).
Veja mais alertas para o Resource Manager.
Movida a recomendação As vulnerabilidades nas configurações de segurança de contêiner devem ser corrigidas da pontuação segura para as práticas recomendadas
A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de pontuação segura para a seção de melhores práticas.
A experiência atual do usuário só fornece a pontuação quando todas as verificações de conformidade foram aprovadas. A maioria dos clientes tem dificuldades em cumprir todas as verificações exigidas. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, uma vez lançada, a recomendação será movida de volta para a pontuação segura.
Obsoleta a recomendação de usar entidades de serviço para proteger suas assinaturas
À medida que as organizações deixam de usar certificados de gerenciamento para gerenciar suas assinaturas e nosso recente anúncio de que estamos aposentando o modelo de implantação (clássico) dos Serviços de Nuvem, substituímos a seguinte recomendação do Defender for Cloud e sua política relacionada:
| Recomendação | Description | Gravidade |
|---|---|---|
| As entidades de serviço devem ser usadas para proteger suas assinaturas em vez de Certificados de Gerenciamento | Os certificados de gerenciamento permitem que qualquer pessoa que se autentique com eles gerencie a(s) assinatura(s) à qual estão associados. Para gerenciar assinaturas com mais segurança, recomenda-se o uso de entidades de serviço com o Resource Manager para limitar o raio de explosão no caso de um comprometimento de certificado. Também automatiza a gestão de recursos. (Política relacionada: As entidades de serviço devem ser utilizadas para proteger as suas subscrições em vez de certificados de gestão) |
Médio |
Saiba mais:
- O modelo de implantação dos Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
- Visão geral dos Serviços de Nuvem do Azure (clássico)
- Fluxo de trabalho da arquitetura clássica de VM do Microsoft Azure - incluindo noções básicas de fluxo de trabalho RDFE
Implementação legada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013
A implementação legada da ISO 27001 foi removida do painel de conformidade regulatória do Defender for Cloud. Se você estiver acompanhando sua conformidade com a ISO 27001 com o Defender for Cloud, integre a nova norma ISO 27001:2013 para todos os grupos de gerenciamento ou assinaturas relevantes.
Recomendações preteridas do Microsoft Defender para dispositivos IoT
As recomendações de dispositivos do Microsoft Defender para IoT não estão mais visíveis no Microsoft Defender for Cloud. Essas recomendações ainda estão disponíveis na página Recomendações do Microsoft Defender for IoT.
As seguintes recomendações foram preteridas:
| Chave de avaliação | Recomendações |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivos IoT | Abrir portas no dispositivo |
| ba975338-f956-41e7-a9f2-7614832d382d: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de entrada |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivos IoT | Foi encontrada uma política de firewall permissiva em uma das cadeias |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivos IoT | Foi encontrada uma regra de firewall permissiva na cadeia de saída |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivos IoT | Falha na validação da linha de base do sistema operacional |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivos IoT | Agente enviando mensagens subutilizadas |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivos IoT | Atualização necessária do pacote de codificação TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Dispositivos IoT | Auditd processo parou de enviar eventos |
Alertas de dispositivo Microsoft Defender para IoT preteridos
Todos os alertas de dispositivos Defender for IoT da Microsoft não são mais visíveis no Microsoft Defender for Cloud. Esses alertas ainda estão disponíveis na página Alerta do Microsoft Defender for IoT e no Microsoft Sentinel.
Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para disponibilidade geral (GA)
Os recursos CSPM do Defender for Cloud se estendem aos seus recursos da AWS e do GCP. Este plano sem agente avalia os seus recursos multicloud de acordo com as recomendações de segurança específicas da nuvem incluídas na sua pontuação segura. Os recursos são avaliados quanto à conformidade usando os padrões integrados. A página de inventário de ativos do Defender for Cloud é um recurso habilitado para multicloud que permite gerenciar seus recursos da AWS juntamente com seus recursos do Azure.
O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas instâncias de computação na AWS e no GCP. O plano Defender for Servers inclui uma licença integrada para o Microsoft Defender for Endpoint, verificação de avaliação de vulnerabilidades e muito mais. Saiba mais sobre todos os recursos suportados para máquinas virtuais e servidores. Os recursos de integração automática permitem que você conecte facilmente quaisquer instâncias de computação novas ou existentes descobertas em seu ambiente.
Saiba como proteger e conectar seu ambiente da AWS e sua organização GCP ao Microsoft Defender for Cloud.
Verificação de registro para imagens do Windows no ACR adicionado suporte para nuvens nacionais
A verificação do Registro para imagens do Windows agora é suportada no Azure Government e no Microsoft Azure operados pela 21Vianet. Esta adição está atualmente em pré-visualização.
Saiba mais sobre a disponibilidade do nosso recurso.
Fevereiro de 2022
As atualizações em fevereiro incluem:
- Proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para Arc
- CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP
- Plano do Microsoft Defender for Azure Cosmos DB lançado para visualização
- Proteção contra ameaças para clusters do Google Kubernetes Engine (GKE)
Proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para Arc
Anteriormente, o Defender for Containers protegia apenas cargas de trabalho do Kubernetes em execução no Serviço Kubernetes do Azure. Agora estendemos a cobertura de proteção para incluir clusters Kubernetes habilitados para Azure Arc.
Saiba como configurar sua proteção de carga de trabalho do Kubernetes para clusters Kubernetes habilitados para AKS e Azure Arc.
CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP
A nova integração automatizada de ambientes GCP permite proteger cargas de trabalho GCP com o Microsoft Defender for Cloud. O Defender for Cloud protege os seus recursos com os seguintes planos:
Os recursos CSPM do Defender for Cloud se estendem aos seus recursos do GCP. Este plano sem agente avalia seus recursos do GCP de acordo com as recomendações de segurança específicas do GCP, que são fornecidas com o Defender for Cloud. As recomendações do GCP estão incluídas em sua pontuação segura e os recursos serão avaliados quanto à conformidade com o padrão GCP CIS integrado. A página de inventário de ativos do Defender for Cloud é um recurso habilitado para multicloud que ajuda você a gerenciar seus recursos no Azure, AWS e GCP.
O Microsoft Defender for Servers traz deteção de ameaças e defesas avançadas para suas instâncias de computação GCP. Este plano inclui a licença integrada para o Microsoft Defender for Endpoint, verificação de avaliação de vulnerabilidades e muito mais.
Para obter uma lista completa dos recursos disponíveis, consulte Recursos suportados para máquinas virtuais e servidores. Os recursos de integração automática permitirão que você conecte facilmente quaisquer instâncias de computação existentes e novas descobertas em seu ambiente.
Saiba como proteger e conectar seus projetos GCP ao Microsoft Defender for Cloud.
Plano do Microsoft Defender for Azure Cosmos DB lançado para visualização
Ampliamos a cobertura do banco de dados do Microsoft Defender for Cloud. Agora você pode habilitar a proteção para seus bancos de dados do Azure Cosmos DB.
O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta qualquer tentativa de explorar bancos de dados em suas contas do Azure Cosmos DB. O Microsoft Defender for Azure Cosmos DB deteta possíveis injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e exploração potencial do seu banco de dados por meio de identidades comprometidas ou insiders mal-intencionados.
Ele analisa continuamente o fluxo de dados do cliente gerado pelos serviços do Azure Cosmos DB.
Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Esses alertas são exibidos no Microsoft Defender for Cloud juntamente com os detalhes da atividade suspeita, juntamente com as etapas de investigação relevantes, ações de correção e recomendações de segurança.
Não há impacto no desempenho do banco de dados ao habilitar o serviço, porque o Defender for Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB.
Saiba mais em Visão geral do Microsoft Defender for Azure Cosmos DB.
Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Agora você pode habilitar a proteção do Microsoft Defender for Cloud em sua assinatura para proteger todos os tipos de banco de dados, como o Azure Cosmos DB, o Banco de Dados SQL do Azure, os servidores SQL do Azure em máquinas e o Microsoft Defender para bancos de dados relacionais de código aberto por meio de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos configurando seu plano.
Saiba como ativar a segurança da sua base de dados ao nível da subscrição.
Proteção contra ameaças para clusters do Google Kubernetes Engine (GKE)
Após nosso recente anúncio CSPM nativo para GCP e proteção contra ameaças para instâncias de computação GCP, o Microsoft Defender for Containers estendeu sua proteção contra ameaças do Kubernetes, análise comportamental e políticas de controle de admissão integradas aos clusters do Kubernetes Engine (GKE) Standard do Google. Você pode facilmente integrar qualquer cluster GKE Standard existente ou novo ao seu ambiente por meio de nossos recursos de integração automática. Confira Segurança de contêiner com o Microsoft Defender for Cloud para obter uma lista completa dos recursos disponíveis.
Janeiro de 2022
As atualizações em janeiro incluem:
- Microsoft Defender for Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT&CK® Matrix
- Recomendações para habilitar planos do Microsoft Defender em espaços de trabalho (em visualização)
- Autoprovisionar o agente do Log Analytics para máquinas habilitadas para Azure Arc (visualização)
- Substituída a recomendação de classificar dados confidenciais em bancos de dados SQL
- Comunicação com alerta de domínio suspeito expandido para incluir domínios conhecidos relacionados ao Log4Shell
- Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
- Duas recomendações renomeadas
- Substituir contêineres de cluster do Kubernetes só deve escutar na política de portas permitidas
- Pasta de trabalho 'Alertas Ativos' adicionada
- Recomendação de 'atualização do sistema' adicionada à nuvem do governo
Microsoft Defender for Resource Manager atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para MITRE ATT&CK® Matrix
A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, também é um alvo potencial para os atacantes. Recomendamos que as equipes de operações de segurança monitorem de perto a camada de gerenciamento de recursos.
O Microsoft Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização, quer sejam executadas através do portal do Azure, das APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos do Azure. O Defender for Cloud executa análises de segurança avançadas para detetar ameaças e alertá-lo sobre atividades suspeitas.
As proteções do plano melhoram consideravelmente a resiliência de uma organização contra ataques de agentes de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Defender for Cloud.
Em dezembro de 2020, apresentamos a prévia do Defender for Resource Manager e, em maio de 2021, o plano foi lançado para disponibilidade geral.
Com esta atualização, revisamos de forma abrangente o foco do plano Microsoft Defender for Resource Manager. O plano atualizado inclui muitos novos alertas focados na identificação de invocação suspeita de operações de alto risco. Esses novos alertas fornecem monitoramento extensivo para ataques em toda a matriz MITRE ATT&CK® para técnicas baseadas em nuvem.
Essa matriz abrange a seguinte gama de intenções potenciais de agentes de ameaças que podem estar visando os recursos da sua organização: Acesso Inicial, Execução, Persistência, Escalonamento de Privilégios, Evasão de Defesa, Acesso a Credenciais, Descoberta, Movimento Lateral, Coleta, Exfiltração e Impacto.
Os novos alertas para este plano Defender abrangem essas intenções, conforme mostrado na tabela a seguir.
Gorjeta
Esses alertas também aparecem na página de referência de alertas.
| Alerta (tipo de alerta) | Description | Táticas MITRE (intenções) | Gravidade |
|---|---|---|---|
| Invocação suspeita de uma operação de "Acesso Inicial" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.InitialAccess) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Acesso inicial | Médio |
| Invocação suspeita de uma operação de "Execução" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.Execução) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em uma máquina em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Execução | Médio |
| Invocação suspeita de uma operação de "Persistência" de alto risco detetada (Pré-visualização) (ARM_AnomalousOperation.Persistência) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Persistência | Médio |
| Invocação suspeita de uma operação de "Escalonamento de privilégios" de alto risco detetada (visualização) (ARM_AnomalousOperation.PrivilegeEscalation) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de aumentar os privilégios. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para aumentar os privilégios e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Escalamento de Privilégios | Médio |
| Detetada invocação suspeita de uma operação de "evasão de defesa" de alto risco (Pré-visualização) (ARM_AnomalousOperation.Evasão de Defesa) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escapar das defesas. As operações identificadas são projetadas para permitir que os administradores gerenciem com eficiência a postura de segurança de seus ambientes. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detetado e, ao mesmo tempo, comprometer os recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Evasão de Defesa | Médio |
| Invocação suspeita de uma operação de 'Acesso a credenciais' de alto risco detetada (visualização) (ARM_AnomalousOperation.CredentialAccess) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas são projetadas para permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Acesso a credenciais | Médio |
| Detetada invocação suspeita de uma operação de «Movimento Lateral» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Movimento Lateral) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar movimento lateral. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Movimento Lateral | Médio |
| Detetada invocação suspeita de uma operação de «Recolha de Dados» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Coleção) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Coleção | Médio |
| Detetada invocação suspeita de uma operação «Impacto» de alto risco (Pré-visualização) (ARM_AnomalousOperation.Impacto) |
O Microsoft Defender for Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas são projetadas para permitir que os administradores gerenciem seus ambientes de forma eficiente. Embora essa atividade possa ser legítima, um agente de ameaças pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. | Impacto | Médio |
Além disso, estes dois alertas deste plano saíram da pré-visualização:
| Alerta (tipo de alerta) | Description | Táticas MITRE (intenções) | Gravidade |
|---|---|---|---|
| Operação do Azure Resource Manager a partir de um endereço IP suspeito (ARM_OperationFromSuspiciousIP) |
O Microsoft Defender for Resource Manager detetou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência de ameaças. | Execução | Médio |
| Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (ARM_OperationFromSuspiciousProxyIP) |
O Microsoft Defender for Resource Manager detetou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem. | Evasão de Defesa | Médio |
Recomendações para habilitar planos do Microsoft Defender em espaços de trabalho (em visualização)
Para se beneficiar de todos os recursos de segurança disponíveis do Microsoft Defender for Servers e do Microsoft Defender for SQL em máquinas, os planos devem ser habilitados nosníveis de assinatura e espaço de trabalho.
Quando uma máquina estiver em uma assinatura com um desses planos ativado, você será cobrado pelas proteções completas. No entanto, se essa máquina estiver relatando para um espaço de trabalho sem o plano habilitado, você não receberá esses benefícios.
Adicionamos duas recomendações que destacam espaços de trabalho sem esses planos habilitados, que, no entanto, têm máquinas relatando a eles a partir de assinaturas que têm o plano habilitado.
As duas recomendações, que oferecem remediação automatizada (a ação 'Fix'), são:
| Recomendação | Description | Gravidade |
|---|---|---|
| O Microsoft Defender for Servers deve ser habilitado em espaços de trabalho | O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com este plano Defender ativado em suas assinaturas, mas não em seus espaços de trabalho, você está pagando por todos os recursos do Microsoft Defender for Servers, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender for Servers em um espaço de trabalho, todas as máquinas que se reportam a esse espaço de trabalho serão cobradas pelo Microsoft Defender for Servers - mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender for Servers na assinatura, essas máquinas não poderão aproveitar o acesso de VM just-in-time, controles de aplicativo adaptáveis e deteções de rede para recursos do Azure. Saiba mais em Visão geral do Microsoft Defender for Servers. (Nenhuma política relacionada) |
Médio |
| O Microsoft Defender para SQL em máquinas deve ser habilitado em espaços de trabalho | O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com este plano Defender ativado em suas assinaturas, mas não em seus espaços de trabalho, você está pagando por todos os recursos do Microsoft Defender for Servers, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender for Servers em um espaço de trabalho, todas as máquinas que se reportam a esse espaço de trabalho serão cobradas pelo Microsoft Defender for Servers - mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender for Servers na assinatura, essas máquinas não poderão aproveitar o acesso de VM just-in-time, controles de aplicativo adaptáveis e deteções de rede para recursos do Azure. Saiba mais em Visão geral do Microsoft Defender for Servers. (Nenhuma política relacionada) |
Médio |
Autoprovisionar o agente do Log Analytics para máquinas habilitadas para Azure Arc (visualização)
O Defender for Cloud usa o agente do Log Analytics para coletar dados relacionados à segurança de máquinas. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu espaço de trabalho para análise.
As configurações de provisionamento automático do Defender for Cloud têm uma alternância para cada tipo de extensão suportada, incluindo o agente do Log Analytics.
Em uma expansão adicional de nossos recursos de nuvem híbrida, adicionamos uma opção para provisionar automaticamente o agente do Log Analytics para máquinas conectadas ao Azure Arc.
Assim como as outras opções de provisionamento automático, isso é configurado no nível da assinatura.
Ao habilitar essa opção, você será solicitado para o espaço de trabalho.
Nota
Para essa visualização, não é possível selecionar os espaços de trabalho padrão criados pelo Defender for Cloud. Para garantir que você receba o conjunto completo de recursos de segurança disponíveis para os servidores habilitados para Arco do Azure, verifique se você tem a solução de segurança relevante instalada no espaço de trabalho selecionado.
Substituída a recomendação de classificar dados confidenciais em bancos de dados SQL
Removemos a recomendação Os dados confidenciais em seus bancos de dados SQL devem ser classificados como parte de uma revisão de como o Defender for Cloud identifica e protege datas confidenciais em seus recursos de nuvem.
O aviso prévio dessa alteração apareceu nos últimos seis meses na página Alterações futuras importantes no Microsoft Defender for Cloud .
Comunicação com alerta de domínio suspeito expandido para incluir domínios conhecidos relacionados ao Log4Shell
Anteriormente, o alerta a seguir estava disponível apenas para organizações que haviam habilitado o plano Microsoft Defender para DNS .
Com essa atualização, o alerta também será exibido para assinaturas com o plano Microsoft Defender for Servers ou Defender for App Service habilitado.
Além disso, o Microsoft Threat Intelligence expandiu a lista de domínios maliciosos conhecidos para incluir domínios associados à exploração das vulnerabilidades amplamente divulgadas associadas ao Log4j.
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Comunicação com domínio suspeito identificado por informações sobre ameaças (AzureDNS_ThreatIntelSuspectDomain) |
A comunicação com domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios maliciosos conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido. | Acesso Inicial / Persistência / Execução / Comando e Controlo / Exploração | Médio |
Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança
Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.
O novo botão Copiar alerta JSON coloca os detalhes do alerta, em formato JSON, na área de transferência do usuário.
Duas recomendações renomeadas
Para consistência com outros nomes de recomendação, renomeamos as duas recomendações a seguir:
Recomendação para resolver vulnerabilidades descobertas na execução de imagens de contêiner
- Nome anterior: Vulnerabilidades na execução de imagens de contêiner devem ser corrigidas (alimentado pela Qualys)
- Novo nome: a execução de imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas
Recomendação para habilitar logs de diagnóstico para o Serviço de Aplicativo do Azure
- Nome anterior: os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
- Novo nome: os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados
Substituir contêineres de cluster do Kubernetes só deve escutar na política de portas permitidas
Substituímos que os contêineres de cluster do Kubernetes só devem escutar na recomendação de portas permitidas.
| Nome da política | Description | Efeito(s) | Versão |
|---|---|---|---|
| Os contêineres de cluster do Kubernetes só devem escutar nas portas permitidas | Restrinja os contêineres para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e pré-visualização para o Motor AKS e o Kubernetes ativado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, negar, desativado | 6.1.2 |
Os Serviços devem escutar apenas as portas permitidas A recomendação deve ser usada para limitar as portas que um aplicativo expõe à Internet.
Pasta de trabalho 'Alerta Ativo' adicionada
Para ajudar nossos usuários a entender as ameaças ativas a seus ambientes e priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.
A pasta de trabalho de alertas ativos permite que os usuários visualizem um painel unificado de seus alertas agregados por gravidade, tipo, tag, táticas MITRE ATT&CK e localização. Saiba mais em Usar a pasta de trabalho 'Alertas ativos'.
Recomendação de 'atualização do sistema' adicionada à nuvem do governo
A recomendação 'Atualizações do sistema devem ser instaladas em suas máquinas' já está disponível em todas as nuvens governamentais.
É provável que essa alteração afete a pontuação segura da sua assinatura de nuvem do governo. Esperamos que a mudança leve a uma diminuição da pontuação, mas é possível que a inclusão da recomendação possa resultar em um aumento da pontuação em alguns casos.
Dezembro de 2021
As atualizações em dezembro incluem:
- Plano do Microsoft Defender for Containers lançado para disponibilidade geral (GA)
- Novos alertas para o Microsoft Defender for Storage lançados para disponibilidade geral (GA)
- Melhorias nos alertas do Microsoft Defender for Storage
- Alerta 'PortSweeping' removido dos alertas da camada de rede
Plano do Microsoft Defender for Containers lançado para disponibilidade geral (GA)
Há mais de dois anos, introduzimos o Defender para Kubernetes e o Defender para registros de contêiner como parte da oferta do Azure Defender no Microsoft Defender for Cloud.
Com o lançamento do Microsoft Defender for Containers, mesclamos esses dois planos existentes do Defender.
O novo plano:
- Combina os recursos dos dois planos existentes - deteção de ameaças para clusters Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
- Traz recursos novos e aprimorados - incluindo suporte multicloud, deteção de ameaças no nível do host com mais de sessenta novas análises com reconhecimento de Kubernetes e avaliação de vulnerabilidade para execução de imagens
- Introduz a integração em escala nativa do Kubernetes - por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente
Com esta versão, a disponibilidade e a apresentação do Defender for Kubernetes e do Defender for container registries foram alteradas da seguinte forma:
- Novas subscrições - Os dois planos de contentores anteriores já não estão disponíveis
- Subscrições existentes - Onde quer que apareçam no portal do Azure, os planos são apresentados como Preteridos com instruções sobre como atualizar para o plano mais recente
O novo plano é gratuito para o mês de dezembro de 2021. Para obter as possíveis alterações na cobrança dos planos antigos para o Defender for Containers, e para obter mais informações sobre os benefícios introduzidos com esse plano, consulte Apresentando o Microsoft Defender for Containers.
Para obter mais informações, consulte:
- Descrição geral do Microsoft Defender para contentores
- Habilitar o Microsoft Defender para contêineres
- Apresentando o Microsoft Defender for Containers - Microsoft Tech Community
- Microsoft Defender para contêineres | Defender a nuvem no campo #3 - YouTube
Novos alertas para o Microsoft Defender for Storage lançados para disponibilidade geral (GA)
Os agentes de ameaças usam ferramentas e scripts para procurar contêineres abertos publicamente na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais.
O Microsoft Defender for Storage deteta esses scanners para que você possa bloqueá-los e corrigir sua postura.
O alerta de visualização que detetou isso foi chamado de "Verificação anônima de contêineres de armazenamento público". Para fornecer maior clareza sobre os eventos suspeitos descobertos, dividimos isso em dois novos alertas. Esses alertas são relevantes apenas para o Armazenamento de Blobs do Azure.
Melhorámos a lógica de deteção, atualizámos os metadados do alerta e alterámos o nome e o tipo de alerta.
Estes são os novos alertas:
| Alerta (tipo de alerta) | Description | Tática MITRE | Gravidade |
|---|---|---|---|
| Contêineres de armazenamento acessíveis ao público descobertos com êxito (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi realizada na última hora por um script ou ferramenta de varredura. Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles. O agente de ameaças pode usar seu próprio script ou usar ferramentas de varredura conhecidas, como o Microburst, para procurar contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Coleção | Médio |
| Contêineres de armazenamento acessíveis publicamente verificados sem êxito (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Uma série de tentativas fracassadas de verificar se há contêineres de armazenamento abertos publicamente foram realizadas na última hora. Isso geralmente indica um ataque de reconhecimento, onde o agente de ameaça tenta listar blobs adivinhando nomes de contêineres, na esperança de encontrar contêineres de armazenamento abertos mal configurados com dados confidenciais neles. O agente de ameaças pode usar seu próprio script ou usar ferramentas de varredura conhecidas, como o Microburst, para procurar contêineres abertos publicamente. ✔ Armazenamento de Blobs do Azure ✖ Arquivos do Azure ✖ Azure Data Lake Storage Gen2 |
Coleção | Baixo |
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Visão geral do Microsoft Defender for Storage
- Lista de alertas fornecidos pelo Microsoft Defender for Storage
Melhorias nos alertas do Microsoft Defender for Storage
Os alertas de acesso iniciais agora têm maior precisão e mais dados para apoiar a investigação.
Os agentes de ameaças usam várias técnicas no acesso inicial para ganhar uma posição dentro de uma rede. Dois dos alertas do Microsoft Defender for Storage que detetam anomalias comportamentais neste estágio agora têm lógica de deteção aprimorada e dados adicionais para dar suporte às investigações.
Se você configurou automações ou definiu regras de supressão de alertas para esses alertas no passado, atualize-as de acordo com essas alterações.
Detetando o acesso de um nó de saída do Tor
O acesso de um nó de saída do Tor pode indicar um agente de ameaça tentando ocultar sua identidade.
O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é maliciosa. Este aumento reduz a taxa positiva benigna.
Um padrão periférico terá alta gravidade, enquanto padrões menos anômalos terão gravidade média.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): Acesso de um nó de saída do Tor a uma conta de armazenamento
- Nome do alerta (novo): Acesso autenticado de um nó de saída do Tor
- Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Descrição: Um ou mais contêineres de armazenamento / compartilhamento(s) de arquivos em sua conta de armazenamento foram acessados com êxito a partir de um endereço IP conhecido por ser um nó de saída ativo do Tor (um proxy anonimizante). Os agentes de ameaças usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um agente de ameaça está tentando ocultar sua identidade. Aplica-se a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Tática MITRE: Acesso inicial
- Gravidade: Alta/Média
Acesso não autenticado incomum
Uma alteração nos padrões de acesso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.
Este alerta de gravidade média está agora sintonizado com uma lógica comportamental melhorada, maior precisão e confiança de que a atividade é maliciosa. Este aumento reduz a taxa positiva benigna.
O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.
- Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
- Nome do alerta (novo): Acesso não autenticado incomum a um contêiner de armazenamento
- Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
- Descrição: Esta conta de armazenamento foi acedida sem autenticação, o que constitui uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um agente de ameaça foi capaz de explorar o acesso público de leitura ao(s) contêiner(es) de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento de Blobs do Azure
- Tática MITRE: Coleção
- Gravidade: Média
Para obter mais informações, consulte:
- Matriz de ameaças para serviços de armazenamento
- Introdução ao Microsoft Defender for Storage
- Lista de alertas fornecidos pelo Microsoft Defender for Storage
Alerta 'PortSweeping' removido dos alertas da camada de rede
O seguinte alerta foi removido dos nossos alertas de camada de rede devido a ineficiências:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Possível atividade de varredura de porta de saída detetada (Varredura de portas) |
A análise de tráfego de rede detetou tráfego de saída suspeito de %{Host comprometido}. Esse tráfego pode ser resultado de uma atividade de varredura de portas. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito foi originado de um ou mais recursos no pool de back-end (do balanceador de carga ou gateway de aplicativo). Se esse comportamento for intencional, observe que a execução da verificação de porta é contrária aos Termos de Serviço do Azure. Se esse comportamento não for intencional, isso pode significar que seu recurso foi comprometido. | Deteção | Médio |
Novembro de 2021
Nossa versão Ignite inclui:
- Central de Segurança do Azure e Azure Defender se tornam Microsoft Defender for Cloud
- CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
- Priorize ações de segurança por sensibilidade de dados (com tecnologia Microsoft Purview) (em visualização)
- Avaliações de controlo de segurança expandidas com o Azure Security Benchmark v3
- Sincronização de alerta bidirecional opcional do conector Microsoft Sentinel lançada para disponibilidade geral (GA)
- Nova recomendação para enviar logs do Serviço Kubernetes do Azure (AKS) para o Sentinel
- Recomendações mapeadas para a estrutura MITRE ATT&CK -® liberada para disponibilidade geral (GA)
Outras mudanças em novembro incluem:
- Microsoft Threat and Vulnerability Management adicionado como solução de avaliação de vulnerabilidades - lançado para disponibilidade geral (GA)
- Microsoft Defender for Endpoint para Linux agora suportado pelo Microsoft Defender for Servers - lançado para disponibilidade geral (GA)
- Exportação de instantâneos para recomendações e descobertas de segurança (em visualização)
- Autoprovisionamento de soluções de avaliação de vulnerabilidades lançadas para disponibilidade geral (GA)
- Filtros de inventário de software no inventário de ativos liberados para disponibilidade geral (GA)
- Nova política de segurança AKS adicionada à iniciativa padrão – visualização
- A exibição de inventário de máquinas locais aplica um modelo diferente para o nome do recurso
Central de Segurança do Azure e Azure Defender se tornam Microsoft Defender for Cloud
De acordo com o relatório State of the Cloud 2021, 92% das organizações agora têm uma estratégia multicloud. Na Microsoft, nosso objetivo é centralizar a segurança em todos os ambientes e ajudar as equipes de segurança a trabalhar de forma mais eficaz.
O Microsoft Defender for Cloud é uma solução de Gerenciamento de Postura de Segurança na Nuvem (CSPM) e Proteção de Carga de Trabalho na Nuvem (CWP) que deteta pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura geral de segurança do seu ambiente e protege cargas de trabalho em ambientes multicloud e híbridos.
Na Ignite 2019, compartilhamos nossa visão para criar a abordagem mais completa para proteger seu patrimônio digital e integrar tecnologias XDR sob a marca Microsoft Defender. Unificar a Central de Segurança do Azure e o Azure Defender sob o novo nome Microsoft Defender for Cloud reflete os recursos integrados de nossa oferta de segurança e nossa capacidade de oferecer suporte a qualquer plataforma de nuvem.
CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2
Uma nova página de configurações de ambiente oferece maior visibilidade e controle sobre seus grupos de gerenciamento, assinaturas e contas da AWS. A página foi projetada para integrar contas da AWS em escala: conecte sua conta de gerenciamento da AWS e você integrará automaticamente contas existentes e futuras.
Quando você adiciona suas contas da AWS, o Defender for Cloud protege seus recursos da AWS com um ou todos os seguintes planos:
- Os recursos CSPM do Defender for Cloud se estendem aos seus recursos da AWS. Esse plano sem agente avalia seus recursos da AWS de acordo com recomendações de segurança específicas da AWS e elas estão incluídas em sua pontuação segura. Os recursos também serão avaliados quanto à conformidade com padrões integrados específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário de ativos do Defender for Cloud é um recurso habilitado para multinuvem que ajuda você a gerenciar seus recursos da AWS junto com seus recursos do Azure.
- O Microsoft Defender for Kubernetes estende sua deteção de ameaças de contêiner e defesas avançadas para seus clusters Linux do Amazon EKS.
- O Microsoft Defender for Servers oferece deteção de ameaças e defesas avançadas para suas instâncias EC2 do Windows e Linux. Este plano inclui a licença integrada para o Microsoft Defender for Endpoint, linhas de base de segurança e avaliações de nível de SO, verificação de avaliação de vulnerabilidade, controles de aplicativos adaptáveis (AAC), monitoramento de integridade de arquivos (FIM) e muito mais.
Saiba mais sobre como conectar suas contas da AWS ao Microsoft Defender for Cloud.
Priorize ações de segurança por sensibilidade de dados (com tecnologia Microsoft Purview) (em visualização)
Os recursos de dados continuam a ser um alvo popular para os agentes de ameaças. Por isso, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais em seus ambientes de nuvem.
Para enfrentar esse desafio, o Microsoft Defender for Cloud agora integra informações confidenciais do Microsoft Purview. O Microsoft Purview é um serviço unificado de governança de dados que fornece informações detalhadas sobre a sensibilidade de seus dados em cargas de trabalho multicloud e locais.
A integração com o Microsoft Purview amplia sua visibilidade de segurança no Defender for Cloud desde o nível de infraestrutura até os dados, permitindo uma maneira totalmente nova de priorizar recursos e atividades de segurança para suas equipes de segurança.
Saiba mais em Priorizar ações de segurança por sensibilidade de dados.
Avaliações de controlo de segurança expandidas com o Azure Security Benchmark v3
As recomendações de segurança no Defender for Cloud são suportadas pelo Benchmark de Segurança do Azure.
O Azure Security Benchmark é o conjunto de diretrizes específico do Azure criado pela Microsoft para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
A partir do Ignite 2021, o Azure Security Benchmark v3 está disponível no painel de conformidade regulatória do Defender for Cloud e habilitado como a nova iniciativa padrão para todas as assinaturas do Azure protegidas com o Microsoft Defender for Cloud.
Os aprimoramentos para v3 incluem:
Mapeamentos adicionais para estruturas do setor PCI-DSS v3.2.1 e CIS Controls v8.
Orientações mais granulares e acionáveis para os controlos, com a introdução de:
- Princípios de Segurança - Fornecer informações sobre os objetivos gerais de segurança que constroem a base para as nossas recomendações.
- Orientação do Azure - O "como" técnico para atingir esses objetivos.
Os novos controles incluem segurança de DevOps para problemas como modelagem de ameaças e segurança da cadeia de suprimentos de software, bem como gerenciamento de chaves e certificados para práticas recomendadas no Azure.
Saiba mais em Introdução ao Benchmark de Segurança do Azure.
Sincronização de alerta bidirecional opcional do conector Microsoft Sentinel lançada para disponibilidade geral (GA)
Em julho, anunciamos um recurso de visualização, sincronização de alerta bidirecional, para o conector integrado no Microsoft Sentinel (solução SIEM e SOAR nativa da nuvem da Microsoft). Este recurso agora está liberado para disponibilidade geral (GA).
Quando você conecta o Microsoft Defender for Cloud ao Microsoft Sentinel, o status dos alertas de segurança é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Defender for Cloud, esse alerta também será exibido como fechado no Microsoft Sentinel. Alterar o status de um alerta no Defender for Cloud não afetará o status de nenhum incidente do Microsoft Sentinel que contenha o alerta sincronizado do Microsoft Sentinel, apenas o do próprio alerta sincronizado.
Ao ativar a sincronização de alertas bidirecional, você sincronizará automaticamente o status dos alertas originais do Defender for Cloud com incidentes do Microsoft Sentinel que contenham as cópias desses alertas. Assim, por exemplo, quando um incidente do Microsoft Sentinel contendo um alerta do Defender for Cloud for fechado, o Defender for Cloud fechará automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure e Transmitir alertas para o Azure Sentinel.
Nova recomendação para enviar logs do Serviço Kubernetes do Azure (AKS) para o Sentinel
Em um aprimoramento adicional do valor combinado do Defender for Cloud e do Microsoft Sentinel, agora destacaremos as instâncias do Serviço Kubernetes do Azure que não estão enviando dados de log para o Microsoft Sentinel.
As equipes do SecOps podem escolher o espaço de trabalho relevante do Microsoft Sentinel diretamente na página de detalhes da recomendação e habilitar imediatamente o streaming de logs brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir uma cobertura completa de registro em todas as suas cargas de trabalho para se manterem no topo de todo o ambiente.
A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados" inclui a opção 'Corrigir' para uma correção mais rápida.
Também aprimoramos a recomendação "A auditoria no SQL Server deve ser habilitada" com os mesmos recursos de streaming do Sentinel.
Recomendações mapeadas para a estrutura MITRE ATT&CK -® liberada para disponibilidade geral (GA)
Aprimoramos as recomendações de segurança do Defender for Cloud para mostrar sua posição sobre a estrutura MITRE ATT&CK®. Esta base de conhecimento globalmente acessível de táticas e técnicas de agentes de ameaças com base em observações do mundo real, fornece mais contexto para ajudá-lo a entender os riscos associados das recomendações para seu ambiente.
Você encontrará estas táticas sempre que acessar informações de recomendação:
Os resultados da consulta do Azure Resource Graph para recomendações relevantes incluem as táticas e técnicas MITRE ATT&CK®.
As páginas de detalhes das recomendações mostram o mapeamento de todas as recomendações relevantes:
A página de recomendações no Defender for Cloud tem um novo
filtro para selecionar recomendações de acordo com a tática associada:
Saiba mais em Rever as suas recomendações de segurança.
Microsoft Threat and Vulnerability Management adicionado como solução de avaliação de vulnerabilidades - lançado para disponibilidade geral (GA)
Em outubro, anunciamos uma extensão da integração entre o Microsoft Defender for Servers e o Microsoft Defender for Endpoint, para oferecer suporte a um novo provedor de avaliação de vulnerabilidades para suas máquinas: o gerenciamento de ameaças e vulnerabilidades da Microsoft. Este recurso agora está liberado para disponibilidade geral (GA).
Use o gerenciamento de ameaças e vulnerabilidades para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integração com o Microsoft Defender for Endpoint habilitada e sem a necessidade de agentes adicionais ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e nas deteções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais" para revelar as vulnerabilidades detetadas pelo gerenciamento de ameaças e vulnerabilidades para suas máquinas suportadas.
Para revelar automaticamente as vulnerabilidades em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização).
Saiba mais em Investigar fraquezas com o gerenciamento de ameaças e vulnerabilidades do Microsoft Defender for Endpoint.
Microsoft Defender for Endpoint para Linux agora suportado pelo Microsoft Defender for Servers - lançado para disponibilidade geral (GA)
Em agosto, anunciamos o suporte de visualização para implantar o sensor Defender for Endpoint for Linux em máquinas Linux suportadas. Este recurso agora está liberado para disponibilidade geral (GA).
O Microsoft Defender for Servers inclui uma licença integrada para o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).
Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender for Cloud. No Defender for Cloud, você também pode girar para o console do Defender for Endpoint e executar uma investigação detalhada para descobrir o escopo do ataque.
Saiba mais em Proteja seus endpoints com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Exportação de instantâneos para recomendações e descobertas de segurança (em visualização)
O Defender for Cloud gera alertas e recomendações de segurança detalhados. Pode visualizá-los no portal ou através de ferramentas programáticas. Também pode ser necessário exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.
O recurso de exportação contínua do Defender for Cloud permite personalizar totalmente o que será exportado e para onde irá. Saiba mais em Exportar continuamente dados do Microsoft Defender for Cloud.
Embora o recurso seja chamado de contínuo, também há uma opção para exportar instantâneos semanais. Até agora, esses instantâneos semanais eram limitados a dados seguros de pontuação e conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.
Autoprovisionamento de soluções de avaliação de vulnerabilidades lançadas para disponibilidade geral (GA)
Em outubro, anunciamos a adição de soluções de avaliação de vulnerabilidade à página de autoprovisionamento do Defender for Cloud. Isso é relevante para máquinas virtuais do Azure e máquinas Azure Arc em assinaturas protegidas pelo Azure Defender for Servers. Este recurso agora está liberado para disponibilidade geral (GA).
Se a integração com o Microsoft Defender for Endpoint estiver habilitada, o Defender for Cloud apresentará uma variedade de soluções de avaliação de vulnerabilidade:
- (NOVO) O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft do Microsoft Defender for Endpoint (consulte a nota de versão)
- O agente integrado da Qualys
A solução escolhida será automaticamente ativada nas máquinas suportadas.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidades para as suas máquinas.
Filtros de inventário de software no inventário de ativos liberados para disponibilidade geral (GA)
Em outubro, anunciamos novos filtros para a página de inventário de ativos para selecionar máquinas que executam software específico - e até mesmo especificar as versões de interesse. Este recurso agora está liberado para disponibilidade geral (GA).
Você pode consultar os dados de inventário de software no Azure Resource Graph Explorer.
Para usar esses recursos, você precisará habilitar a integração com o Microsoft Defender for Endpoint.
Para obter detalhes completos, incluindo consultas Kusto de exemplo para o Azure Resource Graph, consulte Acessar um inventário de software.
Nova política de segurança AKS adicionada à iniciativa padrão
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, o Defender for Cloud inclui políticas de nível do Kubernetes e recomendações de proteção, incluindo opções de imposição com controle de admissão do Kubernetes.
Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para limitar a implantação em clusters Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a visualização relacionada.
Você pode ignorar com segurança as políticas e recomendações ("Os clusters Kubernetes devem impedir a implantação de imagens vulneráveis") e não haverá impacto no seu ambiente.
Se quiser participar na pré-visualização, terá de ser membro do anel de pré-visualização. Se você ainda não é membro, envie uma solicitação aqui. Os membros serão notificados quando a pré-visualização começar.
A exibição de inventário de máquinas locais aplica um modelo diferente para o nome do recurso
Para melhorar a apresentação de recursos no inventário de ativos, removemos o elemento "source-computer-IP" do modelo para nomear máquinas locais.
- Formato anterior:
machine-name_source-computer-id_VMUUID - A partir desta atualização:
machine-name_VMUUID
Outubro de 2021
As atualizações em outubro incluem:
- Gerenciamento de ameaças e vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidades (em visualização)
- As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização)
- Filtros de inventário de software adicionados ao inventário de ativos (em visualização)
- Prefixo alterado de alguns tipos de alerta de "ARM_" para "VM_"
- Alterações na lógica de uma recomendação de segurança para clusters Kubernetes
- As páginas de detalhes das recomendações agora mostram recomendações relacionadas
- Novos alertas para o Azure Defender for Kubernetes (em visualização)
Gerenciamento de ameaças e vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidades (em visualização)
Alargámos a integração entre o Azure Defender for Servers e o Microsoft Defender for Endpoint, para suportar um novo fornecedor de avaliação de vulnerabilidades para as suas máquinas: a gestão de ameaças e vulnerabilidades da Microsoft.
Use o gerenciamento de ameaças e vulnerabilidades para descobrir vulnerabilidades e configurações incorretas quase em tempo real com a integração com o Microsoft Defender for Endpoint habilitada e sem a necessidade de agentes adicionais ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e nas deteções em sua organização.
Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais" para revelar as vulnerabilidades detetadas pelo gerenciamento de ameaças e vulnerabilidades para suas máquinas suportadas.
Para revelar automaticamente as vulnerabilidades em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização).
Saiba mais em Investigar fraquezas com o gerenciamento de ameaças e vulnerabilidades do Microsoft Defender for Endpoint.
As soluções de avaliação de vulnerabilidades agora podem ser ativadas automaticamente (na visualização)
A página de provisionamento automático da Central de Segurança agora inclui a opção de habilitar automaticamente uma solução de avaliação de vulnerabilidade para máquinas virtuais do Azure e máquinas Azure Arc em assinaturas protegidas pelo Azure Defender for Servers.
Se a integração com o Microsoft Defender for Endpoint estiver habilitada, o Defender for Cloud apresentará uma variedade de soluções de avaliação de vulnerabilidade:
- (NOVO) O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft do Microsoft Defender for Endpoint (consulte a nota de versão)
- O agente integrado da Qualys
A solução escolhida será automaticamente ativada nas máquinas suportadas.
Saiba mais em Configurar automaticamente a avaliação de vulnerabilidades para as suas máquinas.
Filtros de inventário de software adicionados ao inventário de ativos (em visualização)
A página de inventário de ativos agora inclui um filtro para selecionar máquinas que executam software específico - e até mesmo especificar as versões de interesse.
Além disso, você pode consultar os dados de inventário de software no Azure Resource Graph Explorer.
Para usar esses novos recursos, você precisará habilitar a integração com o Microsoft Defender for Endpoint.
Para obter detalhes completos, incluindo consultas Kusto de exemplo para o Azure Resource Graph, consulte Acessar um inventário de software.
Prefixo alterado de alguns tipos de alerta de "ARM_" para "VM_"
Em julho de 2021, anunciamos uma reorganização lógica dos alertas do Azure Defender for Resource Manager
Durante a reorganização dos planos do Defender, movemos alertas do Azure Defender for Resource Manager para o Azure Defender for Servers.
Com esta atualização, alteramos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na tabela a seguir:
| Nome original | A partir desta mudança |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Saiba mais sobre os planos Azure Defender for Resource Manager e Azure Defender for Servers .
Alterações na lógica de uma recomendação de segurança para clusters Kubernetes
A recomendação "Os clusters Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nesta recomendação foram removidos: ConfigMap e Secret.
Saiba mais sobre essa recomendação e como proteger seus clusters do Kubernetes em Compreender a Política do Azure para clusters do Kubernetes.
As páginas de detalhes das recomendações agora mostram recomendações relacionadas
Para esclarecer as relações entre as diferentes recomendações, adicionámos uma área de recomendações relacionadas às páginas de detalhes de muitas recomendações.
Os três tipos de relacionamento mostrados nestas páginas são:
- Pré-requisito - Uma recomendação que deve ser concluída antes da recomendação selecionada
- Alternativa - Uma recomendação diferente que fornece outra maneira de alcançar os objetivos da recomendação selecionada
- Dependente - Uma recomendação para a qual a recomendação selecionada é um pré-requisito
Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".
Gorjeta
Se uma recomendação relacionada estiver acinzentada, sua dependência ainda não foi concluída e, portanto, não está disponível.
Um exemplo de recomendações relacionadas:
A Central de Segurança verifica suas máquinas em busca de soluções de avaliação de vulnerabilidades suportadas:
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuaisSe uma for encontrada, você será notificado sobre vulnerabilidades descobertas:
As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
Obviamente, a Central de Segurança não pode notificá-lo sobre vulnerabilidades descobertas, a menos que encontre uma solução de avaliação de vulnerabilidade compatível.
Desta forma:
- A recomendação #1 é um pré-requisito para a recomendação #2
- A recomendação #2 depende da recomendação #1
Novos alertas para o Azure Defender for Kubernetes (em visualização)
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender for Kubernetes, adicionamos dois alertas de visualização.
Esses alertas são gerados com base em um novo modelo de aprendizado de máquina e análises avançadas do Kubernetes, medindo vários atributos de implantação e atribuição de função em relação a atividades anteriores no cluster e em todos os clusters monitorados pelo Azure Defender.
| Alerta (tipo de alerta) | Description | Tática MITRE | Gravidade |
|---|---|---|---|
| Implantação anômala de pods (Visualização) (K8S_AnomalousPodDeployment) |
A análise do log de auditoria do Kubernetes detetou a implantação do pod que é anômala, com base na atividade anterior de implantação do pod. Esta atividade é considerada uma anomalia quando se leva em conta como as diferentes características vistas na operação de implantação estão em relação umas com as outras. Os recursos monitorados por essa análise incluem o registro de imagem de contêiner usado, a conta que executa a implantação, o dia da semana, a frequência com que essa conta executa implantações de pod, o agente de usuário usado na operação, é este um namespace que é a implantação de pod ocorre com frequência, ou outro recurso. Os principais motivos que contribuem para gerar esse alerta como atividade anômala são detalhados nas propriedades estendidas do alerta. | Execução | Médio |
| Permissões de função excessivas atribuídas no cluster do Kubernetes (Visualização) (K8S_ServiceAcountPermissionAnomaly) |
A análise dos logs de auditoria do Kubernetes detetou uma atribuição excessiva de função de permissões ao cluster. Ao examinar atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Essa deteção considera atribuições de função anteriores para a mesma conta de serviço em clusters monitorados pelo Azure, o volume por permissão e o impacto da permissão específica. O modelo de deteção de anomalias usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados pelo Azure Defender. | Escalamento de Privilégios | Baixo |
Para obter uma lista completa dos alertas do Kubernetes, consulte Alertas para clusters do Kubernetes.
Setembro de 2021
Em setembro, a seguinte atualização foi lançada:
Duas novas recomendações para auditar as configurações do SO para conformidade com a linha de base de segurança do Azure (em pré-visualização)
As duas recomendações a seguir foram lançadas para avaliar a conformidade de suas máquinas com a linha de base de segurança do Windows e a linha de base de segurança do Linux:
- Para máquinas Windows, as vulnerabilidades na configuração de segurança em suas máquinas Windows devem ser corrigidas (alimentadas pela Configuração de convidado)
- Para máquinas Linux, as vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (alimentadas pela Configuração de convidado)
Essas recomendações usam o recurso de configuração de convidado da Política do Azure para comparar a configuração do sistema operacional de uma máquina com a linha de base definida no Benchmark de Segurança do Azure.
Saiba mais sobre como usar essas recomendações na configuração do sistema operacional de uma máquina usando a configuração de convidado.
Agosto de 2021
As atualizações em agosto incluem:
- Microsoft Defender for Endpoint para Linux agora suportado pelo Azure Defender for Servers (em pré-visualização)
- Duas novas recomendações para gerenciar soluções de proteção de endpoint (em visualização)
- Solução de problemas integrada e orientação para resolver problemas comuns
- Relatórios de auditoria do Azure do painel de conformidade regulamentar lançados para disponibilidade geral (GA)
- Recomendação preterida "Problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas"
- O Azure Defender para registros de contêiner agora verifica vulnerabilidades em registros protegidos com o Azure Private Link
- A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado da Política do Azure (em visualização)
- As recomendações para habilitar os planos do Azure Defender agora oferecem suporte a "Enforce"
- Exportações CSV de dados de recomendação agora limitadas a 20 MB
- A página de recomendações agora inclui várias visualizações
Microsoft Defender for Endpoint para Linux agora suportado pelo Azure Defender for Servers (em pré-visualização)
O Azure Defender for Servers inclui uma licença integrada para o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).
Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é apresentado no Centro de Segurança. Na Central de Segurança, você também pode girar para o console do Defender for Endpoint e realizar uma investigação detalhada para descobrir o escopo do ataque.
Durante o período de visualização, você implantará o sensor Defender for Endpoint for Linux em máquinas Linux suportadas de uma das duas maneiras, dependendo se você já o implantou em suas máquinas Windows:
- Usuários existentes com os recursos de segurança aprimorados do Defender for Cloud habilitados e o Microsoft Defender for Endpoint para Windows
- Novos usuários que nunca habilitaram a integração com o Microsoft Defender for Endpoint para Windows
Saiba mais em Proteja seus endpoints com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Duas novas recomendações para gerenciar soluções de proteção de endpoint (em visualização)
Adicionámos duas recomendações de pré-visualização para implementar e manter as soluções de proteção de terminais nas suas máquinas. Ambas as recomendações incluem suporte para máquinas virtuais do Azure e máquinas conectadas a servidores habilitados para Azure Arc.
| Recomendação | Description | Gravidade |
|---|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada. Saiba mais sobre como o Endpoint Protection para máquinas é avaliado. (Política relacionada: Monitorar o Endpoint Protection ausente na Central de Segurança do Azure) |
Alto |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui. A avaliação da proteção de pontos finais está documentada aqui. (Política relacionada: Monitorar o Endpoint Protection ausente na Central de Segurança do Azure) |
Médio |
Nota
As recomendações mostram seu intervalo de frescor como 8 horas, mas há alguns cenários em que isso pode levar significativamente mais tempo. Por exemplo, quando uma máquina local é excluída, leva 24 horas para a Central de Segurança identificar a exclusão. Depois disso, a avaliação levará até 8 horas para devolver as informações. Nessa situação específica, portanto, pode levar 32 horas para que a máquina seja removida da lista de recursos afetados.
Solução de problemas integrada e orientação para resolver problemas comuns
Uma nova área dedicada das páginas da Central de Segurança no portal do Azure fornece um conjunto agrupado e cada vez maior de materiais de autoajuda para resolver desafios comuns com a Central de Segurança e o Azure Defender.
Quando você está enfrentando um problema, ou está procurando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudá-lo a encontrar a solução:
Relatórios de auditoria do Azure do painel de conformidade regulamentar lançados para disponibilidade geral (GA)
A barra de ferramentas do painel de conformidade regulamentar oferece relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas.
Você pode selecionar a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para encontrar os relatórios específicos de que precisa.
Para obter mais informações, consulte Gerar relatórios e certificados de status de conformidade.
Recomendação preterida "Problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas"
Descobrimos que os problemas de integridade do agente do Log Analytics de recomendação devem ser resolvidos em suas máquinas e afetam as pontuações seguras de maneiras inconsistentes com o foco do CSPM (Gerenciamento de Postura de Segurança na Nuvem) da Central de Segurança. Normalmente, o CSPM está relacionado à identificação de configurações incorretas de segurança. Os problemas de saúde do agente não se encaixam nessa categoria de problemas.
Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados com o Centro de Segurança: este é o único agente com uma recomendação relacionada com questões de saúde.
A recomendação foi preterida.
Como resultado dessa depreciação, também fizemos pequenas alterações nas recomendações para instalar o agente do Log Analytics (o agente do Log Analytics deve ser instalado em...).
É provável que essa alteração afete suas pontuações seguras. Para a maioria das assinaturas, esperamos que a alteração leve a um aumento da pontuação, mas é possível que as atualizações da recomendação de instalação resultem em pontuações reduzidas em alguns casos.
Gorjeta
A página de inventário de ativos também foi afetada por essa alteração, pois exibe o status monitorado para máquinas (monitoradas, não monitoradas ou parcialmente monitoradas - um estado que se refere a um agente com problemas de integridade).
O Azure Defender para registros de contêiner agora verifica vulnerabilidades em registros protegidos com o Azure Private Link
O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidade para verificar imagens em seus registros do Registro de Contêiner do Azure. Saiba como verificar seus registros e corrigir descobertas em Usar o Azure Defender para registros de contêiner para verificar suas imagens em busca de vulnerabilidades.
Para limitar o acesso a um registro hospedado no Registro de Contêiner do Azure, atribua endereços IP privados de rede virtual aos pontos de extremidade do Registro e use o Link Privado do Azure, conforme explicado em Conectar-se de forma privada a um registro de contêiner do Azure usando o Azure Private Link.
Como parte de nossos esforços contínuos para oferecer suporte a ambientes e casos de uso adicionais, o Azure Defender agora também verifica registros de contêiner protegidos com o Azure Private Link.
A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado da Política do Azure (em visualização)
A Política do Azure pode auditar configurações dentro de uma máquina, tanto para máquinas em execução no Azure quanto para máquinas conectadas ao Arc. A validação é executada pela extensão da Configuração de Convidado e pelo cliente. Saiba mais em Compreender a Configuração de Convidado da Política do Azure.
Com esta atualização, pode agora definir o Centro de Segurança para aprovisionar automaticamente esta extensão para todos os computadores suportados.
Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.
As recomendações para habilitar os planos do Azure Defender agora oferecem suporte a "Enforce"
A Central de Segurança inclui dois recursos que ajudam a garantir que os recursos recém-criados sejam provisionados de forma segura: impor e negar. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:
- Negar impede que recursos não íntegros sejam criados
- Impor corrige automaticamente recursos não compatíveis quando eles são criados
Com essa atualização, a opção de imposição agora está disponível nas recomendações para habilitar os planos do Azure Defender (como o Azure Defender for App Service deve ser habilitado, o Azure Defender for Key Vault deve ser habilitado, o Azure Defender for Storage deve ser habilitado).
Saiba mais sobre essas opções em Evitar configurações incorretas com recomendações de Impor/Negar.
Exportações CSV de dados de recomendação agora limitadas a 20 MB
Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.
Se você precisar exportar quantidades maiores de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.
Saiba mais sobre como realizar uma exportação CSV de suas recomendações de segurança.
A página de recomendações agora inclui várias visualizações
A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:
- Recomendações de pontuação segura - Use esta guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
- Todas as recomendações - Use esta guia para exibir a lista de recomendações como uma lista simples. Essa guia também é ótima para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com recomendações em O que são políticas, iniciativas e recomendações de segurança?.
Julho de 2021
As atualizações em julho incluem:
- O conector do Azure Sentinel agora inclui sincronização de alerta bidirecional opcional (em visualização)
- Reorganização lógica dos alertas do Azure Defender for Resource Manager
- Aprimoramentos na recomendação para habilitar o Azure Disk Encryption (ADE)
- Exportação contínua de pontuação segura e dados de conformidade regulatória liberados para disponibilidade geral (GA)
- As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (GA)
- Campo da API de avaliações 'FirstEvaluationDate' e 'StatusChangeDate' agora disponível em esquemas de espaço de trabalho e aplicativos lógicos
- Modelo de pasta de trabalho 'Conformidade ao longo do tempo' adicionado à galeria de Pastas de Trabalho do Azure Monitor
O conector do Azure Sentinel agora inclui sincronização de alerta bidirecional opcional (em visualização)
A Central de Segurança integra-se nativamente ao Azure Sentinel, a solução SIEM e SOAR nativa da nuvem do Azure.
O Azure Sentinel inclui conectores internos para a Central de Segurança do Azure nos níveis de assinatura e locatário. Saiba mais em Transmitir alertas para o Azure Sentinel.
Quando você conecta o Azure Defender ao Azure Sentinel, o status dos alertas do Azure Defender que são ingeridos no Azure Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado no Azure Defender, esse alerta também será exibido como fechado no Azure Sentinel. Alterar o status de um alerta no Azure Defender "não"* afetará o status de quaisquer incidentes do Azure Sentinel que contenham o alerta sincronizado do Azure Sentinel, apenas o do próprio alerta sincronizado.
Quando você habilita a sincronização de alertas bidirecionais do recurso de visualização, ela sincroniza automaticamente o status dos alertas originais do Azure Defender com incidentes do Azure Sentinel que contêm cópias desses alertas do Azure Defender. Assim, por exemplo, quando um incidente do Azure Sentinel contendo um alerta do Azure Defender é fechado, o Azure Defender fecha automaticamente o alerta original correspondente.
Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure.
Reorganização lógica dos alertas do Azure Defender for Resource Manager
Os alertas listados abaixo foram fornecidos como parte do plano do Azure Defender for Resource Manager .
Como parte de uma reorganização lógica de alguns dos planos do Azure Defender, movemos alguns alertas do Azure Defender for Resource Manager para o Azure Defender for Servers.
Os alertas estão organizados de acordo com dois princípios principais:
- Os alertas que fornecem proteção de plano de controle - em muitos tipos de recursos do Azure - fazem parte do Azure Defender for Resource Manager
- Os alertas que protegem cargas de trabalho específicas estão no plano do Azure Defender relacionado à carga de trabalho correspondente
Estes são os alertas que faziam parte do Azure Defender for Resource Manager e que, como resultado dessa alteração, agora fazem parte do Azure Defender for Servers:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Saiba mais sobre os planos Azure Defender for Resource Manager e Azure Defender for Servers .
Aprimoramentos na recomendação para habilitar o Azure Disk Encryption (ADE)
Após os comentários dos usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.
A nova recomendação usa a mesma ID de avaliação e é chamada de Máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento.
A descrição também foi atualizada para explicar melhor o objetivo desta recomendação de endurecimento:
| Recomendação | Description | Gravidade |
|---|---|---|
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma; Os discos temporários e os caches de dados não são criptografados e os dados não são criptografados ao fluir entre recursos de computação e armazenamento. Para obter mais informações, consulte a comparação de diferentes tecnologias de criptografia de disco no Azure. Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere esta recomendação se: (1) estiver a utilizar a funcionalidade de encriptação no anfitrião ou (2) a encriptação do lado do servidor em Managed Disks cumprir os seus requisitos de segurança. Saiba mais em Criptografia do lado do servidor do Armazenamento em Disco do Azure. |
Alto |
Exportação contínua de pontuação segura e dados de conformidade regulatória liberados para disponibilidade geral (GA)
A exportação contínua fornece o mecanismo para exportar seus alertas de segurança e recomendações para rastreamento com outras ferramentas de monitoramento em seu ambiente.
Ao configurar sua exportação contínua, você configura o que é exportado e para onde ele irá. Saiba mais na visão geral da exportação contínua.
Aprimoramos e expandimos esse recurso ao longo do tempo:
Em novembro de 2020, adicionámos a opção de pré-visualização para transmitir as alterações à sua pontuação segura.
Para obter detalhes completos, consulte A pontuação segura agora está disponível na exportação contínua (visualização).Em dezembro de 2020, adicionámos a opção de pré-visualização para transmitir alterações aos seus dados de avaliação de conformidade regulamentar.
Para obter detalhes completos, consulte Exportação contínua obtém novos tipos de dados (visualização).
Com esta atualização, essas duas opções são liberadas para disponibilidade geral (GA).
As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (GA)
Em fevereiro de 2021, adicionamos um terceiro tipo de dados de visualização às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulamentar. Saiba mais em As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulamentar.
Com esta atualização, essa opção de gatilho é liberada para disponibilidade geral (GA).
Saiba como usar as ferramentas de automação de fluxo de trabalho em Automatizar respostas a gatilhos da Central de Segurança.
Campo da API de avaliações 'FirstEvaluationDate' e 'StatusChangeDate' agora disponível em esquemas de espaço de trabalho e aplicativos lógicos
Em maio de 2021, atualizamos a API de Avaliação com dois novos campos, FirstEvaluationDate e StatusChangeDate. Para obter detalhes completos, consulte API de avaliações expandida com dois novos campos.
Esses campos eram acessíveis por meio da API REST, do Azure Resource Graph, da exportação contínua e das exportações CSV.
Com essa alteração, estamos disponibilizando as informações no esquema do espaço de trabalho do Log Analytics e em aplicativos lógicos.
Modelo de pasta de trabalho 'Conformidade ao longo do tempo' adicionado à galeria de Pastas de Trabalho do Azure Monitor
Em março, anunciámos a experiência integrada de Livros do Azure Monitor no Centro de Segurança (consulte Livros do Azure Monitor integrados no Centro de Segurança e três modelos fornecidos).
A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.
Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.
Saiba mais sobre como usar esses relatórios ou criar o seu próprio em Criar relatórios avançados e interativos de dados da Central de Segurança.
Junho de 2021
As atualizações em junho incluem:
- Novo alerta para o Azure Defender for Key Vault
- Recomendações para criptografar com chaves gerenciadas pelo cliente (CMKs) desabilitadas por padrão
- Prefixo dos alertas do Kubernetes alterado de "AKS_" para "K8S_"
- Duas recomendações preteridas do controle de segurança "Aplicar atualizações do sistema"
Novo alerta para o Azure Defender for Key Vault
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender for Key Vault, adicionamos o seguinte alerta:
| Alerta (tipo de alerta) | Description | Tática MITRE | Gravidade |
|---|---|---|---|
| Acesso a partir de um endereço IP suspeito a um cofre de chaves (KV_SuspiciousIPAccess) |
Um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. Saiba mais sobre os recursos de inteligência de ameaças da Microsoft. | Acesso a credenciais | Médio |
Para obter mais informações, consulte:
- Introdução ao Azure Defender for Key Vault
- Responder aos alertas do Azure Defender for Key Vault
- Lista de alertas fornecidos pelo Azure Defender for Key Vault
Recomendações para criptografar com chaves gerenciadas pelo cliente (CMKs) desabilitadas por padrão
A Central de Segurança inclui várias recomendações para criptografar dados em repouso com chaves gerenciadas pelo cliente, como:
- Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
Os dados no Azure são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando necessário para conformidade com uma política específica que sua organização está optando por impor.
Com essa alteração, as recomendações para usar CMKs agora são desabilitadas por padrão. Quando relevantes para sua organização, você pode habilitá-los alterando o parâmetro Effect da diretiva de segurança correspondente para AuditIfNotExists ou Enforce. Saiba mais em Ativar uma recomendação de segurança.
Essa alteração é refletida nos nomes da recomendação com um novo prefixo, [Habilitar se necessário], conforme mostrado nos exemplos a seguir:
- [Ativar, se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados em repouso
- [Ativar, se necessário] Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- [Ativar, se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
Prefixo dos alertas do Kubernetes alterado de "AKS_" para "K8S_"
O Azure Defender for Kubernetes foi recentemente expandido para proteger clusters Kubernetes hospedados no local e em ambientes multicloud. Saiba mais em Usar o Azure Defender para Kubernetes para proteger implantações híbridas e multicloud do Kubernetes (em visualização).
Para refletir o fato de que os alertas de segurança fornecidos pelo Azure Defender for Kubernetes não estão mais restritos a clusters no Serviço Kubernetes do Azure, alteramos o prefixo dos tipos de alerta de "AKS_" para "K8S_". Sempre que necessário, os nomes e as descrições também foram atualizados. Por exemplo, este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detetada (AKS_PenTestToolsKubeHunter) |
A análise do log de auditoria do Kubernetes detetou o uso da ferramenta de teste de penetração do Kubernetes no cluster AKS . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos. |
Alterado para este alerta:
| Alerta (tipo de alerta) | Description |
|---|---|
| Ferramenta de teste de penetração do Kubernetes detetada (K8S_PenTestToolsKubeHunter) |
A análise do log de auditoria do Kubernetes detetou o uso da ferramenta de teste de penetração do Kubernetes no cluster do Kubernetes . Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins maliciosos. |
Todas as regras de supressão que se referem a alertas que iniciam "AKS_" foram convertidas automaticamente. Se você configurou exportações SIEM ou scripts de automação personalizados que se referem a alertas do Kubernetes por tipo de alerta, será necessário atualizá-los com os novos tipos de alerta.
Para obter uma lista completa dos alertas do Kubernetes, consulte Alertas para clusters do Kubernetes.
Duas recomendações preteridas do controle de segurança "Aplicar atualizações do sistema"
As duas recomendações seguintes foram preteridas:
- A versão do SO deve ser atualizada para as suas funções de serviço na nuvem - Por predefinição, o Azure atualiza periodicamente o seu SO convidado para a imagem suportada mais recente dentro da família de SO que especificou na sua configuração de serviço (.cscfg), como o Windows Server 2016.
- Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes - As avaliações desta recomendação não são tão abrangentes quanto gostaríamos que fossem. Planeamos substituir a recomendação por uma versão melhorada mais alinhada com as suas necessidades de segurança.
Maio de 2021
As atualizações em maio incluem:
- Azure Defender para DNS e Azure Defender for Resource Manager lançados para disponibilidade geral (GA)
- Azure Defender para bancos de dados relacionais de código aberto lançados para disponibilidade geral (GA)
- Novos alertas para o Azure Defender for Resource Manager
- Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (visualização)
- Mais consultas do Resource Graph disponíveis para algumas recomendações
- Severidade da recomendação de classificação de dados SQL alterada
- Novas recomendações para habilitar recursos de inicialização confiáveis (em visualização)
- Novas recomendações para proteger clusters do Kubernetes (em visualização)
- API de avaliações expandida com dois novos campos
- O inventário de ativos obtém um filtro de ambiente de nuvem
Azure Defender para DNS e Azure Defender for Resource Manager lançados para disponibilidade geral (GA)
Esses dois planos de proteção contra ameaças de amplitude nativa da nuvem agora são GA.
Estas novas proteções melhoram significativamente a sua resiliência contra ataques de agentes de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.
Azure Defender for Resource Manager - monitoriza automaticamente todas as operações de gestão de recursos realizadas na sua organização. Para obter mais informações, consulte:
Azure Defender for DNS - monitoriza continuamente todas as consultas DNS a partir dos seus recursos do Azure. Para obter mais informações, consulte:
Para simplificar o processo de habilitação desses planos, use as recomendações:
- O Azure Defender for Resource Manager deve estar habilitado
- O Azure Defender para DNS deve estar habilitado
Nota
Habilitar os planos do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Azure Defender para bancos de dados relacionais de código aberto lançados para disponibilidade geral (GA)
A Central de Segurança do Azure expande sua oferta de proteção SQL com um novo pacote para cobrir seus bancos de dados relacionais de código aberto:
- Azure Defender para servidores de banco de dados SQL do Azure - defende seus SQL Servers nativos do Azure
- Azure Defender para servidores SQL em máquinas - estende as mesmas proteções aos seus servidores SQL em ambientes híbridos, multicloud e locais
- Azure Defender para bancos de dados relacionais de código aberto - defende seus bancos de dados do Azure para servidores únicos MySQL, PostgreSQL e MariaDB
O Azure Defender para bancos de dados relacionais de código aberto monitora constantemente seus servidores em busca de ameaças à segurança e deteta atividades anômalas do banco de dados indicando ameaças potenciais ao Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:
- Deteção granular de ataques de força bruta - O Azure Defender para bancos de dados relacionais de código aberto fornece informações detalhadas sobre tentativas e ataques de força bruta bem-sucedidos. Isso permite que você investigue e responda com uma compreensão mais completa da natureza e do status do ataque ao seu ambiente.
- Deteção de alertas comportamentais - O Azure Defender para bancos de dados relacionais de código aberto alerta você sobre comportamentos suspeitos e inesperados em seus servidores, como alterações no padrão de acesso ao seu banco de dados.
- Deteção baseada em informações sobre ameaças - o Azure Defender aplica a inteligência de ameaças da Microsoft e a vasta base de conhecimento à superfície de alertas de ameaças para que possa agir contra elas.
Saiba mais em Introdução ao Azure Defender para bancos de dados relacionais de código aberto.
Novos alertas para o Azure Defender for Resource Manager
Para expandir as proteções contra ameaças fornecidas pelo Azure Defender for Resource Manager, adicionamos os seguintes alertas:
| Alerta (tipo de alerta) | Description | Táticas MITRE | Gravidade |
|---|---|---|---|
| Permissões concedidas para uma função RBAC de uma maneira incomum para seu ambiente do Azure (Visualização) (ARM_AnomalousRBACRoleAssignment) |
O Azure Defender for Resource Manager detetou uma atribuição de função RBAC que é invulgar quando comparada com outras atribuições executadas pelo mesmo atribuidor/realizadas para o mesmo cessionário/no seu inquilino devido às seguintes anomalias: tempo de atribuição, localização do cedente, cessionário, método de autenticação, entidades atribuídas, software cliente utilizado, extensão da atribuição. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando conceder permissões a uma conta de usuário adicional de sua propriedade. | Movimento Lateral, Evasão de Defesa | Médio |
| Função personalizada privilegiada criada para a sua subscrição de forma suspeita (Pré-visualização) (ARM_PrivilegedRoleDefinitionCreation) |
O Azure Defender for Resource Manager detetou uma criação suspeita de definição de função personalizada privilegiada na sua subscrição. Essa operação pode ter sido executada por um usuário legítimo em sua organização. Como alternativa, isso pode indicar que uma conta em sua organização foi violada e que o agente de ameaça está tentando criar uma função privilegiada para usar no futuro para evitar a deteção. | Movimento Lateral, Evasão de Defesa | Baixo |
| Operação do Azure Resource Manager a partir de endereço IP suspeito (Pré-visualização) (ARM_OperationFromSuspiciousIP) |
O Azure Defender for Resource Manager detetou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência de ameaças. | Execução | Médio |
| Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (Pré-visualização) (ARM_OperationFromSuspiciousProxyIP) |
O Azure Defender for Resource Manager detetou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele é frequentemente visto em atividades maliciosas, quando agentes de ameaças tentam ocultar seu IP de origem. | Evasão de Defesa | Médio |
Para obter mais informações, consulte:
- Introdução ao Azure Defender for Resource Manager
- Responder aos alertas do Azure Defender for Resource Manager
- Lista de alertas fornecidos pelo Azure Defender for Resource Manager
Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (visualização)
O Azure Defender para registros de contêiner agora fornece observabilidade das equipes DevSecOps nos fluxos de trabalho das Ações do GitHub.
O novo recurso de verificação de vulnerabilidades para imagens de contêiner, utilizando o Trivy, ajuda você a verificar vulnerabilidades comuns em suas imagens de contêiner antes de enviar imagens para registros de contêiner.
Os relatórios de verificação de contêiner são resumidos na Central de Segurança do Azure, fornecendo às equipes de segurança uma melhor perceção e compreensão sobre a origem das imagens de contêiner vulneráveis e os fluxos de trabalho e repositórios de onde elas se originam.
Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho de CI/CD.
Mais consultas do Resource Graph disponíveis para algumas recomendações
Todas as recomendações da Central de Segurança têm a opção de exibir as informações sobre o status dos recursos afetados usando o Gráfico de Recursos do Azure na consulta Abrir. Para obter detalhes completos sobre esse poderoso recurso, consulte Revisar dados de recomendação no Azure Resource Graph Explorer (ARG).
A Central de Segurança inclui varreduras de vulnerabilidade internas para verificar suas VMs, servidores SQL e seus hosts e registros de contêiner em busca de vulnerabilidades de segurança. As descobertas são retornadas como recomendações com todas as descobertas individuais para cada tipo de recurso reunidas em uma única exibição. As recomendações são as seguintes:
- As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas (com tecnologia Qualys)
- As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
- Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
- Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas
Com essa alteração, você pode usar o botão Abrir consulta para também abrir a consulta mostrando as descobertas de segurança.
O botão Abrir consulta oferece opções adicionais para algumas outras recomendações, quando relevante.
Saiba mais sobre os scanners de vulnerabilidade da Central de Segurança:
- Verificador de vulnerabilidades Qualys integrado do Azure Defender para máquinas Azure e híbridas
- Verificador de avaliação de vulnerabilidades integrado do Azure Defender para servidores SQL
- Verificador integrado de avaliação de vulnerabilidades do Azure Defender para registos de contentores
Severidade da recomendação de classificação de dados SQL alterada
A severidade da recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados foi alterada de Alta para Baixa.
Isto faz parte de uma alteração contínua a esta recomendação anunciada na nossa próxima página de alterações.
Novas recomendações para habilitar recursos de inicialização confiáveis (em visualização)
O Azure oferece inicialização confiável como uma maneira perfeita de melhorar a segurança das VMs de 2ª geração. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes. O lançamento confiável é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece outra camada de defesa contra ameaças sofisticadas. Saiba mais em Início confiável para máquinas virtuais do Azure.
Importante
A inicialização confiável requer a criação de novas máquinas virtuais. Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela.
O lançamento confiável está atualmente em visualização pública. A visualização é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.
A recomendação da Central de Segurança, vTPM deve ser habilitado em máquinas virtuais com suporte, garante que suas VMs do Azure estejam usando um vTPM. Esta versão virtualizada de um Trusted Platform Module de hardware permite o atestado medindo toda a cadeia de arranque da sua VM (UEFI, SO, sistema operativo e controladores).
Com o vTPM ativado, a extensão Guest Attestation pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:
- A Inicialização Segura deve ser habilitada em máquinas virtuais Windows suportadas
- A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas
- A extensão de Atestado de Convidado deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual do Windows suportados
- A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Linux suportadas
- A extensão Guest Attestation deve ser instalada em conjuntos de escala de máquina virtual Linux suportados
Saiba mais em Início confiável para máquinas virtuais do Azure.
Novas recomendações para proteger clusters do Kubernetes (em visualização)
As recomendações a seguir permitem que você proteja ainda mais seus clusters do Kubernetes
- Os clusters Kubernetes não devem usar o namespace padrão - Para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount, impeça o uso do namespace padrão em clusters Kubernetes.
- Os clusters do Kubernetes devem desabilitar as credenciais da API de montagem automática - Para evitar que um recurso de Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes, desative as credenciais de API de montagem automática.
- Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN
Saiba como a Central de Segurança pode proteger seus ambientes em contêineres na Segurança de contêineres na Central de Segurança.
API de avaliações expandida com dois novos campos
Adicionamos os dois campos a seguir à API REST de avaliações:
- FirstEvaluationDate – A hora em que a recomendação foi criada e avaliada pela primeira vez. Retornado como hora UTC no formato ISO 8601.
- StatusChangeDate – A hora em que o status da recomendação foi alterado pela última vez. Retornado como hora UTC no formato ISO 8601.
O valor padrão inicial para esses campos - para todas as recomendações - é 2021-03-14T00:00:00+0000000Z.
Para acessar essas informações, você pode usar qualquer um dos métodos na tabela abaixo.
| Ferramenta | Detalhes |
|---|---|
| Chamada à API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Continuous export (Exportação contínua) | Os dois campos dedicados estarão disponíveis os dados do espaço de trabalho do Log Analytics |
| Exportação CSV | Os dois campos estão incluídos nos ficheiros CSV |
Saiba mais sobre a API REST de avaliações.
O inventário de ativos obtém um filtro de ambiente de nuvem
A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explore e gerencie seus recursos com o inventário de ativos.
Um novo filtro oferece a opção de refinar a lista de acordo com as contas na nuvem que você conectou com os recursos multicloud da Central de Segurança:
Saiba mais sobre os recursos multicloud:
- Conecte suas contas da AWS à Central de Segurança do Azure
- Conectar seus projetos do GCP à Central de Segurança do Azure
Abril de 2021
As atualizações em abril incluem:
- Página de integridade do recurso atualizada (na visualização)
- As imagens de registro de contêiner que foram extraídas recentemente agora são redigitalizadas semanalmente (liberadas para disponibilidade geral (GA))
- Usar o Azure Defender for Kubernetes para proteger implantações híbridas e multicloud do Kubernetes (em visualização)
- A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows lançada para disponibilidade geral (GA)
- Recomendações para habilitar o Azure Defender para DNS e o Gerenciador de Recursos (em visualização)
- Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e Nova Zelândia ISM Restricted
- Quatro novas recomendações relacionadas à configuração do convidado (em visualização)
- As recomendações da CMK foram movidas para o controle de segurança de práticas recomendadas
- Onze alertas do Azure Defender preteridos
- Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
- Bloco do Azure Defender for SQL na máquina removido do painel do Azure Defender
- As recomendações foram transferidas entre os controlos de segurança
Página de integridade do recurso atualizada (na visualização)
A integridade do recurso foi expandida, aprimorada e aprimorada para fornecer uma visão instantânea da integridade geral de um único recurso.
Você pode revisar informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se você estiver usando os planos de proteção avançada do Microsoft Defender, também poderá ver alertas de segurança pendentes para esse recurso específico.
Para abrir a página de integridade de um recurso, selecione qualquer recurso na página de inventário de ativos.
Esta página de pré-visualização nas páginas do portal do Centro de Segurança mostra:
- Informações sobre recursos - O grupo de recursos e a subscrição a que está ligado, a localização geográfica e muito mais.
- Recurso de segurança aplicado - Se o Azure Defender está habilitado para o recurso.
- Contagens de recomendações e alertas pendentes - O número de recomendações de segurança pendentes e alertas do Azure Defender.
- Recomendações e alertas acionáveis - Duas guias listam as recomendações e alertas que se aplicam ao recurso.
Saiba mais em Tutorial: Investigue a integridade dos seus recursos.
As imagens de registro de contêiner que foram extraídas recentemente agora são redigitalizadas semanalmente (liberadas para disponibilidade geral (GA))
O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidades interno. Este scanner verifica imediatamente qualquer imagem que você enviar para o seu registro e qualquer imagem puxada nos últimos 30 dias.
Novas vulnerabilidades são descobertas todos os dias. Com esta atualização, as imagens de contentores que foram retiradas dos seus registos durante os últimos 30 dias serão novamente digitalizadas todas as semanas. Isso garante que vulnerabilidades recém-descobertas sejam identificadas em suas imagens.
A digitalização é cobrada por imagem, portanto, não há cobrança adicional para essas novas varreduras.
Saiba mais sobre este mecanismo de varredura em Usar o Azure Defender para registros de contêiner para verificar suas imagens em busca de vulnerabilidades.
Usar o Azure Defender for Kubernetes para proteger implantações híbridas e multicloud do Kubernetes (em visualização)
O Azure Defender for Kubernetes está expandindo seus recursos de proteção contra ameaças para defender seus clusters onde quer que eles sejam implantados. Isso foi habilitado pela integração com o Kubernetes habilitado para Azure Arc e seus novos recursos de extensões.
Quando você habilita o Azure Arc em seus clusters Kubernetes que não são do Azure, uma nova recomendação da Central de Segurança do Azure oferece implantar o agente do Azure Defender neles com apenas alguns cliques.
Use a recomendação (clusters Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Defender instalada) e a extensão para proteger clusters Kubernetes implantados em outros provedores de nuvem, embora não em seus serviços Kubernetes gerenciados.
Essa integração entre a Central de Segurança do Azure, o Azure Defender e o Kubernetes habilitado para Azure Arc traz:
- Provisionamento fácil do agente do Azure Defender para clusters Kubernetes habilitados para Azure Arc desprotegidos (manualmente e em escala)
- Monitoramento do agente do Azure Defender e seu estado de provisionamento a partir do Portal do Arco do Azure
- As recomendações de segurança da Central de Segurança são relatadas na nova página Segurança do Portal do Arco do Azure
- As ameaças de segurança identificadas pelo Azure Defender são relatadas na nova página Segurança do Portal do Arco do Azure
- Os clusters Kubernetes habilitados para Azure Arc são integrados à plataforma e à experiência da Central de Segurança do Azure
Saiba mais em Usar o Azure Defender para Kubernetes com seus clusters Kubernetes locais e multicloud.
A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows lançada para disponibilidade geral (GA)
O Microsoft Defender para Endpoint é uma solução de segurança de ponto final holística e entregue na cloud. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como deteção e resposta de pontos finais (EDR). Para obter uma lista completa dos benefícios de usar o Defender for Endpoint junto com a Central de Segurança do Azure, consulte Proteja seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Quando você habilita o Azure Defender for Servers executando o Windows Server, uma licença para o Defender for Endpoint é incluída no plano. Se você já habilitou o Azure Defender for Servers e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender for Endpoint com esta atualização. Nenhuma ação manual é necessária.
O suporte foi agora expandido para incluir o Windows Server 2019 e o Windows 10 no Ambiente de Trabalho Virtual do Windows.
Nota
Se você estiver habilitando o Defender for Endpoint em um servidor Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender for Endpoint.
Recomendações para habilitar o Azure Defender para DNS e o Gerenciador de Recursos (em visualização)
Duas novas recomendações foram adicionadas para simplificar o processo de habilitação do Azure Defender for Resource Manager e do Azure Defender for DNS:
- O Azure Defender for Resource Manager deve ser habilitado - o Defender for Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas.
- O Azure Defender for DNS deve ser habilitado - o Defender for DNS fornece uma camada adicional de proteção para seus recursos de nuvem monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Azure Defender alerta você sobre atividades suspeitas na camada DNS.
Habilitar os planos do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.
Gorjeta
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a essas recomendações em Corrigir recomendações na Central de Segurança do Azure.
Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e Nova Zelândia ISM Restricted
Adicionámos três padrões para utilização com o Centro de Segurança do Azure. Usando o painel de conformidade regulamentar, agora você pode acompanhar sua conformidade com:
Você pode atribuí-los às suas assinaturas conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Saiba mais em:
- Personalizar o conjunto de normas no seu dashboard de conformidade regulamentar
- Tutorial: Melhore sua conformidade regulatória
- FAQ – Dashboard de conformidade regulamentar
Quatro novas recomendações relacionadas à configuração do convidado (em visualização)
A extensão Configuração de Convidado do Azure informa a Central de Segurança para ajudar a garantir que as configurações de convidado de suas máquinas virtuais sejam reforçadas. A extensão não é necessária para servidores preparados para o Arc porque está incluída no agente do Computador Ligado ao Arc. A extensão requer uma identidade gerenciada pelo sistema na máquina.
Adicionámos quatro novas recomendações ao Centro de Segurança para tirar o máximo partido desta extensão.
Duas recomendações solicitam que você instale a extensão e sua identidade gerenciada pelo sistema necessária:
- A extensão Configuração do Convidado deve ser instalada em suas máquinas
- A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema
Quando a extensão estiver instalada e em execução, ela começará a auditar suas máquinas e você será solicitado a fortalecer as configurações, como a configuração do sistema operacional e as configurações do ambiente. Estas duas recomendações solicitarão que você proteja suas máquinas Windows e Linux conforme descrito:
- O Windows Defender Exploit Guard deve ser ativado nas suas máquinas
- A autenticação em máquinas Linux deve exigir chaves SSH
Saiba mais em Compreender a Configuração de Convidado da Política do Azure.
As recomendações da CMK foram movidas para o controle de segurança de práticas recomendadas
O programa de segurança de cada organização inclui requisitos de criptografia de dados. Por padrão, os dados dos clientes do Azure são criptografados em repouso com chaves gerenciadas pelo serviço. No entanto, as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem criptografar seus dados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Isso lhe dá total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
Os controles de segurança da Central de Segurança do Azure são grupos lógicos de recomendações de segurança relacionadas e refletem suas superfícies de ataque vulneráveis. Cada controle tem um número máximo de pontos que você pode adicionar à sua pontuação segura se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança Implementar práticas recomendadas de segurança vale zero pontos. Portanto, as recomendações nesse controle não afetam sua pontuação segura.
As recomendações listadas abaixo estão sendo movidas para o controle de segurança Implementar práticas recomendadas de segurança para refletir melhor sua natureza opcional. Este movimento garante que essas recomendações estejam no controle mais adequado para atingir seu objetivo.
- As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As contas de serviços de IA do Azure devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente (CMK)
- Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)
- As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso
- As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
11 Alertas do Azure Defender preteridos
Os onze alertas do Azure Defender listados abaixo foram preteridos.
Novos alertas substituirão estes dois alertas e proporcionarão uma melhor cobertura:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - A função "Get-AzureDomainInfo" do kit de ferramentas MicroBurst é executada detetada ARM_MicroBurstRunbook PREVIEW - A função "Get-AzurePasswords" do kit de ferramentas MicroBurst é executada detetada Estes nove alertas estão relacionados com um conector de Proteção de Identidade (IPC) do Azure Ative Directory que já foi preterido:
AlertType AlertDisplayName DesconhecidoLocalização Propriedades de inícios de sessão desconhecidos AnonymousLogin Endereço IP anónimo InfectedDeviceLogin Endereço IP associado a malware ImpossibleTravel Viagem atípica MaliciousIP Endereço IP malicioso Credenciais vazadas Fuga de credenciais SenhaSpray Spray de senha Credenciais vazadas Informações de ameaças do Azure AD AADAI Azure AD AI Gorjeta
Esses nove alertas IPC nunca foram alertas da Central de Segurança. Eles fazem parte do conector de Proteção de Identidade (IPC) do Azure Ative Directory (AAD) que os enviava para a Central de Segurança. Nos últimos dois anos, os únicos clientes que têm visto esses alertas são organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. O AAD IPC continuou a mostrá-los em seus próprios sistemas de alertas e eles continuaram disponíveis no Azure Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.
Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas
As duas recomendações a seguir foram preteridas e as alterações podem resultar em um pequeno impacto na sua pontuação segura:
- Suas máquinas devem ser reiniciadas para aplicar atualizações do sistema
- O agente de monitoramento deve ser instalado em suas máquinas. Esta recomendação refere-se apenas a máquinas locais e parte da sua lógica será transferida para outra recomendação, os problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas
Recomendamos verificar suas configurações de exportação contínua e automação do fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, quaisquer painéis ou outras ferramentas de monitoramento que possam estar usando-os devem ser atualizados de acordo.
Saiba mais sobre essas recomendações na página de referência de recomendações de segurança.
Bloco do Azure Defender for SQL na máquina removido do painel do Azure Defender
A área de cobertura do painel do Azure Defender inclui blocos para os planos relevantes do Azure Defender para seu ambiente. Devido a um problema com o relatório do número de recursos protegidos e desprotegidos, decidimos remover temporariamente o status de cobertura de recursos do Azure Defender for SQL em máquinas até que o problema seja resolvido.
Recomendações movidas entre controlos de segurança
As recomendações a seguir foram movidas para diferentes controles de segurança. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem suas superfícies de ataque vulneráveis. Este movimento garante que cada uma dessas recomendações esteja no controle mais adequado para atingir seu objetivo.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
| Recomendação | Mudança e impacto |
|---|---|
| A avaliação de vulnerabilidades deve estar ativada nos seus servidores SQL A avaliação de vulnerabilidades deve ser habilitada em suas instâncias gerenciadas pelo SQL As vulnerabilidades em seus bancos de dados SQL devem ser corrigidas novas As vulnerabilidades em seus bancos de dados SQL em VMs devem ser corrigidas |
Passar de Corrigir vulnerabilidades (vale seis pontos) para remediar configurações de segurança (valendo quatro pontos). Dependendo do seu ambiente, essas recomendações terão um impacto reduzido na sua pontuação. |
| Deve haver mais do que um proprietário atribuído à sua subscrição As variáveis de conta de automação devem ser criptografadas Dispositivos IoT - O processo auditado parou de enviar eventos Dispositivos IoT - Falha na validação da linha de base do sistema operacional Dispositivos IoT - Atualização do pacote de codificação TLS necessária Dispositivos IoT - Portas abertas no dispositivo Dispositivos IoT - Política de firewall permissiva em uma das cadeias foi encontrada Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de entrada Dispositivos IoT - Foi encontrada uma regra de firewall permissiva na cadeia de saída Os registos de diagnóstico no Hub IoT devem estar ativados Dispositivos IoT - Agente enviando mensagens subutilizadas Dispositivos IoT - Política de Filtro IP Padrão deve ser Negar Dispositivos IoT - Regra de filtro IP de grande intervalo de IP Dispositivos IoT - Os intervalos e o tamanho das mensagens do agente devem ser ajustados Dispositivos IoT - Credenciais de autenticação idênticas Dispositivos IoT - O processo auditado parou de enviar eventos Dispositivos IoT - A configuração de linha de base do sistema operacional (SO) deve ser corrigida |
Movendo-se para Implementar práticas recomendadas de segurança. Quando uma recomendação passa para o controle de segurança Implementar práticas recomendadas de segurança, que não vale pontos, a recomendação não afeta mais sua pontuação segura. |
Março de 2021
As atualizações em março incluem:
- Gerenciamento do Firewall do Azure integrado à Central de Segurança
- A avaliação de vulnerabilidade do SQL agora inclui a experiência "Desabilitar regra" (visualização)
- Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos
- O painel de conformidade regulatória agora inclui relatórios de auditoria do Azure (visualização)
- Os dados de recomendação podem ser visualizados no Azure Resource Graph com "Explorar no ARG"
- Atualizações das políticas de implantação da automação do fluxo de trabalho
- Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure
- Aprimoramentos da página de recomendações
Gerenciamento do Firewall do Azure integrado à Central de Segurança
Quando você abre a Central de Segurança do Azure, a primeira página a ser exibida é a página de visão geral.
Este painel interativo fornece uma visão unificada da postura de segurança de suas cargas de trabalho de nuvem híbrida. Além disso, mostra alertas de segurança, informações de cobertura e muito mais.
Como parte de ajudá-lo a exibir seu status de segurança a partir de uma experiência central, integramos o Gerenciador de Firewall do Azure neste painel. Agora você pode verificar o status da cobertura do Firewall em todas as redes e gerenciar centralmente as políticas do Firewall do Azure a partir da Central de Segurança.
Saiba mais sobre esse painel na página de visão geral da Central de Segurança do Azure.
A avaliação de vulnerabilidade do SQL agora inclui a experiência "Desabilitar regra" (visualização)
A Central de Segurança inclui um verificador de vulnerabilidades integrado para ajudá-lo a descobrir, rastrear e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança das máquinas SQL e detalhes de quaisquer descobertas de segurança.
Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Saiba mais em Desativar descobertas específicas.
Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos
Como parte do Ignite Spring 2021, anunciamos uma experiência integrada de Pastas de Trabalho do Azure Monitor na Central de Segurança.
Você pode usar a nova integração para começar a usar os modelos prontos para uso na galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da sua organização. Além disso, você pode criar novas pastas de trabalho com base nos dados da Central de Segurança ou em quaisquer outros tipos de dados suportados e implantar rapidamente pastas de trabalho da comunidade a partir da comunidade GitHub da Central de Segurança.
São fornecidos três modelos de relatórios:
- Pontuação segura ao longo do tempo - Acompanhe as pontuações das suas subscrições e as alterações às recomendações para os seus recursos
- Atualizações do sistema - Veja as atualizações do sistema ausentes por recursos, sistema operacional, gravidade e muito mais
- Descobertas de avaliação de vulnerabilidade - Exibir as descobertas de verificações de vulnerabilidade de seus recursos do Azure
Saiba mais sobre como usar esses relatórios ou criar o seu próprio em Criar relatórios avançados e interativos de dados da Central de Segurança.
O painel de conformidade regulatória agora inclui relatórios de auditoria do Azure (visualização)
Na barra de ferramentas do painel de conformidade regulamentar, agora você pode baixar relatórios de certificação do Azure e do Dynamics.
Você pode selecionar a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para encontrar os relatórios específicos de que precisa.
Saiba mais sobre como gerenciar os padrões em seu painel de conformidade regulamentar.
Os dados de recomendação podem ser visualizados no Azure Resource Graph com "Explorar no ARG"
As páginas de detalhes da recomendação agora incluem o botão da barra de ferramentas "Explorar no ARG". Use este botão para abrir uma consulta do Gráfico de Recursos do Azure e explorar, exportar e compartilhar os dados da recomendação.
O Azure Resource Graph (ARG) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure.
Saiba mais sobre o Azure Resource Graph (ARG).
Atualizações das políticas de implantação da automação do fluxo de trabalho
Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.
Fornecemos três políticas 'DeployIfNotExist' da Política do Azure que criam e configuram procedimentos de automação de fluxo de trabalho para que você possa implantar suas automações em toda a organização:
| Goal | Política | ID da Política |
|---|---|---|
| Automação do fluxo de trabalho para alertas de segurança | Implementar a Automatização do Fluxo de Trabalho para os alertas do Centro de Segurança do Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação do fluxo de trabalho para recomendações de segurança | Implementar a Automatização do Fluxo de Trabalho para as recomendações do Centro de Segurança do Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automação do fluxo de trabalho para alterações de conformidade regulatória | Implantar a Automação do Fluxo de Trabalho para conformidade regulatória da Central de Segurança do Azure | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Há duas atualizações para os recursos dessas políticas:
- Quando atribuídos, eles permanecerão habilitados pela execução.
- Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros, mesmo depois que eles já tiverem sido implantados. Por exemplo, você pode adicionar ou editar uma chave de avaliação.
Comece a usar modelos de automação de fluxo de trabalho.
Saiba mais sobre como Automatizar respostas a gatilhos da Central de Segurança.
Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure
A Central de Segurança passa os dados de quase todas as recomendações de segurança para o Consultor do Azure, que, por sua vez, os grava no log de atividades do Azure.
Para duas recomendações, os dados são gravados simultaneamente diretamente no log de atividades do Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, estamos exportando os dados para o Azure Advisor como fazemos para todas as outras recomendações.
As duas recomendações legadas são:
- Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas
- As vulnerabilidades na configuração de segurança nas máquinas virtuais devem ser remediadas
Se você estiver acessando informações para essas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, elas não estarão mais disponíveis.
Aprimoramentos da página de recomendações
Lançamos uma versão melhorada da lista de recomendações para apresentar mais informações rapidamente.
Agora na página você verá:
- A pontuação máxima e a pontuação atual para cada controle de segurança.
- Ícones que substituem tags como Corrigir e Visualizar.
- Uma nova coluna mostrando a iniciativa Política relacionada a cada recomendação - visível quando a opção "Agrupar por controles" está desativada.
Saiba mais em Recomendações de segurança na Central de Segurança do Azure.
Fevereiro de 2021
As atualizações em fevereiro incluem:
- Nova página de alertas de segurança no portal do Azure lançada para disponibilidade geral (GA)
- Recomendações de proteção de carga de trabalho do Kubernetes lançadas para disponibilidade geral (GA)
- A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (em visualização)
- Link direto para a política na página de detalhes da recomendação
- A recomendação de classificação de dados SQL não afeta mais sua pontuação segura
- As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (em visualização)
- Aprimoramentos da página de inventário de ativos
Nova página de alertas de segurança no portal do Azure lançada para disponibilidade geral (GA)
A página de alertas de segurança da Central de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem melhorada para alertas - ajudando a reduzir a fadiga dos alertas e a concentrar-se mais facilmente nas ameaças mais relevantes, a lista inclui filtros personalizáveis e opções de agrupamento.
- Mais informações na lista de alertas - como táticas MITRE ATT&ACK.
- Botão para criar alertas de exemplo - para avaliar os recursos do Azure Defender e testar seus alertas. (para integração SIEM, notificações por email e automações de fluxo de trabalho), você pode criar alertas de exemplo de todos os planos do Azure Defender.
- Alinhamento com a experiência de incidentes do Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles agora é uma experiência mais simples e é fácil aprender um com o outro.
- Melhor desempenho para grandes listas de alertas.
- Navegação pelo teclado através da lista de alertas.
- Alertas do Azure Resource Graph - você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também é útil se você estiver criando seus próprios painéis de alertas. Saiba mais sobre o Azure Resource Graph.
- Criar recurso de alertas de exemplo - Para criar alertas de exemplo a partir da nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.
Recomendações de proteção de carga de trabalho do Kubernetes lançadas para disponibilidade geral (GA)
Temos o prazer de anunciar a disponibilidade geral (GA) do conjunto de recomendações para proteções de carga de trabalho do Kubernetes.
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção de nível do Kubernetes, incluindo opções de imposição com controle de admissão do Kubernetes.
Quando a Política do Azure para Kubernetes é instalada no cluster do Serviço Kubernetes do Azure (AKS), cada solicitação para o servidor de API do Kubernetes será monitorada em relação ao conjunto predefinido de práticas recomendadas - exibidas como 13 recomendações de segurança - antes de ser persistida no cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Saiba mais em Práticas recomendadas de proteção de carga de trabalho usando o controle de admissão do Kubernetes.
Nota
Embora as recomendações estivessem em visualização, elas não tornaram um recurso de cluster AKS não íntegro e não foram incluídas nos cálculos da sua pontuação segura. com este anúncio da AG estes serão incluídos no cálculo da pontuação. Se você ainda não os corrigiu, isso pode resultar em um pequeno impacto em sua pontuação segura. Corrija-os sempre que possível, conforme descrito em Corrigir recomendações na Central de Segurança do Azure.
A integração do Microsoft Defender for Endpoint com o Azure Defender agora oferece suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (em visualização)
O Microsoft Defender para Endpoint é uma solução de segurança de ponto final holística e entregue na cloud. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como deteção e resposta de pontos finais (EDR). Para obter uma lista completa dos benefícios de usar o Defender for Endpoint junto com a Central de Segurança do Azure, consulte Proteja seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender for Endpoint.
Quando você habilita o Azure Defender for Servers executando o Windows Server, uma licença para o Defender for Endpoint é incluída no plano. Se você já habilitou o Azure Defender for Servers e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender for Endpoint com esta atualização. Nenhuma ação manual é necessária.
O suporte foi agora expandido para incluir o Windows Server 2019 e o Windows 10 no Ambiente de Trabalho Virtual do Windows.
Nota
Se você estiver habilitando o Defender for Endpoint em um servidor Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender for Endpoint.
Link direto para a política na página de detalhes da recomendação
Quando você está revisando os detalhes de uma recomendação, geralmente é útil poder ver a política subjacente. Para cada recomendação apoiada por uma política, há um novo link na página de detalhes da recomendação:
Use este link para visualizar a definição da política e rever a lógica de avaliação.
Se estiver a rever a lista de recomendações no nosso guia de referência de recomendações de segurança, também verá ligações para as páginas de definição de política:
A recomendação de classificação de dados SQL não afeta mais sua pontuação segura
A recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados não afeta mais sua pontuação segura. A classificação de dados de controle de segurança Aplicar que o contém agora tem um valor de pontuação segura de 0.
Para obter uma lista completa de todos os controles de segurança, juntamente com suas pontuações e uma lista das recomendações em cada um, consulte Controles de segurança e suas recomendações.
As automações de fluxo de trabalho podem ser acionadas por alterações nas avaliações de conformidade regulatória (em visualização)
Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.
Saiba como usar as ferramentas de automação de fluxo de trabalho em Automatizar respostas a gatilhos da Central de Segurança.
Aprimoramentos da página de inventário de ativos
A página de inventário de ativos do Centro de Segurança foi melhorada:
Os resumos na parte superior da página incluem agora subscrições não registadas, mostrando o número de subscrições sem o Centro de Segurança ativado.
Os filtros foram expandidos e melhorados para incluir:
Contagens - Cada filtro apresenta o número de recursos que atendem aos critérios de cada categoria
Contém filtro de isenções (Opcional) - restrinja os resultados aos recursos que têm/não têm isenções. Este filtro não é mostrado por padrão, mas é acessível a partir do botão Adicionar filtro .
Saiba mais sobre como explorar e gerenciar seus recursos com o inventário de ativos.
Janeiro de 2021
As atualizações em janeiro incluem:
- A Referência de Segurança do Azure é, agora, a iniciativa de política predefinida do Centro de Segurança do Azure
- A avaliação de vulnerabilidade para máquinas locais e multicloud é liberada para disponibilidade geral (GA)
- A classificação de segurança para grupos de gestão já está disponível em pré-visualização
- A API de pontuação segura é liberada para disponibilidade geral (GA)
- Proteções de DNS pendente adicionadas ao Azure Defender para Serviço de Aplicações
- Conectores multicloud são liberados para disponibilidade geral (GA)
- Isentar recomendações inteiras da sua pontuação segura para subscrições e grupos de gestão
- Os usuários agora podem solicitar visibilidade de todo o locatário de seu administrador global
- 35 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
- Exportação CSV da lista de recomendações filtrada
- Os recursos "não aplicáveis" são, agora, comunicados como "Conformes" nas avaliações do Azure Policy
- Exportar instantâneos semanais de classificação de segurança e dados de conformidade regulamentares com exportação contínua (pré-visualização)
A Referência de Segurança do Azure é, agora, a iniciativa de política predefinida do Centro de Segurança do Azure
O Azure Security Benchmark é o conjunto de diretrizes específico do Azure criado pela Microsoft para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Esta referência amplamente respeitada baseia-se nos controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.
Nos últimos meses, a lista de recomendações de segurança incorporadas do Centro de Segurança cresceu significativamente para expandir a nossa cobertura desta referência.
A partir desta versão, o benchmark é a base para as recomendações da Central de Segurança e totalmente integrado como a iniciativa de política padrão.
Todos os serviços do Azure têm uma página de linha de base de segurança em sua documentação. Essas linhas de base são criadas no Benchmark de Segurança do Azure.
Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do benchmark durante um período de transição:
As recomendações existentes não são afetadas e, à medida que o benchmark cresce, as alterações serão refletidas automaticamente na Central de Segurança.
Para saber mais, consulte as seguintes páginas:
- Saiba mais sobre o Azure Security Benchmark
- Personalizar o conjunto de normas no seu dashboard de conformidade regulamentar
A avaliação de vulnerabilidade para máquinas locais e multicloud é liberada para disponibilidade geral (GA)
Em outubro, anunciamos uma prévia para a verificação de servidores habilitados para Azure Arc com o scanner de avaliação de vulnerabilidades integrado do Azure Defender for Servers (desenvolvido pela Qualys).
Agora está liberado para disponibilidade geral (GA).
Quando você habilitar o Azure Arc em suas máquinas que não sejam do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado nelas - manualmente e em escala.
Com esta atualização, você pode liberar o poder do Azure Defender for Servers para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos do Azure e não do Azure.
Principais capacidades:
- Monitorando o estado de provisionamento do scanner VA (avaliação de vulnerabilidade) em máquinas Azure Arc
- Provisionamento do agente VA integrado para máquinas Windows e Linux Azure Arc desprotegidas (manualmente e em escala)
- Recebimento e análise de vulnerabilidades detetadas de agentes implantados (manualmente e em escala)
- Experiência unificada para VMs do Azure e máquinas Azure Arc
Saiba mais sobre os servidores habilitados para Azure Arc.
A classificação de segurança para grupos de gestão já está disponível em pré-visualização
A página de pontuação segura agora mostra as pontuações seguras agregadas para seus grupos de gerenciamento, além do nível de assinatura. Portanto, agora você pode ver a lista de grupos de gerenciamento em sua organização e a pontuação para cada grupo de gerenciamento.
Saiba mais sobre pontuação segura e controles de segurança na Central de Segurança do Azure.
A API de pontuação segura é liberada para disponibilidade geral (GA)
Agora você pode acessar sua pontuação por meio da API de pontuação segura. Os métodos de API fornecem a flexibilidade para consultar os dados e criar seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. Por exemplo:
- use a API Secure Scores para obter a pontuação de uma assinatura específica
- use a API de controles de pontuação segura para listar os controles de segurança e a pontuação atual de suas assinaturas
Saiba mais sobre as ferramentas externas possibilitadas com a API de pontuação segura na área de pontuação segura da nossa comunidade GitHub.
Saiba mais sobre pontuação segura e controles de segurança na Central de Segurança do Azure.
Proteções de DNS pendente adicionadas ao Azure Defender para Serviço de Aplicações
As aquisições de subdomínios são uma ameaça comum e de alta gravidade para as organizações. Uma aquisição de subdomínio pode ocorrer quando você tem um registro DNS que aponta para um site desprovisionado. Esses registos DNS também são conhecidos como entradas "DNS pendentes". Os registos CNAME são especialmente vulneráveis a esta ameaça.
As aquisições de subdomínios permitem que os agentes de ameaças redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.
O Azure Defender for App Service agora deteta entradas DNS pendentes quando um site do Serviço de Aplicativo é desativado. Este é o momento em que a entrada DNS está apontando para um recurso que não existe, e seu site está vulnerável a uma aquisição de subdomínio. Essas proteções estão disponíveis independentemente de seus domínios serem gerenciados com o DNS do Azure ou um registrador de domínios externo e se aplicam ao Serviço de Aplicativo no Windows e ao Serviço de Aplicativo no Linux.
Saiba mais:
- Tabela de referência de alertas do Serviço de Aplicativo - Inclui dois novos alertas do Azure Defender que são acionados quando uma entrada DNS pendente é detetada
- Evite entradas DNS pendentes e evite a tomada de controle de subdomínio - Saiba mais sobre a ameaça de invasão de subdomínio e o aspeto DNS pendente
- Introdução ao Azure Defender for App Service
Conectores multicloud são liberados para disponibilidade geral (GA)
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo.
A Central de Segurança do Azure protege cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Conectar seus projetos da AWS ou GCP integra suas ferramentas de segurança nativas, como o AWS Security Hub e o GCP Security Command Center, à Central de Segurança do Azure.
Esse recurso significa que a Central de Segurança oferece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios desta integração:
- Provisionamento automático de agentes - a Central de Segurança usa o Azure Arc para implantar o agente do Log Analytics em suas instâncias da AWS
- Gestão de políticas
- Gestão de vulnerabilidades
- EDR (Endpoint Detection and Response) incorporado
- Deteção de erros de configuração de segurança
- Uma vista única que mostra as recomendações de segurança de todos os fornecedores de serviços em nuvem
- Incorpore todos os seus recursos nos cálculos de pontuação segura do Centro de Segurança
- Avaliações de conformidade regulatória de seus recursos da AWS e do GCP
No menu do Defender for Cloud, selecione Conectores Multicloud e você verá as opções para criar novos conectores:
Saiba mais em:
- Conecte suas contas da AWS à Central de Segurança do Azure
- Conectar seus projetos do GCP à Central de Segurança do Azure
Isentar recomendações inteiras da sua pontuação segura para subscrições e grupos de gestão
Estamos expandindo a capacidade de isenção para incluir recomendações inteiras. Fornecer mais opções para ajustar as recomendações de segurança que o Centro de Segurança faz para as suas subscrições, grupo de gestão ou recursos.
Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que a Central de Segurança não detetou. Ou uma recomendação será exibida em um escopo onde você sente que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados com o recurso ou recomendação específica.
Com esse recurso de visualização, agora você pode criar uma isenção para uma recomendação para:
Isente um recurso para garantir que ele não seja listado com os recursos não íntegros no futuro e não afete sua pontuação segura. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.
Isente uma subscrição ou um grupo de gestão para garantir que a recomendação não afeta a sua pontuação segura e não será apresentada para a subscrição ou grupo de gestão no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você crie no futuro. A recomendação será marcada com a justificação específica que selecionar para o âmbito selecionado.
Saiba mais em Isentar recursos e recomendações da sua pontuação segura.
Os usuários agora podem solicitar visibilidade de todo o locatário de seu administrador global
Se um usuário não tiver permissões para ver os dados da Central de Segurança, ele verá um link para solicitar permissões ao administrador global de sua organização. O pedido inclui o papel que eles gostariam e a justificativa para que ele seja necessário.
Saiba mais em Solicitar permissões para todo o locatário quando as suas forem insuficientes.
35 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
O Azure Security Benchmark é a iniciativa de política padrão na Central de Segurança do Azure.
Para aumentar a cobertura deste benchmark, as 35 recomendações de pré-visualização seguintes foram adicionadas ao Centro de Segurança.
Gorjeta
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a essas recomendações em Corrigir recomendações na Central de Segurança do Azure.
| Controlo de segurança | Novas recomendações |
|---|---|
| Habilite a criptografia em repouso | - As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK) - Traga sua própria chave de proteção de dados deve ser habilitado para servidores MySQL - Traga sua própria chave de proteção de dados deve ser habilitado para servidores PostgreSQL - As contas de serviços de IA do Azure devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente (CMK) - Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente (CMK) - As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso - As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia |
| Implementação de melhores práticas de segurança | - As subscrições devem ter um endereço de e-mail de contacto para questões de segurança - O provisionamento automático do agente do Log Analytics deve ser ativado na sua assinatura - A notificação por e-mail para alertas de alta gravidade deve ser ativada - A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser ativada - Os cofres de chaves devem ter a proteção contra purga ativada - Os cofres de chaves devem ter a exclusão suave ativada |
| Gerenciar acesso e permissões | - Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' ativado |
| Proteja os aplicativos contra ataques DDoS | - Web Application Firewall (WAF) deve ser ativado para Application Gateway - O Web Application Firewall (WAF) deve ser habilitado para o serviço Azure Front Door Service |
| Restringir o acesso não autorizado à rede | - O firewall deve ser ativado no Cofre da Chave - Ponto de extremidade privado deve ser configurado para o Cofre da Chave - Configuração do aplicativo deve usar link privado - O Cache Redis do Azure deve residir em uma rede virtual - Os domínios da Grade de Eventos do Azure devem usar link privado - Os tópicos da Grade de Eventos do Azure devem usar link privado - Os espaços de trabalho do Azure Machine Learning devem usar link privado - O Serviço Azure SignalR deve usar link privado - Azure Spring Cloud deve usar injeção de rede - Os registos de contentores não devem permitir o acesso irrestrito à rede - Os registos de contentores devem utilizar ligação privada - O acesso à rede pública deve ser desativado para servidores MariaDB - O acesso à rede pública deve ser desativado para servidores MySQL - O acesso à rede pública deve ser desativado para servidores PostgreSQL - Conta de armazenamento deve usar uma conexão de link privado - Contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual - Os modelos do VM Image Builder devem usar link privado |
Ligações úteis:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre o Azure Database for MariaDB
- Saiba mais sobre a Base de Dados do Azure para MySQL
- Saiba mais sobre a Base de Dados do Azure para PostgreSQL
Exportação CSV da lista de recomendações filtrada
Em novembro de 2020, adicionámos filtros à página de recomendações (a lista de recomendações inclui agora filtros). Em dezembro, expandimos esses filtros (a página Recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis).
Com este anúncio, estamos mudando o comportamento do botão Baixar para CSV para que a exportação CSV inclua apenas as recomendações exibidas atualmente na lista filtrada.
Por exemplo, na imagem abaixo você pode ver que a lista é filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.
Saiba mais em Recomendações de segurança na Central de Segurança do Azure.
Os recursos "não aplicáveis" são, agora, comunicados como "Conformes" nas avaliações do Azure Policy
Anteriormente, os recursos que foram avaliados para uma recomendação e considerados não aplicáveis apareciam na Política do Azure como "Não compatíveis". Nenhuma ação do usuário poderia alterar seu estado para "Conforme". Com essa alteração, eles são relatados como "Compatíveis" para maior clareza.
O único impacto será visto na Política do Azure, onde o número de recursos compatíveis aumentará. Não haverá impacto na sua pontuação segura na Central de Segurança do Azure.
Exportar instantâneos semanais de classificação de segurança e dados de conformidade regulamentares com exportação contínua (pré-visualização)
Adicionamos um novo recurso de visualização às ferramentas de exportação contínua para exportar instantâneos semanais de pontuação segura e dados de conformidade regulamentar.
Ao definir uma exportação contínua, defina a frequência de exportação:
- Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se não ocorrerem atualizações, nenhum dado será enviado).
- Snapshots – um instantâneo do estado atual de todas as avaliações de conformidade regulatória será enviado todas as semanas (este é um recurso de visualização para instantâneos semanais de pontuações seguras e dados de conformidade regulatória).
Saiba mais sobre todos os recursos desse recurso em Exportar dados da Central de Segurança continuamente.
Dezembro de 2020
As atualizações em dezembro incluem:
- O Azure Defender para servidores SQL em máquinas está disponível em geral
- O suporte do Azure Defender for SQL para o pool SQL dedicado do Azure Synapse Analytics está disponível em geral
- Os Administradores Globais podem agora conceder-se permissões ao nível do inquilino
- Dois novos planos do Azure Defender: Azure Defender for DNS e Azure Defender for Resource Manager (em visualização)
- Nova página de alertas de segurança no portal do Azure (pré-visualização)
- Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure & Instância Gerenciada SQL
- Ferramentas e filtros de inventário de ativos atualizados
- Recomendação sobre aplicativos Web que solicitam certificados SSL não fazem mais parte da pontuação segura
- A página de recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis
- A exportação contínua obtém novos tipos de dados e políticas de implantação aprimoradas
O Azure Defender para servidores SQL em máquinas está disponível em geral
A Central de Segurança do Azure oferece dois planos do Azure Defender para SQL Servers:
- Azure Defender para servidores de banco de dados SQL do Azure - defende seus SQL Servers nativos do Azure
- Azure Defender para servidores SQL em máquinas - estende as mesmas proteções aos seus servidores SQL em ambientes híbridos, multicloud e locais
Com este anúncio, o Azure Defender for SQL agora protege seus bancos de dados e seus dados onde quer que estejam localizados.
O Azure Defender for SQL inclui recursos de avaliação de vulnerabilidade. A ferramenta de avaliação de vulnerabilidades inclui os seguintes recursos avançados:
- Configuração de linha de base (Novo!) para refinar de forma inteligente os resultados das verificações de vulnerabilidades para aqueles que podem representar problemas reais de segurança. Depois de estabelecer o estado de segurança da linha de base, a ferramenta de avaliação de vulnerabilidades reporta apenas desvios desse estado da linha de base. Os resultados que correspondem à linha de base são considerados como passando nas verificações subsequentes. Isso permite que você e seus analistas concentrem sua atenção onde ela é importante.
- Informações detalhadas de benchmark para ajudá-lo a entender as descobertas descobertas e por que elas se relacionam com seus recursos.
- Scripts de correção para ajudá-lo a reduzir os riscos identificados.
Saiba mais sobre o Azure Defender for SQL.
O suporte do Azure Defender for SQL para o pool SQL dedicado do Azure Synapse Analytics está disponível em geral
O Azure Synapse Analytics (anteriormente SQL DW) é um serviço de análise que combina armazenamento de dados corporativos e análise de big data. Pools SQL dedicados são os recursos de armazenamento de dados corporativos do Azure Synapse. Saiba mais em O que é o Azure Synapse Analytics (anteriormente SQL DW)?.
O Azure Defender for SQL protege seus pools SQL dedicados com:
- Proteção avançada contra ameaças para detetar ameaças e ataques
- Recursos de avaliação de vulnerabilidades para identificar e corrigir configurações incorretas de segurança
O suporte do Azure Defender for SQL para pools SQL do Azure Synapse Analytics é adicionado automaticamente ao pacote de bancos de dados SQL do Azure na Central de Segurança do Azure. Há uma nova guia do Azure Defender for SQL na página do espaço de trabalho Synapse no portal do Azure.
Saiba mais sobre o Azure Defender for SQL.
Os Administradores Globais podem agora conceder-se permissões ao nível do inquilino
Um usuário com a função de Administrador Global do Azure Ative Directory pode ter responsabilidades em todo o locatário, mas não tem as permissões do Azure para exibir essas informações em toda a organização na Central de Segurança do Azure.
Para atribuir a si mesmo permissões de nível de locatário, siga as instruções em Conceder permissões para todo o locatário a si mesmo.
Dois novos planos do Azure Defender: Azure Defender for DNS e Azure Defender for Resource Manager (em visualização)
Adicionámos duas novas capacidades de proteção contra ameaças nativas da nuvem para o seu ambiente do Azure.
Estas novas proteções melhoram significativamente a sua resiliência contra ataques de agentes de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.
Azure Defender for Resource Manager - monitoriza automaticamente todas as operações de gestão de recursos realizadas na sua organização. Para obter mais informações, consulte:
Azure Defender for DNS - monitoriza continuamente todas as consultas DNS a partir dos seus recursos do Azure. Para obter mais informações, consulte:
Nova página de alertas de segurança no portal do Azure (pré-visualização)
A página de alertas de segurança da Central de Segurança do Azure foi redesenhada para fornecer:
- Experiência de triagem melhorada para alertas - ajudando a reduzir a fadiga dos alertas e a concentrar-se mais facilmente nas ameaças mais relevantes, a lista inclui filtros personalizáveis e opções de agrupamento
- Mais informações na lista de alertas - como táticas MITRE ATT&ACK
- Botão para criar alertas de exemplo - para avaliar os recursos do Azure Defender e testar sua configuração de alertas (para integração SIEM, notificações por email e automações de fluxo de trabalho), você pode criar alertas de exemplo de todos os planos do Azure Defender
- Alinhamento com a experiência de incidentes do Azure Sentinel - para clientes que usam ambos os produtos, alternar entre eles agora é uma experiência mais simples e é fácil aprender um com o outro
- Melhor desempenho para grandes listas de alertas
- Navegação pelo teclado através da lista de alertas
- Alertas do Azure Resource Graph - você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também é útil se você estiver criando seus próprios painéis de alertas. Saiba mais sobre o Azure Resource Graph.
Para acessar a nova experiência, use o link 'experimente agora' no banner na parte superior da página de alertas de segurança.
Para criar alertas de exemplo a partir da nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.
Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure & Instância Gerenciada SQL
A experiência da Central de Segurança no SQL fornece acesso aos seguintes recursos da Central de Segurança e do Azure Defender for SQL:
- Recomendações de segurança – A Central de Segurança analisa periodicamente o estado de segurança de todos os recursos conectados do Azure para identificar possíveis erros de configuração de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades e melhorar a postura de segurança das organizações.
- Alertas de segurança – um serviço de deteção que monitoriza continuamente as atividades SQL do Azure em busca de ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Este serviço dispara alertas de segurança detalhados e orientados para a ação no Centro de Segurança e fornece opções para continuar as investigações com o Azure Sentinel, a solução SIEM nativa do Azure da Microsoft.
- Descobertas – um serviço de avaliação de vulnerabilidades que monitora continuamente as configurações SQL do Azure e ajuda a corrigir vulnerabilidades. As verificações de avaliação fornecem uma visão geral dos estados de segurança do SQL do Azure, juntamente com descobertas de segurança detalhadas.
Ferramentas e filtros de inventário de ativos atualizados
A página de inventário na Central de Segurança do Azure foi atualizada com as seguintes alterações:
Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.
Filtro de subscrições adicionado aos filtros predefinidos disponíveis para os seus recursos.
Abra o link de consulta para abrir as opções de filtro atuais como uma consulta do Gráfico de Recursos do Azure (anteriormente chamada de "Exibir no explorador de gráficos de recursos").
Opções do operador para cada filtro. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira encontrar todos os recursos com recomendações ativas cujos títulos incluam a cadeia de caracteres 'criptografar'.
Saiba mais sobre inventário em Explore e gerencie seus recursos com inventário de ativos.
Recomendação sobre aplicativos Web que solicitam certificados SSL não fazem mais parte da pontuação segura
A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações recebidas" foi movida do controle de segurança Gerenciar acesso e permissões (no valor máximo de 4 pts) para Implementar práticas recomendadas de segurança (que não vale pontos).
Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, isso é irrelevante. Se você acessar seu site por HTTP e não HTTPS, não receberá nenhum certificado de cliente. Portanto, se seu aplicativo requer certificados de cliente, você não deve permitir solicitações para seu aplicativo por HTTP. Saiba mais em Configurar autenticação mútua TLS para o Serviço de Aplicativo do Azure.
Com esta alteração, a recomendação passa a ser uma boa prática recomendada que não afeta a sua pontuação.
Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.
A página de recomendações tem novos filtros para ambiente, gravidade e respostas disponíveis
A Central de Segurança do Azure monitora todos os recursos conectados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e padrões relevantes para sua organização, setor e país/região.
À medida que a Central de Segurança continua a expandir sua cobertura e recursos, a lista de recomendações de segurança cresce a cada mês. Por exemplo, consulte Vinte e nove recomendações de visualização adicionadas para aumentar a cobertura do Benchmark de Segurança do Azure.
Com a lista crescente, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionámos filtros à página de recomendações (ver Lista de recomendações inclui agora filtros).
Os filtros adicionados este mês fornecem opções para refinar a lista de recomendações de acordo com:
Ambiente - Veja recomendações para seus recursos da AWS, GCP ou Azure (ou qualquer combinação)
Severidade - Exibir recomendações de acordo com a classificação de gravidade definida pela Central de Segurança
Ações de resposta - Veja recomendações de acordo com a disponibilidade das opções de resposta da Central de Segurança: Corrigir, Negar e Impor
Gorjeta
O filtro de ações de resposta substitui o filtro Correção rápida disponível (Sim/Não ).
Saiba mais sobre cada uma destas opções de resposta:
A exportação contínua obtém novos tipos de dados e políticas de implantação aprimoradas
As ferramentas de exportação contínua da Central de Segurança do Azure permitem exportar as recomendações e alertas da Central de Segurança para uso com outras ferramentas de monitoramento em seu ambiente.
A exportação contínua permite personalizar totalmente o que será exportado e para onde irá. Para obter detalhes completos, consulte Exportar dados continuamente da Central de Segurança.
Estas ferramentas foram melhoradas e expandidas das seguintes formas:
Políticas de implantação da exportação contínua aprimoradas. As políticas atuais:
Verifique se a configuração está ativada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos de Política do Azure fornecidos na guia "Implantar em escala com a Política do Azure" em Configurar uma exportação contínua.
Suporte à exportação de descobertas de segurança. Ao usar os modelos de Política do Azure, você pode configurar sua exportação contínua para incluir descobertas. Isso é relevante ao exportar recomendações que têm "sub" recomendações, como descobertas de scanners de avaliação de vulnerabilidade ou atualizações específicas do sistema para a recomendação "pai" "As atualizações do sistema devem ser instaladas em suas máquinas".
Suporte à exportação de dados de pontuação segura.
Dados de avaliação de conformidade regulatória adicionados (em visualização). Agora você pode exportar continuamente atualizações para avaliações de conformidade regulatória, inclusive para quaisquer iniciativas personalizadas, para um espaço de trabalho do Log Analytics ou Hubs de Eventos. Este recurso não está disponível em nuvens nacionais.
Novembro de 2020
As atualizações em novembro incluem:
- 29 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
- NIST SP 800 171 R2 adicionado ao painel de conformidade regulamentar do Centro de Segurança
- A lista de recomendações agora inclui filtros
- Experiência de provisionamento automático melhorada e expandida
- A pontuação segura está agora disponível em exportação contínua (pré-visualização)
- A recomendação "As atualizações do sistema devem ser instaladas em suas máquinas" agora inclui subrecomendações
- A página de gerenciamento de políticas no portal do Azure agora mostra o status das atribuições de política padrão
29 recomendações de visualização adicionadas para aumentar a cobertura do Azure Security Benchmark
O Azure Security Benchmark é o conjunto de diretrizes criado pela Microsoft, específico do Azure, para práticas recomendadas de segurança e conformidade com base em estruturas de conformidade comuns. Saiba mais sobre a Referência de Segurança do Azure.
As 29 recomendações de pré-visualização seguintes foram adicionadas ao Centro de Segurança para aumentar a cobertura deste parâmetro de referência.
As recomendações de visualização não tornam um recurso não íntegro e não são incluídas nos cálculos da sua pontuação segura. Corrija-os sempre que possível, para que, quando o período de pré-visualização terminar, contribuam para a sua pontuação. Saiba mais sobre como responder a essas recomendações em Corrigir recomendações na Central de Segurança do Azure.
| Controlo de segurança | Novas recomendações |
|---|---|
| Criptografar dados em trânsito | - Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL - Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL - TLS deve ser atualizado para a versão mais recente para o seu aplicativo de API - TLS deve ser atualizado para a versão mais recente para o seu aplicativo de função - TLS deve ser atualizado para a versão mais recente para o seu aplicativo Web - FTPS deve ser necessário em seu aplicativo API - FTPS deve ser necessário em seu aplicativo função - FTPS deve ser necessário em seu aplicativo web |
| Gerenciar acesso e permissões | - Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações recebidas - A identidade gerenciada deve ser usada em seu aplicativo de API - Identidade gerenciada deve ser usada em seu aplicativo de função - A identidade gerenciada deve ser usada em seu aplicativo web |
| Restringir o acesso não autorizado à rede | - Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL - Ponto final privado deve ser habilitado para servidores MariaDB - Ponto final privado deve ser ativado para servidores MySQL |
| Habilitar auditoria e registro em log | - Os logs de diagnóstico nos Serviços de Aplicativo devem ser habilitados |
| Implementação de melhores práticas de segurança | - O Backup do Azure deve ser habilitado para máquinas virtuais - O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB - O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL - O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL - PHP deve ser atualizado para a versão mais recente para o seu aplicativo API - PHP deve ser atualizado para a versão mais recente para o seu aplicativo web - Java deve ser atualizado para a versão mais recente para o seu aplicativo de API - Java deve ser atualizado para a versão mais recente para o seu aplicativo de função - Java deve ser atualizado para a versão mais recente para o seu aplicativo web - Python deve ser atualizado para a versão mais recente para o seu aplicativo de API - Python deve ser atualizado para a versão mais recente para o seu aplicativo de função - Python deve ser atualizado para a versão mais recente para o seu aplicativo web - A retenção de auditoria para servidores SQL deve ser definida para pelo menos 90 dias |
Ligações úteis:
- Saiba mais sobre o Azure Security Benchmark
- Saiba mais sobre os aplicativos de API do Azure
- Saiba mais sobre os aplicativos de função do Azure
- Saiba mais sobre os aplicativos Web do Azure
- Saiba mais sobre o Azure Database for MariaDB
- Saiba mais sobre a Base de Dados do Azure para MySQL
- Saiba mais sobre a Base de Dados do Azure para PostgreSQL
NIST SP 800 171 R2 adicionado ao painel de conformidade regulamentar do Centro de Segurança
O padrão NIST SP 800-171 R2 agora está disponível como uma iniciativa interna para uso com o painel de conformidade regulatória da Central de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de conformidade regulatória NIST SP 800-171 R2.
Para aplicar o padrão às suas assinaturas e monitorar continuamente seu status de conformidade, use as instruções em Personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-171 R2.
A lista de recomendações agora inclui filtros
Agora você pode filtrar a lista de recomendações de segurança de acordo com uma variedade de critérios. No exemplo a seguir, a lista de recomendações é filtrada para mostrar recomendações que:
- estão geralmente disponíveis (ou seja, não pré-visualização)
- são para contas de armazenamento
- Suporte a correção rápida de remediação
Experiência de provisionamento automático melhorada e expandida
O recurso de provisionamento automático ajuda a reduzir a sobrecarga de gerenciamento instalando as extensões necessárias em VMs do Azure novas e existentes para que elas possam se beneficiar das proteções da Central de Segurança.
À medida que a Central de Segurança do Azure cresce, mais extensões foram desenvolvidas e a Central de Segurança pode monitorar uma lista maior de tipos de recursos. As ferramentas de provisionamento automático agora foram expandidas para dar suporte a outras extensões e tipos de recursos, aproveitando os recursos da Política do Azure.
Agora você pode configurar o provisionamento automático de:
- Agente do Log Analytics
- (Novo) Política do Azure para Kubernetes
- (Novo) Agente de dependência da Microsoft
Saiba mais em Agentes e extensões de provisionamento automático da Central de Segurança do Azure.
A pontuação segura está agora disponível em exportação contínua (pré-visualização)
Com a exportação contínua de pontuação segura, você pode transmitir as alterações à sua pontuação em tempo real para os Hubs de Eventos do Azure ou para um espaço de trabalho do Log Analytics. Utilize esta capacidade para:
- Acompanhe sua pontuação segura ao longo do tempo com relatórios dinâmicos
- exportar dados de pontuação segura para o Azure Sentinel (ou qualquer outro SIEM)
- Integre esses dados com quaisquer processos que você já esteja usando para monitorar a pontuação segura em sua organização
Saiba mais sobre como exportar continuamente dados da Central de Segurança.
A recomendação "As atualizações do sistema devem ser instaladas em suas máquinas" agora inclui subrecomendações
As atualizações do sistema devem ser instaladas em suas máquinas recomendação foi aprimorada. A nova versão inclui subrecomendações para cada atualização ausente e traz as seguintes melhorias:
Uma experiência redesenhada nas páginas da Central de Segurança do Azure do portal do Azure. A página de detalhes de recomendação para atualizações do sistema deve ser instalada em suas máquinas inclui a lista de descobertas, conforme mostrado abaixo. Quando você seleciona uma única localização, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.
Dados enriquecidos para a recomendação do Azure Resource Graph (ARG). O ARG é um serviço do Azure projetado para fornecer exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas para que possa controlar seu ambiente com eficiência.
Para a Central de Segurança do Azure, você pode usar o ARG e a KQL (Kusto Query Language) para consultar uma ampla variedade de dados de postura de segurança.
Anteriormente, se você consultou essa recomendação no ARG, a única informação disponível era que a recomendação precisa ser remediada em uma máquina. A consulta a seguir da versão aprimorada retornará todas as atualizações do sistema ausentes agrupadas por máquina.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
A página de gerenciamento de políticas no portal do Azure agora mostra o status das atribuições de política padrão
Agora você pode ver se suas assinaturas têm ou não a política padrão da Central de Segurança atribuída, na página de política de segurança da Central de Segurança do portal do Azure.
Outubro de 2020
As atualizações em outubro incluem:
- Avaliação de vulnerabilidades para máquinas locais e multicloud (visualização)
- Recomendação do Firewall do Azure adicionada (visualização)
- Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços Kubernetes atualizada com correção rápida
- Painel de conformidade regulatória agora inclui opção para remover padrões
- Tabela Microsoft.Security/securityStatuses removida do Azure Resource Graph (ARG)
Avaliação de vulnerabilidades para máquinas locais e multicloud (visualização)
O scanner de avaliação de vulnerabilidades integrado do Azure Defender for Servers (desenvolvido pela Qualys) agora verifica os servidores habilitados para Azure Arc.
Quando você habilitar o Azure Arc em suas máquinas que não sejam do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado nelas - manualmente e em escala.
Com esta atualização, você pode liberar o poder do Azure Defender for Servers para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos do Azure e não do Azure.
Principais capacidades:
- Monitorando o estado de provisionamento do scanner VA (avaliação de vulnerabilidade) em máquinas Azure Arc
- Provisionamento do agente VA integrado para máquinas Windows e Linux Azure Arc desprotegidas (manualmente e em escala)
- Recebimento e análise de vulnerabilidades detetadas de agentes implantados (manualmente e em escala)
- Experiência unificada para VMs do Azure e máquinas Azure Arc
Saiba mais sobre os servidores habilitados para Azure Arc.
Recomendação do Firewall do Azure adicionada (visualização)
Foi adicionada uma nova recomendação para proteger todas as suas redes virtuais com a Firewall do Azure.
A recomendação, As redes virtuais devem ser protegidas pelo Firewall do Azure aconselha você a restringir o acesso às suas redes virtuais e prevenir ameaças potenciais usando o Firewall do Azure.
Saiba mais sobre o Firewall do Azure.
Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços Kubernetes atualizada com correção rápida
A recomendação Intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes agora tem uma opção de correção rápida.
Para obter mais informações sobre esta recomendação e todas as outras recomendações do Centro de Segurança, consulte Recomendações de segurança - um guia de referência.
Painel de conformidade regulatória agora inclui opção para remover padrões
O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a controles e requisitos de conformidade específicos.
O painel inclui um conjunto padrão de normas regulamentares. Se algum dos padrões fornecidos não for relevante para sua organização, agora é um processo simples removê-los da interface do usuário para uma assinatura. Os padrões podem ser removidos apenas no nível da assinatura , não no escopo do grupo de gerenciamento.
Saiba mais em Remover um padrão do seu painel.
Tabela Microsoft.Security/securityStatuses removida do Azure Resource Graph (ARG)
O Azure Resource Graph é um serviço no Azure projetado para fornecer exploração eficiente de recursos com a capacidade de consultar em escala um determinado conjunto de assinaturas para que você possa governar efetivamente seu ambiente.
Para a Central de Segurança do Azure, você pode usar o ARG e a KQL (Kusto Query Language) para consultar uma ampla variedade de dados de postura de segurança. Por exemplo:
- Inventário de ativos utiliza (ARG)
- Documentamos uma consulta ARG de exemplo sobre como identificar contas sem autenticação multifator (MFA) habilitada
Dentro do ARG, existem tabelas de dados para você usar em suas consultas.
Gorjeta
A documentação do ARG lista todas as tabelas disponíveis na tabela do Azure Resource Graph e na referência de tipo de recurso.
Desta atualização, a tabela Microsoft.Security/securityStatuses foi removida. A API securityStatuses ainda está disponível.
A substituição de dados pode ser usada pela tabela Microsoft.Security/Assessments.
A principal diferença entre Microsoft.Security/securityStatuses e Microsoft.Security/Assessments é que, enquanto a primeira mostra a agregação de avaliações, os segundos mantêm um único registro para cada uma.
Por exemplo, Microsoft.Security/securityStatuses retornaria um resultado com uma matriz de duas policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Considerando que Microsoft.Security/Assessments mantém um registro para cada avaliação de política da seguinte maneira:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exemplo de conversão de uma consulta ARG existente usando securityStatuses para agora usar a tabela de avaliações:
Consulta que faz referência a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Consulta de substituição para a tabela Avaliações:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Saiba mais nos seguintes links:
Setembro de 2020
As atualizações em setembro incluem:
- A Central de Segurança ganha um novo visual!
- Azure Defender lançado
- O Azure Defender for Key Vault está disponível para o público em geral
- A proteção do Azure Defender for Storage para Arquivos e ADLS Gen2 está disponível em geral
- As ferramentas de inventário de ativos estão agora disponíveis para o público em geral
- Desabilitar uma localização de vulnerabilidade específica para verificações de registros de contêiner e máquinas virtuais
- Isentar um recurso de uma recomendação
- Os conectores AWS e GCP na Central de Segurança proporcionam uma experiência multicloud
- Pacote de recomendação de proteção de carga de trabalho do Kubernetes
- Os resultados da avaliação de vulnerabilidade estão agora disponíveis em exportação contínua
- Evite configurações incorretas de segurança aplicando recomendações ao criar novos recursos
- Recomendações de grupos de segurança de rede melhoradas
- Visualização preterida Recomendação AKS "Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes"
- Notificações por email da Central de Segurança do Azure aprimoradas
- A pontuação segura não inclui recomendações de visualização
- As recomendações agora incluem um indicador de gravidade e o intervalo de frescor
Centro de Segurança ganha um novo visual
Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e painéis para pontuação segura, inventário de ativos e Azure Defender.
A página de visão geral redesenhada agora tem um bloco para acessar a pontuação segura, o inventário de ativos e os painéis do Azure Defender. Ele também tem um link de bloco para o painel de conformidade regulamentar.
Saiba mais sobre a página de visão geral.
Azure Defender lançado
O Azure Defender é a plataforma de proteção de carga de trabalho na nuvem (CWPP) integrada na Central de Segurança para proteção avançada e inteligente de suas cargas de trabalho híbridas e do Azure. Ele substitui a opção de camada de preço padrão da Central de Segurança.
Quando você habilita o Azure Defender na área Preços e configurações da Central de Segurança do Azure, os seguintes planos do Defender são habilitados simultaneamente e fornecem defesas abrangentes para as camadas de computação, dados e serviço do seu ambiente:
- Azure Defender para Servidores
- Azure Defender para Serviço de Aplicativo
- Azure Defender para Armazenamento
- Azure Defender para SQL
- Azure Defender for Key Vault
- Azure Defender para Kubernetes
- Azure Defender para registros de contêiner
Cada um desses planos é explicado separadamente na documentação da Central de Segurança.
Com seu painel dedicado, o Azure Defender fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, sua rede e muito mais.
Saiba mais sobre o Azure Defender
O Azure Defender for Key Vault está disponível para o público em geral
O Azure Key Vault é um serviço de nuvem que protege chaves de criptografia e segredos como certificados, cadeias de conexão e senhas.
O Azure Defender for Key Vault fornece proteção avançada contra ameaças nativa do Azure para o Azure Key Vault, fornecendo uma camada adicional de inteligência de segurança. Por extensão, o Azure Defender for Key Vault está, consequentemente, protegendo muitos dos recursos dependentes de suas contas do Cofre de Chaves.
O plano opcional agora é GA. Este recurso estava em pré-visualização como "proteção avançada contra ameaças para o Azure Key Vault".
Além disso, as páginas do Cofre da Chave no portal do Azure agora incluem uma página de Segurança dedicada para recomendações e alertas da Central de Segurança.
Saiba mais no Azure Defender for Key Vault.
A proteção do Azure Defender for Storage para Arquivos e ADLS Gen2 está disponível em geral
O Azure Defender for Storage deteta atividades potencialmente prejudiciais em suas contas de Armazenamento do Azure. Seus dados podem ser protegidos, quer sejam armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
O suporte para Arquivos do Azure e Azure Data Lake Storage Gen2 agora está disponível ao público em geral.
A partir de 1º de outubro de 2020, começaremos a cobrar pela proteção de recursos nesses serviços.
Saiba mais no Azure Defender for Storage.
As ferramentas de inventário de ativos estão agora disponíveis para o público em geral
A página de inventário de ativos da Central de Segurança do Azure fornece uma única página para exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança de seus recursos do Azure para identificar possíveis vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades.
Quando algum recurso tiver recomendações pendentes, elas aparecerão no inventário.
Saiba mais em Explore e gerencie seus recursos com o inventário de ativos.
Desabilitar uma localização de vulnerabilidade específica para verificações de registros de contêiner e máquinas virtuais
O Azure Defender inclui scanners de vulnerabilidade para digitalizar imagens no seu Registo de Contentores do Azure e nas suas máquinas virtuais.
Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.
Quando uma localização corresponder aos critérios que você definiu nas regras de desativação, ela não aparecerá na lista de descobertas.
Esta opção está disponível nas páginas de detalhes das recomendações para:
- As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas
- As vulnerabilidades em suas máquinas virtuais devem ser corrigidas
Saiba mais em Desativar descobertas específicas para suas imagens de contêiner e Desabilitar descobertas específicas para suas máquinas virtuais.
Isentar um recurso de uma recomendação
Ocasionalmente, um recurso será listado como não saudável em relação a uma recomendação específica (e, portanto, reduzindo sua pontuação segura), mesmo que você sinta que não deveria ser. Ele pode ter sido remediado por um processo não rastreado pela Central de Segurança. Ou talvez sua organização tenha decidido aceitar o risco para esse recurso específico.
Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Estas regras podem incluir justificações documentadas, conforme descrito abaixo.
Saiba mais em Isentar um recurso de recomendações e pontuação segura.
Os conectores AWS e GCP na Central de Segurança proporcionam uma experiência multicloud
Com cargas de trabalho de nuvem geralmente abrangendo várias plataformas de nuvem, os serviços de segurança de nuvem devem fazer o mesmo.
A Central de Segurança do Azure agora protege cargas de trabalho no Azure, na Amazon Web Services (AWS) e no Google Cloud Platform (GCP).
Quando você integra projetos da AWS e do GCP à Central de segurança, ela integra o AWS Security Hub, o GCP Security Command e a Central de Segurança do Azure.
Saiba mais em Conectar suas contas da AWS à Central de Segurança do Azure e Conectar seus projetos do GCP à Central de Segurança do Azure.
Pacote de recomendação de proteção de carga de trabalho do Kubernetes
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção de nível do Kubernetes, incluindo opções de imposição com controle de admissão do Kubernetes.
Quando você tiver instalado a Política do Azure para Kubernetes em seu cluster AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de práticas recomendadas antes de serem persistidas no cluster. Em seguida, você pode configurar para impor as práticas recomendadas e obrigá-las para cargas de trabalho futuras.
Por exemplo, você pode exigir que contêineres privilegiados não sejam criados, e quaisquer solicitações futuras para fazer isso serão bloqueadas.
Saiba mais em Práticas recomendadas de proteção de carga de trabalho usando o controle de admissão do Kubernetes.
Os resultados da avaliação de vulnerabilidade estão agora disponíveis em exportação contínua
Use a exportação contínua para transmitir seus alertas e recomendações para Hubs de Eventos do Azure, espaços de trabalho do Log Analytics ou Azure Monitor. A partir daí, você pode integrar esses dados com SIEMs (como Azure Sentinel, Power BI, Azure Data Explorer e muito mais.
As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações acionáveis dentro de uma recomendação "pai", como "Vulnerabilidades em suas máquinas virtuais devem ser corrigidas".
As descobertas de segurança agora estão disponíveis para exportação por meio de exportação contínua quando você seleciona recomendações e habilita a opção incluir descobertas de segurança.
Páginas relacionadas:
- Solução integrada de avaliação de vulnerabilidades Qualys da Central de Segurança para máquinas virtuais do Azure
- Solução integrada de avaliação de vulnerabilidades da Central de Segurança para imagens do Registro de Contêiner do Azure
- Continuous export (Exportação contínua)
Evite configurações incorretas de segurança aplicando recomendações ao criar novos recursos
As configurações incorretas de segurança são uma das principais causas de incidentes de segurança. A Central de Segurança agora tem a capacidade de ajudar a evitar configurações incorretas de novos recursos em relação a recomendações específicas.
Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua pontuação segura.
Você pode impor uma configuração segura, com base em uma recomendação específica, em dois modos:
Usando o modo negado da Política do Azure, você pode impedir que recursos não íntegros sejam criados
Usando a opção imposta, você pode aproveitar o efeito DeployIfNotExist da Política do Azure e corrigir automaticamente recursos não compatíveis após a criação
Isso está disponível para recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.
Saiba mais em Evitar configurações incorretas com recomendações de Impor/Negar.
Recomendações de grupos de segurança de rede melhoradas
As seguintes recomendações de segurança relacionadas a grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.
- Todas as portas de rede devem ser restritas no NSG associado à sua VM
- As portas de gestão devem estar fechadas nas suas máquinas virtuais
- As máquinas virtuais voltadas para a Internet devem ser protegidas com Grupos de Segurança de Rede
- As sub-redes devem ser associadas a um Grupo de Segurança de Rede
Visualização preterida Recomendação AKS "Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes"
A recomendação de visualização "As Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes" está sendo preterida conforme descrito na documentação do Serviço Kubernetes do Azure.
O recurso de política de segurança do pod (visualização) está definido para preterição e não estará mais disponível após 15 de outubro de 2020 em favor da Política do Azure para AKS.
Depois que a política de segurança do pod (visualização) for preterida, você deverá desabilitar o recurso em qualquer cluster existente usando o recurso preterido para executar futuras atualizações de cluster e permanecer no suporte do Azure.
Notificações por email da Central de Segurança do Azure aprimoradas
As seguintes áreas dos e-mails relativas a alertas de segurança foram melhoradas:
- Adicionada a capacidade de enviar notificações por e-mail sobre alertas para todos os níveis de gravidade
- Adicionada a capacidade de notificar usuários com diferentes funções do Azure na assinatura
- Estamos notificando proativamente os proprietários de assinaturas por padrão sobre alertas de alta gravidade (que têm uma alta probabilidade de serem violações genuínas)
- Removemos o campo de número de telefone da página de configuração de notificações por e-mail
Saiba mais em Configurar notificações por e-mail para alertas de segurança.
A pontuação segura não inclui recomendações de visualização
O Centro de Segurança avalia continuamente os recursos, as subscrições e a organização quanto a problemas de segurança. Em seguida, agrega todas as descobertas em uma única pontuação para que você possa dizer, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.
À medida que novas ameaças são descobertas, novos conselhos de segurança são disponibilizados na Central de Segurança por meio de novas recomendações. Para evitar alterações surpresas na sua pontuação segura e para fornecer um período de carência no qual você pode explorar novas recomendações antes que elas afetem suas pontuações, as recomendações sinalizadas como Visualização não são mais incluídas nos cálculos da sua pontuação segura. Eles ainda devem ser corrigidos sempre que possível, para que, quando o período de visualização terminar, contribuam para sua pontuação.
Além disso, as recomendações de visualização não processam um recurso "Não íntegro".
Um exemplo de uma recomendação de pré-visualização:
Saiba mais sobre a pontuação segura.
As recomendações agora incluem um indicador de gravidade e o intervalo de frescor
A página de detalhes das recomendações agora inclui um indicador de intervalo de frescor (sempre que relevante) e uma exibição clara da gravidade da recomendação.
Agosto de 2020
As atualizações em agosto incluem:
- Inventário de recursos - nova vista poderosa da postura de segurança dos seus recursos
- Adicionado suporte para padrões de segurança do Azure Ative Directory (para autenticação multifator)
- Foram adicionadas recomendações para principais de serviço
- Avaliação de vulnerabilidades nas VMs - recomendações e políticas consolidadas
- Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Inventário de recursos - nova vista poderosa da postura de segurança dos seus recursos
O inventário de ativos da Central de Segurança (atualmente em visualização) fornece uma maneira de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.
A Central de Segurança analisa periodicamente o estado de segurança de seus recursos do Azure para identificar possíveis vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como corrigir essas vulnerabilidades. Quando algum recurso tiver recomendações pendentes, elas aparecerão no inventário.
Você pode usar a exibição e seus filtros para explorar seus dados de postura de segurança e tomar outras ações com base em suas descobertas.
Saiba mais sobre inventário de ativos.
Adicionado suporte para padrões de segurança do Azure Ative Directory (para autenticação multifator)
A Central de Segurança adicionou suporte completo para padrões de segurança, as proteções de segurança de identidade gratuitas da Microsoft.
Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização de ataques comuns relacionados à identidade. Os incumprimentos de segurança já protegem mais de 5 milhões de inquilinos em geral; 50.000 inquilinos também estão protegidos pelo Centro de Segurança.
A Central de Segurança agora fornece uma recomendação de segurança sempre que identifica uma assinatura do Azure sem padrões de segurança habilitados. Até agora, a Central de Segurança recomendava habilitar a autenticação multifator usando o acesso condicional, que faz parte da licença premium do Azure Ative Directory (AD). Para clientes que usam o Azure AD gratuitamente, agora recomendamos habilitar os padrões de segurança.
Nosso objetivo é incentivar mais clientes a proteger seus ambientes de nuvem com MFA e mitigar um dos maiores riscos, que também é o mais impactante para sua pontuação segura.
Saiba mais sobre padrões de segurança.
Foram adicionadas recomendações para principais de serviço
Foi adicionada uma nova recomendação para recomendar que os clientes do Centro de Segurança que utilizam certificados de gestão para gerir as suas subscrições mudem para entidades de serviço.
A recomendação, Entidades de serviço devem ser usadas para proteger suas assinaturas em vez de Certificados de Gerenciamento, aconselha você a usar Entidades de Serviço ou o Gerenciador de Recursos do Azure para gerenciar suas assinaturas com mais segurança.
Saiba mais sobre os objetos principais de aplicativo e serviço no Azure Ative Directory.
Avaliação de vulnerabilidades nas VMs - recomendações e políticas consolidadas
A Central de Segurança inspeciona suas VMs para detetar se elas estão executando uma solução de avaliação de vulnerabilidade. Se nenhuma solução de avaliação de vulnerabilidade for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.
Quando vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir conforme necessário.
Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de scanner que estão usando, unificamos quatro recomendações nas duas seguintes:
| Recomendação unificada | Alterar a descrição |
|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Substitui as duas recomendações seguintes: Habilite a solução interna de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys (agora preterida) (incluída na camada padrão) A solução de avaliação de vulnerabilidades deve ser instalada em suas máquinas virtuais (agora preteridas) (níveis padrão e gratuito) |
| As vulnerabilidades em suas máquinas virtuais devem ser corrigidas | Substitui as duas recomendações seguintes: Corrigir vulnerabilidades encontradas em suas máquinas virtuais (com tecnologia Qualys) (agora preteridas) As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades (agora preterida) |
Agora você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidade da Central de Segurança ou uma solução licenciada em particular ("BYOL") de um parceiro como o Qualys ou o Rapid 7.
Além disso, quando vulnerabilidades são encontradas e relatadas à Central de Segurança, uma única recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidade que as identificou.
Atualizando dependências
Se você tiver scripts, consultas ou automações referentes às recomendações anteriores ou chaves/nomes de política, use as tabelas abaixo para atualizar as referências:
Antes de agosto de 2020
| Recomendação | Âmbito |
|---|---|
| Habilite a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys) Chave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Incorporada |
| Corrija vulnerabilidades encontradas em suas máquinas virtuais (com tecnologia Qualys) Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Incorporada |
| A solução de avaliação de vulnerabilidades deve ser instalada em suas máquinas virtuais Chave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades Chave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Política | Âmbito |
|---|---|
| A avaliação de vulnerabilidade deve ser habilitada em máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Incorporada |
| As vulnerabilidades devem ser corrigidas através de uma solução de avaliação da vulnerabilidade ID da política: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
A partir de agosto de 2020
| Recomendação | Âmbito |
|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Chave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Built-in + BYOL |
| As vulnerabilidades em suas máquinas virtuais devem ser corrigidas Chave: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in + BYOL |
| Política | Âmbito |
|---|---|
| A avaliação de vulnerabilidade deve ser habilitada em máquinas virtuais ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in + BYOL |
Novas políticas de segurança do AKS adicionadas à iniciativa ASC_default
Para garantir que as cargas de trabalho do Kubernetes estejam seguras por padrão, a Central de Segurança está adicionando políticas de nível Kubernetes e recomendações de proteção, incluindo opções de imposição com controle de admissão do Kubernetes.
A fase inicial deste projeto inclui uma pré-visualização e a adição de novas políticas (desativadas por padrão) à iniciativa ASC_default.
Você pode ignorar essas políticas com segurança e não haverá impacto no seu ambiente. Se pretender ativá-los, inscreva-se na pré-visualização através da Comunidade Privada do Microsoft Cloud Security e selecione uma das seguintes opções:
- Pré-visualização única – Para aderir apenas a esta pré-visualização. Mencione explicitamente "ASC Continuous Scan" como a visualização que você gostaria de participar.
- Programa em Curso – A acrescentar a esta e futuras pré-visualizações privadas. Terá de preencher um contrato de perfil e privacidade.
Julho de 2020
As atualizações em julho incluem:
- A avaliação de vulnerabilidades para máquinas virtuais agora está disponível para imagens que não estão no mercado
- Proteção contra ameaças para o Armazenamento do Azure alargada para incluir os Ficheiros do Azure e o Azure Data Lake Storage Gen2 (pré-visualização)
- Oito novas recomendações para permitir funcionalidades de proteção contra ameaças
- Melhorias de segurança dos contentores: análise de registos mais rápida e documentação atualizada
- Controlos de aplicação adaptáveis atualizados com uma nova recomendação e suporte para carateres universais nas regras de caminho
- Seis políticas de segurança de dados avançada SQL preteridas
Avaliação de vulnerabilidades para máquinas virtuais já disponível para imagens externas ao marketplace
Quando você implantou uma solução de avaliação de vulnerabilidade, a Central de Segurança executou anteriormente uma verificação de validação antes da implantação. A verificação foi para confirmar um SKU de mercado da máquina virtual de destino.
A partir desta atualização, a verificação é removida e agora você pode implantar ferramentas de avaliação de vulnerabilidade em máquinas Windows e Linux 'personalizadas'. As imagens personalizadas são aquelas que você modificou em relação aos padrões do marketplace.
Embora agora você possa implantar a extensão de avaliação de vulnerabilidade integrada (alimentada pela Qualys) em muitas outras máquinas, o suporte só está disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs de camada padrão
Saiba mais sobre o verificador de vulnerabilidades integrado para máquinas virtuais (requer o Azure Defender).
Saiba mais sobre como usar sua própria solução de avaliação de vulnerabilidades licenciada em particular da Qualys ou Rapid7 em Implantando uma solução de verificação de vulnerabilidade de parceiro.
Proteção contra ameaças para o Armazenamento do Azure alargada para incluir os Ficheiros do Azure e o Azure Data Lake Storage Gen2 (pré-visualização)
A proteção contra ameaças para o Armazenamento do Azure deteta atividades potencialmente prejudiciais nas suas contas de Armazenamento do Azure. A Central de Segurança exibe alertas quando deteta tentativas de acessar ou explorar suas contas de armazenamento.
Seus dados podem ser protegidos, quer sejam armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.
Oito novas recomendações para permitir funcionalidades de proteção contra ameaças
Oito novas recomendações foram adicionadas para fornecer uma maneira simples de habilitar os recursos de proteção contra ameaças da Central de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, planos do Serviço de Aplicativo, servidores do Banco de Dados SQL do Azure, servidores SQL em máquinas, contas de Armazenamento do Azure, clusters do Serviço Kubernetes do Azure, registros do Registro de Contêiner do Azure e cofres do Cofre da Chave do Azure.
As novas recomendações são as seguintes:
- A segurança avançada de dados deve ser habilitada nos servidores do Banco de Dados SQL do Azure
- A segurança avançada de dados deve ser habilitada em servidores SQL em máquinas
- A proteção avançada contra ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure
- A proteção avançada contra ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure
- A proteção avançada contra ameaças deve ser habilitada nos cofres do Azure Key Vault
- A proteção avançada contra ameaças deve ser habilitada nos clusters do Serviço Kubernetes do Azure
- A proteção avançada contra ameaças deve ser habilitada nas contas do Armazenamento do Azure
- A proteção avançada contra ameaças deve ser habilitada em máquinas virtuais
As recomendações também incluem o recurso de correção rápida.
Importante
A correção de qualquer uma dessas recomendações resultará em encargos para proteger os recursos relevantes. Essas cobranças começarão imediatamente se você tiver recursos relacionados na assinatura atual. Ou no futuro, se você adicioná-los em uma data posterior.
Por exemplo, se você não tiver nenhum cluster do Serviço Kubernetes do Azure em sua assinatura e habilitar a proteção contra ameaças, nenhuma cobrança será cobrada. Se, no futuro, você adicionar um cluster na mesma assinatura, ele será automaticamente protegido e as cobranças começarão nesse momento.
Saiba mais sobre cada um deles na página de referência de recomendações de segurança.
Saiba mais sobre a proteção contra ameaças na Central de Segurança do Azure.
Melhorias de segurança dos contentores: análise de registos mais rápida e documentação atualizada
Como parte dos investimentos contínuos no domínio de segurança de contêineres, estamos felizes em compartilhar uma melhoria significativa de desempenho nas verificações dinâmicas da Central de Segurança de imagens de contêiner armazenadas no Registro de Contêiner do Azure. As verificações agora normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, podem demorar até 15 minutos.
Para melhorar a clareza e a orientação sobre os recursos de segurança de contêiner da Central de Segurança do Azure, também atualizamos as páginas de documentação de segurança de contêiner.
Saiba mais sobre a segurança de contêineres da Central de Segurança nos seguintes artigos:
- Visão geral dos recursos de segurança de contêiner da Central de Segurança
- Detalhes da integração com o Azure Container Registry
- Detalhes da integração com o Serviço Kubernetes do Azure
- Como verificar seus registros e proteger seus hosts do Docker
- Alertas de segurança dos recursos de proteção contra ameaças para clusters do Serviço Kubernetes do Azure
- Recomendações de segurança para contentores
Controlos de aplicação adaptáveis atualizados com uma nova recomendação e suporte para carateres universais nas regras de caminho
O recurso de controles de aplicativo adaptáveis recebeu duas atualizações significativas:
Uma nova recomendação identifica comportamentos potencialmente legítimos que não foram permitidos anteriormente. A nova recomendação, Regras de lista de permissões em sua política de controle de aplicativo adaptável deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativo adaptável.
As regras de caminho agora oferecem suporte a curingas. A partir desta atualização, você pode configurar regras de caminho permitido usando curingas. Há dois cenários suportados:
Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.
Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta variável (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pastas gerados automaticamente, etc.).
Saiba mais sobre controles de aplicativos adaptáveis.
Seis políticas de segurança de dados avançada SQL preteridas
Seis políticas relacionadas à segurança avançada de dados para máquinas SQL estão sendo preteridas:
- Os tipos avançados de proteção contra ameaças devem ser definidos como 'Todos' nas configurações avançadas de segurança de dados da instância gerenciada SQL
- Os tipos avançados de proteção contra ameaças devem ser definidos como 'Todos' nas configurações avançadas de segurança de dados do SQL Server
- As configurações avançadas de segurança de dados para instância gerenciada SQL devem conter um endereço de e-mail para receber alertas de segurança
- As configurações avançadas de segurança de dados para o SQL Server devem conter um endereço de email para receber alertas de segurança
- As notificações por e-mail para administradores e proprietários de assinaturas devem ser habilitadas nas configurações avançadas de segurança de dados da instância gerenciada SQL
- As notificações por e-mail destinadas aos administradores e proprietários de subscrições devem estar ativadas nas definições da segurança de dados avançada no servidor SQL
Saiba mais sobre as políticas integradas.
Junho de 2020
As atualizações em junho incluem:
- API de pontuação segura (visualização)
- Segurança de dados avançada para máquinas SQL (Azure, outras nuvens e no local) (visualização)
- Duas novas recomendações para implantar o agente do Log Analytics em máquinas do Azure Arc (visualização)
- Novas políticas para criar configurações contínuas de exportação e automação do fluxo de trabalho em escala
- Nova recomendação para usar NSGs para proteger máquinas virtuais não voltadas para a Internet
- Novas políticas para permitir a proteção contra ameaças e a segurança avançada dos dados
API de pontuação segura (visualização)
Agora você pode acessar sua pontuação por meio da API de pontuação segura (atualmente em visualização). Os métodos de API fornecem a flexibilidade para consultar os dados e criar seu próprio mecanismo de relatório de suas pontuações seguras ao longo do tempo. Por exemplo, você pode usar a API de Pontuações Seguras para obter a pontuação de uma assinatura específica. Além disso, você pode usar a API de controles de pontuação segura para listar os controles de segurança e a pontuação atual de suas assinaturas.
Para obter exemplos de ferramentas externas possibilitadas com a API de pontuação segura, consulte a área de pontuação segura da nossa comunidade GitHub.
Saiba mais sobre pontuação segura e controles de segurança na Central de Segurança do Azure.
Segurança de dados avançada para máquinas SQL (Azure, outras nuvens e no local) (visualização)
A segurança de dados avançada da Central de Segurança do Azure para máquinas SQL agora protege os SQL Servers hospedados no Azure, em outros ambientes de nuvem e até mesmo em máquinas locais. Isso estende as proteções para seus SQL Servers nativos do Azure para oferecer suporte total a ambientes híbridos.
A segurança avançada de dados fornece avaliação de vulnerabilidades e proteção avançada contra ameaças para suas máquinas SQL, onde quer que elas estejam localizadas.
A configuração envolve duas etapas:
Implantar o agente do Log Analytics na máquina host do SQL Server para fornecer a conexão com a conta do Azure.
Ativar o pacote opcional na página de preços e definições do Centro de Segurança.
Saiba mais sobre segurança de dados avançada para máquinas SQL.
Duas novas recomendações para implantar o agente do Log Analytics em máquinas do Azure Arc (visualização)
Duas novas recomendações foram adicionadas para ajudar a implantar o Agente do Log Analytics em suas máquinas Azure Arc e garantir que elas estejam protegidas pela Central de Segurança do Azure:
- O agente do Log Analytics deve ser instalado em suas máquinas Azure Arc baseadas no Windows (Visualização)
- O agente do Log Analytics deve ser instalado em suas máquinas Azure Arc baseadas em Linux (Visualização)
Essas novas recomendações aparecerão nos mesmos quatro controles de segurança que a recomendação existente (relacionada), o agente de monitoramento deve ser instalado em suas máquinas: corrigir configurações de segurança, aplicar controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de endpoint.
As recomendações também incluem o recurso de correção rápida para acelerar o processo de implantação.
Saiba mais sobre essas duas novas recomendações na tabela Recomendações de computação e aplicativos .
Saiba mais sobre como a Central de Segurança do Azure usa o agente em O que é o agente do Log Analytics?.
Saiba mais sobre extensões para máquinas Azure Arc.
Novas políticas para criar configurações contínuas de exportação e automação do fluxo de trabalho em escala
Automatizar os processos de monitoramento e resposta a incidentes da sua organização pode melhorar muito o tempo necessário para investigar e mitigar incidentes de segurança.
Para implantar suas configurações de automação em sua organização, use estas políticas internas do Azure 'DeployIfdNotExist' para criar e configurar procedimentos de exportação contínua e automação de fluxo de trabalho:
As definições de política podem ser encontradas na Política do Azure:
| Goal | Política | ID da Política |
|---|---|---|
| Exportação contínua para Hubs de Eventos | Implantar a exportação para Hubs de Eventos para alertas e recomendações da Central de Segurança do Azure | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Exportação contínua para o espaço de trabalho do Log Analytics | Implementar a exportação na área de trabalho do Log Analytics para alertas e recomendações do Centro de Segurança do Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automação do fluxo de trabalho para alertas de segurança | Implementar a Automatização do Fluxo de Trabalho para os alertas do Centro de Segurança do Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automação do fluxo de trabalho para recomendações de segurança | Implementar a Automatização do Fluxo de Trabalho para as recomendações do Centro de Segurança do Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Comece a usar modelos de automação de fluxo de trabalho.
Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação do fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.
Nova recomendação para usar NSGs para proteger máquinas virtuais não voltadas para a Internet
O controle de segurança "implementar práticas recomendadas de segurança" agora inclui a seguinte nova recomendação:
- As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede
Uma recomendação existente, as máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distinguindo entre VMs voltadas para a Internet e não voltadas para a Internet. Para ambos, uma recomendação de alta gravidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Esta nova recomendação separa as máquinas não voltadas para a Internet para reduzir os falsos positivos e evitar alertas desnecessários de alta gravidade.
Saiba mais na tabela Recomendações de rede.
Novas políticas para permitir a proteção contra ameaças e a segurança avançada dos dados
As novas definições de política abaixo foram adicionadas à iniciativa ASC Default e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança avançada de dados para os tipos de recursos relevantes.
As definições de política podem ser encontradas na Política do Azure:
Saiba mais sobre a Proteção contra ameaças na Central de Segurança do Azure.
Maio de 2020
As atualizações em maio incluem:
- Regras de supressão de alertas (visualização)
- A avaliação de vulnerabilidades de máquinas virtuais está agora em disponibilidade geral
- Alterações ao acesso just-in-time (JIT) a máquinas virtuais (VM)
- As recomendações personalizadas foram movidas para um controlo de segurança separado
- Botão de ativar/desativar adicionado para ver recomendações nos controlos ou como lista não hierárquica
- Controlo de segurança alargado "Implementar as melhores práticas de segurança"
- As políticas personalizadas com metadados personalizados estão agora em disponibilidade geral
- Recursos de análise de despejo de falhas migrando para deteção de ataques sem arquivos
Regras de supressão de alertas (visualização)
Esta nova funcionalidade (atualmente em pré-visualização) ajuda a reduzir a fadiga de alerta. Use regras para ocultar automaticamente alertas que são conhecidos por serem inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.
Os alertas que correspondem às suas regras de supressão ativadas ainda serão gerados, mas seu estado será definido como descartado. Pode ver o estado no portal do Azure ou como acede aos alertas de segurança do Centro de Segurança.
As regras de supressão definem os critérios relativamente aos quais as indicações devem ser automaticamente rejeitadas. Normalmente, você usaria uma regra de supressão para:
suprimir alertas que identificou como falsos positivos
suprimir alertas que estão sendo acionados com muita frequência para serem úteis
Saiba mais sobre como suprimir alertas da proteção contra ameaças da Central de Segurança do Azure.
A avaliação de vulnerabilidades de máquinas virtuais está agora em disponibilidade geral
A camada padrão da Central de Segurança agora inclui uma avaliação integrada de vulnerabilidades para máquinas virtuais sem custo adicional. Esta extensão é alimentada pela Qualys, mas reporta as suas descobertas diretamente ao Centro de Segurança. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança.
A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.
Para implantar a solução, use a nova recomendação de segurança:
"Habilite a solução integrada de avaliação de vulnerabilidades em máquinas virtuais (com tecnologia Qualys)"
Saiba mais sobre a avaliação integrada de vulnerabilidades para máquinas virtuais do Centro de Segurança.
Alterações ao acesso just-in-time (JIT) a máquinas virtuais (VM)
A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.
Esta atualização traz as seguintes alterações para esse recurso:
A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. Anteriormente, "O controle de acesso à rede just-in-time deve ser aplicado em máquinas virtuais" é agora: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time."
A recomendação é acionada somente se houver portas de gerenciamento abertas.
Saiba mais sobre o recurso de acesso JIT.
As recomendações personalizadas foram movidas para um controlo de segurança separado
Um controle de segurança introduzido com a pontuação de segurança aprimorada foi "Implementar práticas recomendadas de segurança". Todas as recomendações personalizadas criadas para as suas subscrições foram automaticamente colocadas nesse controlo.
Para facilitar a localização das suas recomendações personalizadas, transferimo-las para um controlo de segurança dedicado, "Recomendações personalizadas". Este controlo não tem impacto na sua pontuação segura.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização) no Centro de Segurança do Azure.
Botão de ativar/desativar adicionado para ver recomendações nos controlos ou como lista não hierárquica
Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controlo é um conjunto de recomendações de segurança, com instruções que o ajudam a implementar essas recomendações.
Para ver imediatamente o quão bem sua organização está protegendo cada superfície de ataque individual, revise as pontuações de cada controle de segurança.
Por padrão, suas recomendações são mostradas nos controles de segurança. A partir desta atualização, você também pode exibi-los como uma lista. Para visualizá-los como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova opção 'Agrupar por controles'. A alternância está acima da lista no portal.
Os controles de segurança - e essa alternância - fazem parte da nova experiência de pontuação segura. Lembre-se de nos enviar os seus comentários a partir do portal.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização) no Centro de Segurança do Azure.
Controlo de segurança alargado "Implementar as melhores práticas de segurança"
Um controle de segurança introduzido com a pontuação de segurança aprimorada é "Implementar práticas recomendadas de segurança". Quando uma recomendação está nesse controle, isso não afeta a pontuação segura.
Com esta atualização, três recomendações saíram dos controlos em que foram originalmente colocadas e passaram para este controlo de práticas recomendadas. Demos este passo porque determinámos que o risco destas três recomendações é menor do que se pensava inicialmente.
Além disso, foram introduzidas e acrescentadas a este controlo duas novas recomendações.
As três recomendações que avançaram são as seguintes:
- MFA deve ser habilitado em contas com permissões de leitura em sua assinatura (originalmente no controle "Enable MFA")
- Contas externas com permissões de leitura devem ser removidas da sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
- Um máximo de 3 proprietários devem ser designados para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
As duas novas recomendações aditadas ao controlo são as seguintes:
A extensão de configuração de convidado deve ser instalada em máquinas virtuais do Windows (Visualização) - Usar a Configuração de Convidado de Política do Azure fornece visibilidade dentro de máquinas virtuais para configurações de servidor e aplicativo (somente Windows).
O Windows Defender Exploit Guard deve ser habilitado em suas máquinas (Visualização) - o Windows Defender Exploit Guard aproveita o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows).
Saiba mais sobre o Windows Defender Exploit Guard em Criar e implantar uma política do Exploit Guard.
Saiba mais sobre os controlos de segurança em Pontuação segura melhorada (pré-visualização).
As políticas personalizadas com metadados personalizados estão agora em disponibilidade geral
As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da pontuação segura e do painel de padrões de conformidade regulamentar. Esta funcionalidade está agora disponível em geral e permite-lhe alargar a cobertura da avaliação de segurança da sua organização no Centro de Segurança.
Crie uma iniciativa personalizada na Política do Azure, adicione políticas a ela e integre-a à Central de Segurança do Azure e visualize-a como recomendações.
Agora também adicionamos a opção de editar os metadados de recomendação personalizados. As opções de metadados incluem gravidade, etapas de correção, informações sobre ameaças e muito mais.
Saiba mais sobre como aprimorar suas recomendações personalizadas com informações detalhadas.
Recursos de análise de despejo de falhas migrando para deteção de ataques sem arquivos
Estamos integrando os recursos de deteção de análise de despejo de falhas (CDA) do Windows na deteção de ataques sem arquivos. A análise de deteção de ataques sem arquivos traz versões aprimoradas dos seguintes alertas de segurança para máquinas Windows: injeção de código descoberta, mascaramento do módulo do Windows detetado, código do shell descoberto e segmento de código suspeito detetado.
Alguns dos benefícios desta transição:
Deteção proativa e oportuna de malware - A abordagem CDA envolvia esperar que uma falha ocorresse e, em seguida, executar a análise para encontrar artefatos maliciosos. O uso da deteção de ataques sem arquivos proporciona a identificação proativa de ameaças na memória enquanto elas estão em execução.
Alertas enriquecidos - Os alertas de segurança da deteção de ataques sem arquivo incluem enriquecimentos que não estão disponíveis no CDA, como as informações de conexões de rede ativas.
Agregação de alertas - Quando o CDA detetou vários padrões de ataque em um único despejo de falha, disparou vários alertas de segurança. A deteção de ataques sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um único alerta, eliminando a necessidade de correlacionar vários alertas.
Requisitos reduzidos no espaço de trabalho do Log Analytics - Os despejos de falhas contendo dados potencialmente confidenciais não serão mais carregados no espaço de trabalho do Log Analytics.
Abril de 2020
As atualizações em abril incluem:
- Pacotes de conformidade dinâmica agora estão disponíveis para o público em geral
- Recomendações de identidade agora incluídas na camada gratuita da Central de Segurança do Azure
Pacotes de conformidade dinâmica agora estão disponíveis para o público em geral
O dashboard de conformidade regulamentar do Centro de Segurança do Azure inclui atualmente pacotes de conformidade dinâmicos (agora em disponibilidade geral) para monitorizar normas adicionais regulamentares e do setor.
Os pacotes de conformidade dinâmicos podem ser adicionados à sua subscrição ou grupo de gestão a partir da página da política de segurança do Centro de Segurança. Quando estiver integrado numa norma ou referência, a norma aparece no dashboard de conformidade regulamentar com todos os dados de conformidade associados mapeados como avaliações. Estará disponível para transferência um relatório resumido de todas as normas integradas.
Agora, você pode adicionar padrões como:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Funcionário do Reino Unido e NHS do Reino Unido
- Canada Federal PBMM
- Azure CIS 1.1.0 (novo) (que é uma representação mais completa do Azure CIS 1.1.0)
Além disso, adicionámos recentemente a Referência de Segurança do Azure, as diretrizes específicas do Azure criadas pela Microsoft para obter as melhores práticas de segurança e conformidade baseadas em arquiteturas de conformidade comuns. Serão suportadas normas adicionais no dashboard à medida que forem disponibilizadas.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Recomendações de identidade agora incluídas no escalão gratuito do Centro de Segurança do Azure
As recomendações de segurança para identidade e acesso no escalão gratuito do Centro de Segurança do Azure já estão em disponibilidade geral. Isso faz parte do esforço para tornar os recursos de gerenciamento de postura de segurança na nuvem (CSPM) gratuitos. Até agora, estas recomendações só estavam disponíveis no escalão de preço padrão.
Exemplos de recomendações de identidade e acesso incluem:
- "Deve ativar a autenticação multifator nas contas com permissões de proprietário na sua subscrição".
- "Deve designar um máximo de três proprietários para a sua subscrição".
- "Deve remover as contas preteridas da sua subscrição".
Se tiver subscrições no escalão de preço gratuito, as respetivas classificações de segurança serão afetadas por esta alteração, uma vez que nunca foram avaliadas em termos da sua segurança de identidade e acesso.
Saiba mais sobre recomendações de identidade e acesso.
Saiba mais sobre como gerenciar a imposição de autenticação multifator (MFA) em suas assinaturas.
Março de 2020
As atualizações em março incluem:
- A automação do fluxo de trabalho agora está disponível para o público em geral
- Integração da Central de Segurança do Azure com o Windows Admin Center
- Proteção para o Serviço Kubernetes do Azure
- Experiência just-in-time melhorada
- Duas recomendações de segurança para aplicativos Web preteridas
A automação do fluxo de trabalho agora está disponível para o público em geral
A funcionalidade de automatização de fluxos de trabalho do Centro de Segurança do Azure já está em disponibilidade geral. Utilize-a para acionar automaticamente o Logic Apps nos alertas e recomendações de segurança. Além disso, os acionadores manuais estão disponíveis para alertas e para todas as recomendações que tiverem a opção de correção rápida disponível.
Todos os programas de segurança incluem vários fluxos de trabalho para resposta a incidentes. Estes processos poderão incluir o envio de notificações para os intervenientes relevantes, a iniciação de um processo de gestão de alterações e a aplicação de medidas específicas de remediação. Os especialistas em segurança recomendam que automatize o número máximo de passos possível desses procedimentos. A automatização reduz os custos gerais e pode melhorar a sua segurança na medida em que garante a rápida realização dos passos de forma consistente e de acordo com os seus requisitos predefinidos.
Para obter mais informações sobre as capacidades automáticas e manuais do Centro de Segurança para a execução dos seus fluxos de trabalho, veja automatização de fluxos de trabalho.
Saiba mais sobre como criar aplicativos lógicos.
Integração da Central de Segurança do Azure com o Windows Admin Center
Agora é possível mover seus servidores Windows locais do Windows Admin Center diretamente para a Central de Segurança do Azure. Em seguida, o Centro de Segurança torna-se o seu único painel de vidro para ver informações de segurança de todos os recursos do Windows Admin Center, incluindo servidores no local, máquinas virtuais e cargas de trabalho PaaS adicionais.
Depois de mover um servidor do Windows Admin Center para a Central de Segurança do Azure, você poderá:
- Ver alertas de segurança e recomendações na extensão do Centro de Segurança do Windows Admin Center.
- Ver a postura de segurança e obter informações detalhadas adicionais dos servidores geridos pelo Windows Admin Center no Centro de Segurança no portal do Azure (ou através de uma API).
Saiba mais sobre como integrar o Centro de Segurança do Azure com o Windows Admin Center.
Proteção para o Serviço Kubernetes do Azure
O Centro de Segurança do Azure está a expandir as funcionalidades de segurança dos contentores para proteger o Azure Kubernetes Service (AKS).
A popular plataforma de código aberto Kubernetes é adotada tão amplamente que agora é um padrão da indústria para orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de uma aplicação em contentor requer conhecimento especializado para garantir que a infraestrutura é configurada de forma segura e monitorizada constantemente para detetar potenciais ameaças.
A defesa do Centro de Segurança inclui:
- Descoberta e visibilidade - Descoberta contínua de instâncias AKS gerenciadas nas assinaturas registradas na Central de Segurança.
- Recomendações de segurança - Recomendações acionáveis para ajudá-lo a cumprir as práticas recomendadas de segurança para o AKS. Essas recomendações são incluídas na sua pontuação segura para garantir que sejam vistas como parte da postura de segurança da sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço do Kubernetes".
- Proteção contra ameaças - Através da análise contínua da sua implementação do AKS, o Centro de Segurança alerta-o para ameaças e atividades maliciosas detetadas ao nível do anfitrião e do cluster AKS.
Saiba mais sobre a integração dos Serviços Kubernetes do Azure com a Central de Segurança.
Saiba mais sobre os recursos de segurança do contêiner na Central de Segurança.
Experiência just-in-time melhorada
Os recursos, a operação e a interface do usuário das ferramentas just-in-time da Central de Segurança do Azure que protegem suas portas de gerenciamento foram aprimorados da seguinte maneira:
- Campo de justificação - Ao solicitar acesso a uma máquina virtual (VM) por meio da página just-in-time do portal do Azure, um novo campo opcional está disponível para inserir uma justificativa para a solicitação. A informação introduzida neste campo pode ser vista no registo de atividades.
- Limpeza automática de regras redundantes just-in-time (JIT) - Sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura por incoerências entre as regras da sua política e as regras do NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determina a causa e, quando é seguro fazê-lo, remove as regras internas que não são mais necessárias. A ferramenta de limpeza nunca elimina regras que tenham sido criadas por si.
Saiba mais sobre o recurso de acesso JIT.
Duas recomendações de segurança para aplicativos Web preteridas
Duas recomendações de segurança relacionadas com aplicações Web estão a ser descontinuadas:
As regras para aplicações Web em NSGs IaaS devem ser protegidas. (Política relacionada: As regras dos NSGs para aplicações Web em IaaS devem ser reforçadas)
O acesso aos Serviços Aplicacionais deve ser restringido. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [visualização])
Essas recomendações não aparecerão mais na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".
Saiba mais sobre recomendações de segurança.
Fevereiro de 2020
Deteção de ataques sem arquivos para Linux (visualização)
À medida que os atacantes recorrem a métodos cada vez mais furtivos para evitar a deteção, o Centro de Segurança do Azure alargou a deteção de ataques fileless para Linux, para além do Windows. Os ataques fileless exploram as vulnerabilidades de software, injetam payloads maliciosos nos processos de sistema benignos e ocultam-se na memória. Estas técnicas:
- minimizar ou eliminar vestígios de malware no disco
- reduzir significativamente as chances de deteção por soluções de verificação de malware baseadas em disco
Para combater esta ameaça, o Centro de Segurança do Azure lançou a deteção de ataques fileless para Windows em outubro de 2018 e alargou-a agora ao Linux.
Janeiro de 2020
Pontuação segura melhorada (pré-visualização)
Uma versão melhorada da funcionalidade Classificação de Segurança do Centro de Segurança do Azure está agora disponível em pré-visualização. Nesta versão, estão agrupadas várias recomendações nos Controlos de Segurança que refletem melhor as superfícies vulneráveis a ataques (por exemplo, acesso restrito a portas de gestão).
Familiarize-se com as alterações da classificação de segurança durante a fase de pré-visualização e determine outras remediações que o ajudarão a proteger ainda mais o seu ambiente.
Saiba mais sobre a pontuação segura aprimorada (visualização).
Novembro de 2019
As atualizações em novembro incluem:
- Proteção contra ameaças para o Azure Key Vault em regiões da América do Norte (visualização)
- A Proteção contra Ameaças para o Armazenamento do Azure inclui a Verificação da Reputação de Malware
- Automação do fluxo de trabalho com aplicativos lógicos (visualização)
- Correção rápida para recursos em massa geralmente disponíveis
- Verificar imagens de contêiner em busca de vulnerabilidades (visualização)
- Normas adicionais de conformidade regulamentar (pré-visualização)
- Proteção contra ameaças para o Serviço Kubernetes do Azure (visualização)
- Avaliação de vulnerabilidade de máquina virtual (visualização)
- Segurança de dados avançada para servidores SQL em Máquinas Virtuais do Azure (visualização)
- Suporte para políticas personalizadas (visualização)
- Estendendo a cobertura da Central de Segurança do Azure com plataforma para comunidade e parceiros
- Integrações avançadas com exportação de recomendações e alertas (visualização)
- Integrar servidores locais ao Centro de Segurança a partir do Windows Admin Center (pré-visualização)
Proteção contra ameaças para o Azure Key Vault em regiões da América do Norte (visualização)
O Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho de aplicações na cloud ao oferecer a capacidade de gerir centralmente chaves, segredos, chaves criptográficas e políticas na cloud. Uma vez que o Azure Key Vault armazena dados confidenciais e críticos para a empresa, exige máxima segurança para os cofres de chaves e os dados nele armazenados.
O suporte da Central de Segurança do Azure para Proteção contra Ameaças para o Cofre de Chaves do Azure fornece uma camada adicional de inteligência de segurança que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar cofres de chaves. Esta nova camada de proteção permite que os clientes respondam a ameaças contra os seus cofres de chaves sem serem especialistas em segurança ou sem uma gestão de sistemas de monitorização de segurança. A funcionalidade está em pré-visualização pública nas Regiões da América do Norte.
A Proteção Contra Ameaças para o Armazenamento do Azure inclui Controlo de Reputação de Software Maligno
A proteção contra ameaças do Armazenamento do Microsoft Azure oferece novas deteções com tecnologia das Informações Sobre Ameaças da Microsoft para detetar carregamentos de malware para o Armazenamento do Microsoft Azure com análises de reputação de hashes e acesso suspeito a partir de um nó de saída Tor ativo (um proxy de anonimização). Agora, pode ver software maligno detetado em contas de armazenamento com o Centro de Segurança do Azure.
Automação do fluxo de trabalho com aplicativos lógicos (visualização)
As organizações com segurança e TI/operações geridas centralmente implementam processos de fluxo de trabalho internos para promoverem as ações necessárias dentro da organização quando se detetam discrepâncias nos respetivos ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis e a automação pode simplificar muito os processos dentro da organização.
Hoje apresentamos uma nova funcionalidade no Centro de Segurança que permite que os clientes criem configurações de automatização ao tirarem partido do Azure Logic Apps, e que criem políticas que as acionarão automaticamente com base em resultados específicos do ASC, tais como Recomendações ou Alertas. É possível configurar o Azure Logic Apps para que este realize qualquer ação personalizada suportada pela vasta comunidade de conectores do Logic Apps ou utilize um dos modelos fornecidos pelo Centro de Segurança, tais como enviar um e-mail ou abrir um pedido da ServiceNow™.
Para obter mais informações sobre as capacidades automáticas e manuais do Centro de Segurança para a execução dos seus fluxos de trabalho, veja automatização de fluxos de trabalho.
Para saber mais sobre a criação do Logic Apps, veja Azure Logic Apps.
Correção rápida para recursos em massa geralmente disponíveis
Devido ao grande número de tarefas que são atribuídas a um utilizador como parte da Classificação de Segurança, a capacidade de remediar problemas numa frota de grandes dimensões pode ser um desafio.
Use a correção rápida para corrigir erros de configuração de segurança, corrigir recomendações sobre vários recursos e melhorar sua pontuação segura.
Esta operação permite-lhe selecionar os recursos aos quais quer aplicar a remediação e lançar uma ação de remediação que configurará a definição em seu nome.
A correção rápida está geralmente disponível hoje para clientes como parte da página de recomendações da Central de Segurança.
Veja quais recomendações têm a correção rápida ativada no guia de referência para recomendações de segurança.
Verificar imagens de contêiner em busca de vulnerabilidades (visualização)
Agora o Centro de Segurança do Azure pode analisar imagens de contentor no Azure Container Registry para detetar vulnerabilidades.
A análise das imagens consiste na análise do ficheiro de imagem de contentor e numa verificação posterior que visa detetar eventuais vulnerabilidades conhecidas (com tecnologia da Qualys).
A análise é acionada automaticamente quando se emitem novas imagens de contentor para o Azure Container Registry. As vulnerabilidades encontradas aparecerão conforme as recomendações da Central de Segurança e serão incluídas na pontuação segura, juntamente com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.
Normas adicionais de conformidade regulamentar (pré-visualização)
O dashboard "Conformidade Regulamentar" fornece informações sobre a sua postura de conformidade com base em avaliações do Centro de Segurança. O dashboard mostra como os seus ambientes estão em conformidade com controlos e requisitos definidos por normas regulamentares e referências da indústria específicas, e fornece recomendações prescritivas sobre a forma como se devem abordar estes requisitos.
Até agora, o painel de conformidade regulamentar deu suporte a quatro padrões internos: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Estamos agora anunciando a versão prévia pública de padrões adicionais suportados: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official juntamente com UK NHS. Também estamos a lançar uma versão atualizada de Azure CIS 1.1.0, que abrange mais controlos da norma e aumenta a extensibilidade.
Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulamentar.
Proteção contra ameaças para o Serviço Kubernetes do Azure (visualização)
O Kubernetes está rapidamente a tornar-se o novo padrão para implementar e gerir software na cloud. Poucas são as pessoas que têm uma vasta experiência com o Kubernetes e muitas apenas se focam na administração e engenharia gerais, pelo que ignoram o fator da segurança. Deve configurar-se o ambiente do Kubernetes com cuidado para este estar protegido ao garantir que nenhuma porta de superfície de ataque focada em contentores é deixada aberta. O Centro de Segurança está a expandir o suporte no espaço de contentores para um dos serviços que estão a crescer mais rapidamente no Azure: o Azure Kubernetes Service (AKS).
As novas funcionalidades nesta versão de pré-visualização pública incluem:
- Descoberta e visibilidade - Descoberta contínua de instâncias AKS gerenciadas nas assinaturas registradas da Central de Segurança.
- Recomendações de pontuação segura - Itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviços do Kubernetes".
- Deteção de ameaças - Análise baseada em host e cluster, como "Um contêiner privilegiado detetado".
Avaliação de vulnerabilidade de máquina virtual (visualização)
Muitas vezes, as aplicações instaladas em máquinas virtuais podem ter vulnerabilidades que poderão originar falhas de segurança na máquina virtual. Estamos anunciando que a camada padrão da Central de Segurança inclui avaliação de vulnerabilidade interna para máquinas virtuais sem custo adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na visualização pública, permitirá que você analise continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresentar as descobertas na experiência do portal da Central de Segurança. O Centro de Segurança realiza todas as operações de implementação, pelo que o utilizador não precisará de ter trabalho adicional. No futuro, estamos planejando fornecer opções de avaliação de vulnerabilidade para dar suporte às necessidades exclusivas de negócios de nossos clientes.
Saiba mais sobre avaliações de vulnerabilidade para suas Máquinas Virtuais do Azure.
Segurança de dados avançada para servidores SQL em Máquinas Virtuais do Azure (visualização)
O suporte da Central de Segurança do Azure para proteção contra ameaças e avaliação de vulnerabilidades para DBs SQL em execução em VMs IaaS agora está em visualização.
A Avaliação de Vulnerabilidade é um serviço fácil de configurar que pode detetar, controlar e ajudar a corrigir potenciais vulnerabilidades da base de dados. Ele fornece visibilidade sobre sua postura de segurança como parte da pontuação segura e inclui as etapas para resolver problemas de segurança e aprimorar suas fortificações de banco de dados.
A Proteção Avançada contra Ameaças deteta atividades anómalas que indicam tentativas potencialmente perigosas e invulgares para aceder ou explorar o seu SQL Server. Monitoriza continuamente a sua base de dados para detetar atividades suspeitas e apresenta alertas de segurança orientados para ações relativos a padrões de acesso anómalo a bases de dados. Estes alertas mostram detalhes das atividades suspeitas e as ações recomendadas para investigar e mitigar essa ameaça.
Suporte para políticas personalizadas (visualização)
O Centro de Segurança do Azure suporta agora políticas personalizadas (em pré-visualização).
Os nossos clientes têm expressado a vontade de expandir a respetiva cobertura de avaliações de segurança atual no Centro de Segurança com as suas próprias avaliações de segurança baseadas em políticas que eles criam na Política do Azure. Graças ao suporte para políticas personalizadas, isto é agora possível.
Estas novas políticas farão parte da experiência de recomendações do Centro de Segurança, da Classificação de Segurança e do dashboard das normas de conformidade regulamentar. Com o suporte para políticas personalizadas, agora você pode criar uma iniciativa personalizada na Política do Azure, adicioná-la como uma política na Central de Segurança e visualizá-la como uma recomendação.
Expandir a cobertura do Centro de Segurança do Azure com uma plataforma para a comunidade e os parceiros
Use a Central de Segurança para receber recomendações não apenas da Microsoft, mas também de soluções existentes de parceiros como Check Point, Tenable e CyberArk, com muitas outras integrações chegando. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você visualize suas recomendações de postura de segurança em um único local, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações internas e de parceiros. Também pode exportar as recomendações do Centro de Segurança para produtos de parceiros.
Saiba mais sobre a Microsoft Intelligent Security Association.
Integrações avançadas com exportação de recomendações e alertas (visualização)
Para habilitar cenários de nível empresarial sobre a Central de Segurança, agora é possível consumir alertas e recomendações da Central de Segurança em locais adicionais, exceto no portal do Azure ou na API. Eles podem ser exportados diretamente para um hub de eventos e para espaços de trabalho do Log Analytics. Seguem-se alguns fluxos de trabalho que pode criar em torno destas novas funcionalidades:
- Com a exportação para o espaço de trabalho do Log Analytics, você pode criar painéis personalizados com o Power BI.
- Com a exportação para Hubs de Eventos, você poderá exportar alertas e recomendações da Central de Segurança para seus SIEMs de terceiros, para uma solução de terceiros ou para o Azure Data Explorer.
Integrar servidores locais ao Centro de Segurança a partir do Windows Admin Center (pré-visualização)
O Windows Admin Center é um portal de gestão para Servidores Windows que não estão implementados no Azure e que lhes fornece várias capacidades de gestão do Azure, tais como cópias de segurança e atualizações de sistema. Adicionámos recentemente uma capacidade para incluir estes servidores que não são do Azure de forma que sejam protegidos diretamente pelo Certificado do Serviço de Aplicações a partir da experiência do Windows Admin Center.
Os usuários agora podem integrar um servidor WAC à Central de Segurança do Azure e habilitar a exibição de seus alertas e recomendações de segurança diretamente na experiência do Windows Admin Center.
Setembro de 2019
As atualizações em setembro incluem:
- Gerenciando regras com melhorias nos controles de aplicativos adaptáveis
- Controlar a recomendação de segurança do contêiner usando a Política do Azure
Gerenciando regras com melhorias nos controles de aplicativos adaptáveis
A experiência de gestão de regras para máquinas virtuais através de controlos de aplicação adaptáveis foi melhorada. Os controles de aplicativo adaptáveis da Central de Segurança do Azure ajudam você a controlar quais aplicativos podem ser executados em suas máquinas virtuais. Para além de uma melhoria global da gestão de regras, dispõe também de um novo benefício que lhe permite controlar que tipos de ficheiro serão protegidos sempre que adicionar uma nova regra.
Saiba mais sobre controles de aplicativos adaptáveis.
Controlar a recomendação de segurança do contêiner usando a Política do Azure
A recomendação da Central de Segurança do Azure para corrigir vulnerabilidades na segurança de contêineres agora pode ser habilitada ou desabilitada por meio da Política do Azure.
Para ver as políticas de segurança ativadas, abra a página Política de Segurança no Centro de Segurança.
Agosto de 2019
As atualizações em agosto incluem:
- Acesso à VM just-in-time (JIT) para o Firewall do Azure
- Remediação com um único clique para melhorar sua postura de segurança (visualização)
- Gerenciamento entre locatários
Acesso à VM just-in-time (JIT) para o Firewall do Azure
O acesso à VM just-in-time (JIT) para o Azure Firewall está agora em disponibilidade geral. Utilize-o para proteger os seus ambientes protegidos do Azure Firewall, além dos ambientes protegidos do NSG.
O acesso à VM JIT reduz a exposição a ataques volumétricos da rede ao fornecer acesso controlado às VMs apenas quando for necessário, através das regras do NSG e do Azure Firewall.
Quando ativar o JIT para as suas VMs, criará uma política que determina as portas a proteger, o tempo durante o qual permanecem abertas e os endereços IP aprovados a partir dos quais estas portas podem ser acedidas. Esta política ajuda-o a manter o controlo das ações que os utilizadores podem realizar quando solicitarem acesso.
Os pedidos são registados no Registo de Atividades do Azure, pelo que pode monitorizar e auditar o acesso facilmente. A página just-in-time também ajuda você a identificar rapidamente VMs existentes que têm JIT habilitado e VMs onde JIT é recomendado.
Saiba mais sobre o Firewall do Azure.
Remediação com um único clique para melhorar sua postura de segurança (visualização)
A classificação de segurança é uma ferramenta que o ajuda a avaliar a sua postura de segurança de carga de trabalho. Revê as suas recomendações de segurança e classifica-as para que saiba que recomendações deve fazer primeiro. Isto ajuda-o a detetar as vulnerabilidades de segurança mais graves para classificar a investigação.
Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua pontuação segura, adicionamos um novo recurso que permite corrigir uma recomendação sobre uma grande quantidade de recursos em um único clique.
Esta operação permite-lhe selecionar os recursos aos quais quer aplicar a remediação e lançar uma ação de remediação que configurará a definição em seu nome.
Veja quais recomendações têm a correção rápida ativada no guia de referência para recomendações de segurança.
Gestão entre inquilinos
Agora, o Centro de Segurança suporta cenários de gestão entre inquilinos como parte do Azure Lighthouse. Desta forma, consegue obter visibilidade e gerir a postura de segurança de vários inquilinos no Centro de Segurança.
Saiba mais sobre experiências de gerenciamento entre locatários.
Julho de 2019
Atualizações das recomendações de rede
O Centro de Segurança do Azure (ASC) lançou novas recomendações de rede e melhorou algumas recomendações existentes. Agora, ao utilizar o Centro de Segurança, está a garantir uma proteção de rede ainda maior para os seus recursos.
Saiba mais sobre as recomendações de rede.
Junho de 2019
Proteção de rede adaptável - disponível em geral
Uma das maiores superfícies de ataque para cargas de trabalho em execução na cloud pública são as ligações de e para a Internet pública. Os nossos clientes têm dificuldade em saber que regras do Grupo de Segurança de Rede (NSG) devem estar implementadas para garantir que as cargas de trabalho do Azure estão disponíveis apenas nos intervalos de origem necessários. Com esta funcionalidade, o Centro de Segurança aprende os padrões de conectividade e tráfego de rede das cargas de trabalho do Azure e fornece recomendações de regras NSG, para máquinas virtuais com acesso à Internet. Desta forma, os clientes podem configurar melhor as respetivas políticas de acesso à rede e limitar a sua exposição a ataques.