Melhorar a conformidade regulamentar

  • Artigo

O Microsoft Defender for Cloud ajuda-o a cumprir os requisitos de conformidade regulamentar, avaliando continuamente os recursos em relação aos controlos de conformidade e identificando problemas que o impedem de obter uma certificação de conformidade específica.

No painel Conformidade regulamentar, você gerencia e interage com os padrões de conformidade. Você pode ver quais padrões de conformidade são atribuídos, ativar e desativar padrões para Azure, AWS e GCP, revisar o status das avaliações em relação aos padrões e muito mais.

Integração com Purview

Os dados de conformidade do Defender for Cloud agora se integram perfeitamente ao Microsoft Purview Compliance Manager, permitindo que você avalie e gerencie centralmente a conformidade em todo o patrimônio digital da sua organização.

Quando você adiciona qualquer padrão ao seu painel de conformidade (incluindo padrões de conformidade monitorando outras nuvens, como AWS e GCP), os dados de conformidade no nível de recursos são automaticamente exibidos no Compliance Manager para o mesmo padrão.

Assim, o Compliance Manager fornece ações de melhoria e status em toda a sua infraestrutura de nuvem e todos os outros ativos digitais nesta ferramenta central. Para obter mais informações, consulte Suporte multicloud no Microsoft Purview Compliance Manager.

Antes de começar

  • Por padrão, quando você habilita o Defender for Cloud em uma assinatura do Azure, conta da AWS ou plano GCP, o plano MCSB é habilitado.
  • Você pode adicionar mais padrões de conformidade não padrão quando pelo menos um plano pago estiver habilitado no Defender for Cloud.
  • Você deve estar conectado com uma conta que tenha acesso de leitor aos dados de conformidade da política. A função Leitor da subscrição tem acesso aos dados de conformidade da política, mas a função Leitor de Segurança não. No mínimo, você precisa ter funções de Colaborador de Política de Recursos e Administrador de Segurança atribuídas.

Avalie a conformidade regulatória

O painel Conformidade regulatória mostra quais padrões de conformidade estão habilitados. Ele mostra os controles dentro de cada padrão e as avaliações de segurança para esses controles. O status dessas avaliações reflete sua conformidade com a norma.

O painel ajuda você a se concentrar em lacunas nos padrões e a monitorar a conformidade ao longo do tempo.

  1. No portal do Defender for Cloud, abra a página Conformidade regulamentar.

    Screenshot that shows the exploration of the details of compliance with a specific standard.

  2. Use o painel de acordo com os itens numerados na imagem.

    • (1). Selecione um padrão de conformidade para ver uma lista de todos os controles para esse padrão.
    • (2). Exiba as assinaturas nas quais o padrão de conformidade é aplicado.
    • (3). Selecione e expanda um controle para exibir as avaliações associadas a ele. Selecione uma avaliação para visualizar os recursos associados e possíveis ações de correção.
    • (4). Selecione Detalhes do controle para exibir as guias Visão geral, Suas ações e Ações da Microsoft.
    • (5). Em Suas ações, você pode ver as avaliações automatizadas e manuais associadas ao controle.
    • (6). As avaliações automatizadas mostram o número de recursos e tipos de recursos com falha e vinculam você diretamente às informações de correção.
    • (7). As avaliações manuais podem ser atestadas manualmente e as provas podem ser associadas para demonstrar a conformidade.

Investigar problemas

Você pode usar as informações no painel para investigar problemas que possam afetar a conformidade com o padrão.

  1. No portal do Defender for Cloud, abra Conformidade regulamentar.

  2. Selecione um padrão de conformidade regulatória e selecione um controle de conformidade para expandi-lo.

  3. Selecione Detalhes do controle.

    Screenshot that shows you where to navigate to select control details on the screen.

    • Selecione Visão geral para ver as informações específicas sobre o controle selecionado.
    • Selecione Suas ações para ver uma visão detalhada das ações automatizadas e manuais que você precisa tomar para melhorar sua postura de conformidade.
    • Selecione Ações da Microsoft para ver todas as ações que a Microsoft tomou para garantir a conformidade com o padrão selecionado.

  4. Em Suas ações, você pode selecionar uma seta para baixo para exibir mais detalhes e resolver a recomendação para esse recurso.

    Screenshot that shows you where the down arrow is on the screen.

    Para obter mais informações sobre como aplicar recomendações, consulte Implementando recomendações de segurança no Microsoft Defender for Cloud.

    Nota

    As avaliações são executadas aproximadamente a cada 12 horas, portanto, você verá o impacto em seus dados de conformidade somente após a próxima execução da avaliação relevante.

Remediar uma avaliação automatizada

A conformidade regulatória tem avaliações automatizadas e manuais que podem precisar ser corrigidas. Usando as informações no painel de conformidade regulamentar, melhore sua postura de conformidade resolvendo recomendações diretamente no painel.

  1. No portal do Defender for Cloud, abra Conformidade regulamentar.

  2. Selecione um padrão de conformidade regulatória e selecione um controle de conformidade para expandi-lo.

  3. Selecione qualquer uma das avaliações com falha que aparecem no painel para exibir os detalhes dessa recomendação. Cada recomendação inclui um conjunto de etapas de correção para resolver o problema.

  4. Selecione um recurso específico para exibir mais detalhes e resolver a recomendação para esse recurso.
    Por exemplo, no padrão CIS 1.1.0 do Azure, selecione a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.

    Screenshot that shows that selecting a recommendation from a standard leads directly to the recommendation details page.

  5. Neste exemplo, ao selecionar Executar ação na página de detalhes da recomendação, você chega às páginas da Máquina Virtual do Azure do portal do Azure, onde pode habilitar a criptografia na guia Segurança :

    Screenshot that shows the take action button on the recommendation details page leads to the remediation options.

    Para obter mais informações sobre como aplicar recomendações, consulte Implementando recomendações de segurança no Microsoft Defender for Cloud.

  6. Depois de tomar medidas para resolver recomendações, você verá o resultado no relatório do painel de conformidade porque sua pontuação de conformidade melhora.

As avaliações são executadas aproximadamente a cada 12 horas, portanto, você verá o impacto em seus dados de conformidade somente após a próxima execução da avaliação relevante.

Remediar uma avaliação manual

A conformidade regulatória tem avaliações automatizadas e manuais que podem precisar ser corrigidas. As avaliações manuais são avaliações que exigem informações do cliente para corrigi-las.

  1. No portal do Defender for Cloud, abra Conformidade regulamentar.

  2. Selecione um padrão de conformidade regulatória e selecione um controle de conformidade para expandi-lo.

  3. Na seção Atestado manual e provas, selecione uma avaliação.

  4. Selecione as subscrições relevantes.

  5. Selecione Atestar.

  6. Insira as informações relevantes e anexe provas de conformidade.

  7. Selecione Guardar.

Gerar relatórios e certificados de status de conformidade

  1. Para gerar um relatório PDF com um resumo do seu status de conformidade atual para um padrão específico, selecione Baixar relatório.

    O relatório fornece um resumo de alto nível do seu status de conformidade para o padrão selecionado com base nos dados de avaliações do Defender for Cloud. O relatório está organizado de acordo com os controles dessa norma específica. O relatório pode ser partilhado com as partes interessadas relevantes e pode fornecer elementos de prova aos auditores internos e externos.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download compliance reports.

  2. Para baixar relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas, use a opção Relatórios de auditoria.

    Screenshot that shows using the toolbar in Defender for Cloud's regulatory compliance dashboard to download Azure and Dynamics certification reports.

  3. Selecione a guia para os tipos de relatórios relevantes (PCI, SOC, ISO e outros) e use filtros para encontrar os relatórios específicos de que você precisa:

    Screenshot that shows filtering the list of available Azure Audit reports using tabs and filters.

    Por exemplo, na guia PCI, você pode baixar um arquivo ZIP contendo um certificado assinado digitalmente demonstrando a conformidade do Microsoft Azure, Dynamics 365 e Outros Serviços Online com ISO22301 estrutura, juntamente com a garantia necessária para interpretar e apresentar o certificado.

Quando transfere um destes relatórios de certificação, é-lhe apresentado o seguinte aviso de privacidade:

Ao transferir este ficheiro, está a dar o seu consentimento à Microsoft para armazenar o utilizador atual e as subscrições selecionadas no momento da transferência. Esses dados são usados para notificá-lo em caso de alterações ou atualizações no relatório de auditoria baixado. Esses dados são usados pela Microsoft e pelas empresas de auditoria que produzem a certificação/relatórios somente quando a notificação é necessária.

Status de conformidade de exportação contínua

Se você quiser acompanhar seu status de conformidade com outras ferramentas de monitoramento em seu ambiente, o Defender for Cloud inclui um mecanismo de exportação para tornar isso simples. Configure a exportação contínua para enviar dados selecionados para um Hubs de Eventos do Azure ou um espaço de trabalho do Log Analytics. Saiba mais sobre a exportação contínua de dados do Defender for Cloud.

Use dados de exportação contínua para um Hubs de Eventos do Azure ou um espaço de trabalho do Log Analytics:

  1. Exporte todos os dados de conformidade regulatória em um fluxo contínuo:

    Screenshot that shows how to continuously export a stream of regulatory compliance data.

  2. Exporte instantâneos semanais de seus dados de conformidade regulamentar:

    Screenshot that shows how to continuously export a weekly snapshot of regulatory compliance data.

Gorjeta

Você também pode exportar manualmente relatórios sobre um único point-in-time diretamente do painel de conformidade regulamentar. Gere esses relatórios PDF/CSV ou relatórios de certificação do Azure e do Dynamics usando as opções da barra de ferramentas Baixar relatório ou Relatórios de auditoria.

Acionar um fluxo de trabalho quando as avaliações forem alteradas

O recurso de automação de fluxo de trabalho do Defender for Cloud pode acionar aplicativos lógicos sempre que uma de suas avaliações de conformidade regulatória mudar de estado.

Por exemplo, talvez você queira que o Defender for Cloud envie um e-mail para um usuário específico quando uma avaliação de conformidade falhar. Você precisa primeiro criar o aplicativo lógico (usando os Aplicativos Lógicos do Azure) e, em seguida, configurar o gatilho em uma nova automação de fluxo de trabalho, conforme explicado em Automatizar respostas aos gatilhos do Defender for Cloud.

Screenshot that shows how to use changes to regulatory compliance assessments to trigger a workflow automation.

Próximos passos

Para saber mais, consulte estas páginas relacionadas: