Criar iniciativas e políticas de segurança personalizadas do Azure

Para ajudar a proteger seus sistemas e ambientes, o Microsoft Defender para Nuvem gera recomendações de segurança. Essas recomendações são baseadas nas melhores práticas do setor, que são incorporadas à política de segurança padrão genérica fornecida para todos os clientes. Elas também podem vir do conhecimento Defender para Nuvem de padrões do setor e regulatórios.

Com esse recurso, você pode adicionar suas iniciativas personalizadas. Embora as iniciativas personalizadas não sejam incluídas na classificação de segurança, você receberá recomendações se o seu ambiente não seguir as políticas que você criar. Todas as iniciativas personalizadas que você criar são mostradas na lista de todas as recomendações, e você pode filtrar por iniciativa para ver as recomendações para sua iniciativa. Elas também são mostradas com as iniciativas internas do painel de conformidade regulatória, conforme descrito no tutorial Aprimorar a conformidade regulatória.

Conforme discutido na documentação do Azure Policy, quando você especifica uma localização para sua iniciativa personalizada, ele deve ser um grupo de gerenciamento ou uma assinatura.

Dica

Para obter uma visão geral dos principais conceitos desta página, confira O que são políticas de segurança, iniciativas e recomendações?.

Você pode exibir suas iniciativas personalizadas organizadas por controles, semelhantes aos controles no padrão de conformidade. Para saber como criar grupos de políticas dentro das iniciativas personalizadas e organizá-los em sua iniciativa, siga as diretrizes fornecidas nos grupos de definições de política.

Para adicionar uma iniciativa personalizada à sua assinatura

  1. No menu do Defender para Nuvem, abra Configurações de ambiente.

  2. Selecione a assinatura ou o grupo de gerenciamento relevante ao qual você gostaria de adicionar uma iniciativa personalizada.

    Observação

    Para que suas iniciativas personalizadas sejam avaliadas e exibidas no Defender para Nuvem, você deve adicioná-las no nível de assinatura (ou superior). Recomendamos que você selecione o escopo mais amplo disponível.

  3. Abra a página Política de segurança e, na área Suas iniciativas personalizadas, selecione Adicionar uma iniciativa personalizada.

    Captura de tela do acesso à página da política de segurança no Microsoft Defender para Nuvem.

  4. Na página Adicionar iniciativas personalizadas, examine a lista de políticas personalizadas já criadas em sua organização.

    • Se você vir uma que deseja atribuir à sua assinatura, selecione Adicionar.

    • Se não houver uma iniciativa na lista que atenda às suas necessidades, crie uma iniciativa personalizada:

      1. Selecione Criar novo.
      2. Insira a localização e o nome da definição.
      3. Selecione as políticas a serem incluídas e selecione Adicionar.
      4. Insira os parâmetros desejados.
      5. Clique em Salvar.
      6. Na página Adicionar iniciativas personalizadas, selecione Atualizar. Sua nova iniciativa estará disponível.
      7. Selecione Adicionar e atribua-a à sua assinatura.

    Criar ou adicionar uma política.

    Observação

    A criação de iniciativas requer credenciais de proprietário da assinatura. Para obter mais informações sobre as funções do Azure, confira Permissões no Microsoft Defender para Nuvem.

    Sua nova iniciativa entra em vigor e você pode ver o impacto das duas seguintes maneiras:

    • No menu Defender para Nuvem, selecione Conformidade regulatória. O painel de conformidade é aberto para mostrar sua nova iniciativa personalizada junto com as iniciativas internas.

    • Você começará a receber recomendações se o seu ambiente não seguir as políticas que você definiu.

  5. Para ver as recomendações resultantes para sua política, selecione Recomendações na barra lateral para abrir a página de recomendações. As recomendações serão exibidas com um rótulo "Personalizado" e estarão disponíveis em aproximadamente uma hora.

    Recomendações personalizadas.

Configurar uma política de segurança no Azure Policy usando a API REST

Como parte da integração nativa com o Azure Policy, o Microsoft Defender para Nuvem permite que você use a API REST do Azure Policy para criar atribuições de política. As instruções a seguir orientam você a criar as atribuições da política e personalizar atribuições existentes.

Conceitos importantes no Azure Policy:

  • Uma definição de política é uma regra

  • Uma iniciativa é uma coleção de definições de políticas (regras)

  • Uma atribuição é uma aplicação de uma iniciativa ou política a um escopo específico (grupo de gerenciamento, assinatura, etc.)

O Microsoft Defender para Nuvem tem uma iniciativa interna, o Microsoft Cloud Security Benchmark, que inclui todas as políticas de segurança. Para avaliar as políticas do Defender para Nuvem nos recursos do Azure, você deve criar uma atribuição no grupo de gerenciamento ou na assinatura que você deseja avaliar.

A iniciativa interna tem todas as políticas do Defender para Nuvem habilitadas por padrão. Você pode optar por desabilitar determinadas políticas na iniciativa interna. Por exemplo, para aplicar todas as políticas do Defender para Nuvem, exceto o firewall de aplicativo Web, altere o valor o parâmetro de efeito da política para Desabilitado.

Exemplos de API

Nos exemplos a seguir, substitua essas variáveis:

  • {scope} insira o nome do grupo de gerenciamento ou a assinatura à qual você está aplicando a política
  • {policyAssignmentName} insira o nome da atribuição de política relevante
  • {name} insira seu nome ou o nome do administrador que aprovou a alteração da política

Este exemplo mostra como atribuir a iniciativa interna do Defender para Nuvem a uma assinatura ou um grupo de gerenciamento:

   PUT  
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Microsoft Defender for Cloud", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{}, 

   } 

   } 

Este exemplo mostra como atribuir a iniciativa interna do Defender para Nuvem a uma assinatura, com as seguintes políticas desabilitadas:

  • Atualizações do sistema (“systemUpdatesMonitoringEffect”)

  • Configurações de segurança ("systemConfigurationsMonitoringEffect")

  • Proteção do ponto de extremidade ("endpointProtectionMonitoringEffect")

   PUT https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Microsoft Defender for Cloud", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{ 

   "systemUpdatesMonitoringEffect":{"value":"Disabled"}, 

   "systemConfigurationsMonitoringEffect":{"value":"Disabled"}, 

   "endpointProtectionMonitoringEffect":{"value":"Disabled"}, 

   }, 

    } 

   } 

Este exemplo mostra como atribuir uma iniciativa personalizada do Defender para Nuvem a uma assinatura ou um grupo de gerenciamento:

Observação

Inclua "ASC":"true" no corpo da solicitação, conforme mostrado aqui. O campo ASC integra a iniciativa para Microsoft Defender para Nuvem.

  PUT  
  PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policySetDefinitions/{policySetDefinitionName}?api-version=2021-06-01

  Request Body (JSON) 

  {
    "properties": {
      "displayName": "Cost Management",
      "description": "Policies to enforce low cost storage SKUs",
      "metadata": {
        "category": "Cost Management"
        "ASC":"true"
      },
      "parameters": {
        "namePrefix": {
          "type": "String",
          "defaultValue": "myPrefix",
          "metadata": {
            "displayName": "Prefix to enforce on resource names"
          }
        }
      },
      "policyDefinitions": [
        {
          "policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
          "policyDefinitionReferenceId": "Limit_Skus",
          "parameters": {
            "listOfAllowedSKUs": {
              "value": [
                "Standard_GRS",
                "Standard_LRS"
              ]
            }
          }
        },
        {
          "policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
          "policyDefinitionReferenceId": "Resource_Naming",
          "parameters": {
            "prefix": {
              "value": "[parameters('namePrefix')]"
            },
            "suffix": {
              "value": "-LC"
            }
          }
        }
      ]
    }
  }

Este exemplo mostra como remover uma atribuição:

  DELETE   
  https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

Aprimorar as recomendações personalizadas com informações detalhadas

As recomendações internas fornecidas com o Microsoft Defender para Nuvem incluem detalhes como níveis de severidade e instruções de correção. Se você quiser adicionar esse tipo de informação às suas recomendações personalizadas para que elas apareçam no portal do Azure ou onde quer que você acesse suas recomendações, precisará usar a API REST.

Os dois tipos de informações que você pode adicionar são:

  • RemediationDescription – cadeia de caracteres
  • Severidade – enumeração [baixa, média, alta]

Os metadados devem ser adicionados à definição de política para uma política que faz parte da iniciativa personalizada. Ela deve estar na propriedade ‘securityCenter’, conforme mostrado:

 "metadata": {
	"securityCenter": {
		"RemediationDescription": "Custom description goes here",
		"Severity": "High"
    },

Abaixo está um exemplo de uma política personalizada, incluindo a propriedade metadados/securityCenter:

{
"properties": {
	"displayName": "Security - ERvNet - AuditRGLock",
	"policyType": "Custom",
	"mode": "All",
	"description": "Audit required resource groups lock",
	"metadata": {
		"securityCenter": {
			"RemediationDescription": "Resource Group locks can be set via Azure Portal -> Resource Group -> Locks",
			"Severity": "High"
		}
	},
	"parameters": {
		"expressRouteLockLevel": {
			"type": "String",
			"metadata": {
				"displayName": "Lock level",
				"description": "Required lock level for ExpressRoute resource groups."
			},
			"allowedValues": [
				"CanNotDelete",
				"ReadOnly"
			]
		}
	},
	"policyRule": {
		"if": {
			"field": "type",
			"equals": "Microsoft.Resources/subscriptions/resourceGroups"
		},
		"then": {
			"effect": "auditIfNotExists",
			"details": {
				"type": "Microsoft.Authorization/locks",
				"existenceCondition": {
					"field": "Microsoft.Authorization/locks/level",
					"equals": "[parameters('expressRouteLockLevel')]"
				}
			}
		}
	}
}
}

Para obter outro exemplo de como usar a propriedade securityCenter, confira esta seção da documentação da API REST.

Próximas etapas

Neste artigo, você aprendeu a criar políticas de segurança personalizadas.

Para obter outros materiais relacionados, confira os seguintes artigos: