Recomendações de segurança

Artigo
04/01/2024

Este artigo lista todas as recomendações de segurança que você pode ver no Microsoft Defender for Cloud. As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.

As recomendações do Defender para Nuvem se baseiam no Microsoft Cloud Security Benchmark. O benchmark de segurança na nuvem da Microsoft é o conjunto de diretrizes criado pela Microsoft para práticas recomendadas de segurança e conformidade. Este benchmark amplamente respeitado baseia-se em controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.

Para saber mais sobre as ações que você pode executar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.

Sua pontuação segura é baseada no número de recomendações de segurança que você concluiu. Para decidir quais recomendações resolver primeiro, observe a gravidade de cada recomendação e seu impacto potencial em sua pontuação segura.

Dica

Se a descrição de uma recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente e de sua política.

Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação que verifica se uma solução de proteção de endpoint está mesmo instalada (a solução de proteção de endpoint deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas a apenas a recomendação básica simplifica o gerenciamento de políticas.

Recomendações de AppServices

O aplicativo de API só deve estar acessível via HTTPS

Descrição: O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem na camada de rede. (Política relacionada: O Aplicativo de API só deve ser acessível por HTTPS).

Gravidade: Média

O CORS não deve permitir que todos os recursos acessem Aplicativos de API

Descrição: o CORS (Cross-Origin Resource Sharing) não deve permitir que todos os domínios acessem seu aplicativo de API. Permitir que apenas os domínios necessários interajam com seu aplicativo de API. (Política relacionada: O CORS não deve permitir que todos os recursos acessem seu aplicativo de API).

Gravidade: Baixa

O CORS não deve permitir que todos os recursos acessem Aplicativos de Funções

Descrição: o Cross-Origin Resource Sharing (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. (Política relacionada: O CORS não deve permitir que todos os recursos acessem seus Aplicativos de Função).

Gravidade: Baixa

O CORS não deve permitir que todos os recursos acessem aplicativos Web

Descrição: o Cross-Origin Resource Sharing (CORS) não deve permitir que todos os domínios acessem seu aplicativo Web. Permitir que apenas os domínios necessários interajam com seu aplicativo Web. (Política relacionada: O CORS não deve permitir que todos os recursos acessem seus aplicativos Web).

Gravidade: Baixa

Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados

Descrição: Habilitação de auditoria de logs de diagnóstico no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou sua rede for comprometida (Nenhuma política relacionada).

Gravidade: Média

Garantir que o aplicativo da API tenha a opção de Certificados de Cliente (Certificados de cliente de entrada) definida como Ativado

Descrição: os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. (Política relacionada: Verifique se o aplicativo de API tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado').

Gravidade: Média

O FTPS deve ser necessário em aplicativos de API

Descrição: habilite a imposição de FTPS para segurança aprimorada (política relacionada: somente FTPS deve ser necessário em seu aplicativo de API).

Gravidade: Alta

O FTPS deve ser necessário em aplicativos de funções

Descrição: habilite a imposição de FTPS para maior segurança (Política relacionada: somente FTPS deve ser necessário em seu aplicativo de função).

Gravidade: Alta

O FTPS deve ser necessário em aplicativos Web

Descrição: habilite a imposição de FTPS para segurança aprimorada (política relacionada: o FTPS deve ser necessário em seu aplicativo Web).

Gravidade: Alta

O aplicativo de funções deve ser acessível apenas por HTTPS

Descrição: O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem na camada de rede. (Política relacionada: O aplicativo de função só deve ser acessível por HTTPS).

Gravidade: Média

Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada

Descrição: os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. (Política relacionada: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados).

Gravidade: Média

O Java deve ser atualizado para a última versão nos aplicativos de API

Descrição: Periodicamente, versões mais recentes são lançadas para Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de API, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que 'Versão Java' seja a mais recente, se usada como parte do aplicativo API).

Gravidade: Média

A identidade gerenciada deve ser usada em aplicativos de API

Descrição: para segurança de autenticação aprimorada, use uma identidade gerenciada. No Azure, as identidades gerenciadas eliminam a necessidade de os desenvolvedores precisarem gerenciar credenciais fornecendo uma identidade para o recurso do Azure no Azure AD e a usando para obter tokens do Azure AD (Azure Active Directory). (Política relacionada: A identidade gerenciada deve ser usada em seu aplicativo de API).

Gravidade: Média

A identidade gerenciada deve ser usada em aplicativos de funções

Gravidade: Média

A identidade gerenciada deve ser usada em aplicativos Web

Gravidade: Média

O Microsoft Defender para o Serviço de Aplicativo deve estar habilitado

Descrição: o Microsoft Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como provedor de nuvem para monitorar ataques comuns de aplicativos Web. O Microsoft Defender para o Serviço de Aplicativo pode descobrir ataques nos seus aplicativos e identificar ataques emergentes.

Importante: a correção dessa recomendação resultará em custos para proteger os Planos do Serviço de Aplicativo. Se você não tiver nenhum Plano do Serviço de Aplicativo nessa assinatura, nenhum custo será gerado. Se você criar Planos do Serviço de Aplicativo nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais em Proteger os aplicativos Web e APIs. (Política relacionada: O Azure Defender para Serviço de Aplicativo deve estar habilitado).

Gravidade: Alta

O PHP deve ser atualizado para a última versão nos aplicativos de API

Descrição: Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos de API, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão do PHP' seja a mais recente, se usada como parte do aplicativo API).

Gravidade: Média

O Python deve ser atualizado para a última versão nos aplicativos de API

Descrição: Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de API, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão do Python' seja a mais recente, se usada como parte do aplicativo de API).

Gravidade: Média

A depuração remota deve ser desligada para o aplicativo de API

Descrição: a depuração remota requer que as portas de entrada sejam abertas em um aplicativo de API. A depuração remota deve ser desligada. (Política relacionada: A depuração remota deve ser desativada para aplicativos de API).

Gravidade: Baixa

A depuração remota deve ser desativada para o aplicativo de funções

Descrição: a depuração remota requer que as portas de entrada sejam abertas em um aplicativo de Função do Azure. A depuração remota deve ser desligada. (Política relacionada: A depuração remota deve ser desativada para aplicativos de função).

Gravidade: Baixa

A depuração remota deve ser desativada para aplicativos Web

Descrição: a depuração remota requer que as portas de entrada sejam abertas em um aplicativo Web. A depuração remota está habilitada no momento. Se você não precisar mais usar a depuração remota, ela deverá ser desativada. (Política relacionada: A depuração remota deve ser desativada para Aplicativos Web).

Gravidade: Baixa

O TLS deve ser atualizado para a última versão nos aplicativos de API

Descrição: Atualize para a versão mais recente do TLS. (Política relacionada: A versão mais recente do TLS deve ser usada em seu aplicativo de API).

Gravidade: Alta

O TLS deve ser atualizado para a última versão nos aplicativos de funções

Descrição: Atualize para a versão mais recente do TLS. (Política relacionada: A versão mais recente do TLS deve ser usada em seu aplicativo de função).

Gravidade: Alta

O TLS deve ser atualizado para a última versão nos aplicativos Web

Descrição: Atualize para a versão mais recente do TLS. (Política relacionada: A versão mais recente do TLS deve ser usada em seu aplicativo Web).

Gravidade: Alta

Aplicativo Web deve ser acessível somente por HTTPS

Gravidade: Média

Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada

Descrição: os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. (Política relacionada: Verifique se o aplicativo WEB tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado').

Gravidade: Média

Recomendações de computação

Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores

Descrição: habilite os controles de aplicativo para definir a lista de aplicativos conhecidos seguros em execução em seus computadores e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, o Defender para Nuvem usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. (Política relacionada: Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas).

Gravidade: Alta

As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas

Descrição: monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativos adaptáveis do Defender for Cloud. O Defender para Nuvem usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. (Política relacionada: As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas).

Gravidade: Alta

A autenticação para computadores Linux deve exigir chaves SSH

Descrição: Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais em Etapas detalhadas: criar e gerenciar chaves SSH para autenticação para uma VM do Linux no Azure. (Política relacionada: Auditar máquinas Linux que não estão usando a chave SSH para autenticação).

Gravidade: Média

As variáveis da conta de automação devem ser criptografadas

Descrição: é importante habilitar a criptografia de ativos variáveis da conta de automação ao armazenar dados confidenciais. (Política relacionada: As variáveis de conta de automação devem ser criptografadas).

Gravidade: Alta

O Backup do Azure deve ser habilitado para máquinas virtuais

Descrição: proteja os dados em suas máquinas virtuais do Azure com o Backup do Azure. O Backup do Azure é uma solução de proteção de dados econômica e nativa do Azure. Ele cria pontos de recuperação que são armazenados em cofres de recuperação com redundância geográfica. Ao restaurar de um ponto de recuperação, você pode restaurar a VM inteira ou arquivos específicos. (Política relacionada: O Backup do Azure deve ser habilitado para Máquinas Virtuais).

Gravidade: Baixa

Os hosts de contêiner devem ser configurados com segurança

Descrição: corrija vulnerabilidades na configuração de segurança em computadores com o Docker instalado para protegê-los de ataques. (Política relacionada: Vulnerabilidades em configurações de segurança de contêiner devem ser corrigidas).

Gravidade: Alta

Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados

Descrição: habilite os logs e os mantenha por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. (Política relacionada: Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados).

Gravidade: Baixa

Os logs de diagnóstico em contas do Lote devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico nos Hubs de Eventos devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados

Descrição: para garantir que você possa recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida, habilite o registro em log. Se seus logs de diagnóstico não estiverem sendo enviados para um espaço de trabalho do Log Analytics, uma conta de Armazenamento do Azure ou Hubs de Eventos do Azure, verifique se você definiu as configurações de diagnóstico para enviar métricas de plataforma e logs de plataforma para os destinos relevantes. Saiba mais em Criar configurações de diagnóstico para enviar logs e métricas de plataforma para destinos diferentes. (Política relacionada: Os logs de diagnóstico em Aplicativos Lógicos devem ser habilitados).

Gravidade: Baixa

Os logs de diagnóstico nos serviços Pesquisa devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico no Barramento de Serviço devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico nos Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados

Gravidade: Alta

Os problemas de configuração da EDR devem ser resolvidos em máquinas virtuais

Descrição: para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Endpoint Detection and Response) instalada.
Observação: atualmente, essa recomendação só se aplica a recursos com o Microsoft Defender para Ponto de Extremidade (MDE) habilitado.

Gravidade: Baixa

A solução EDR deve ser instalada em Máquinas Virtuais

Descrição: A instalação de uma solução EDR (Endpoint Detection and Response) em máquinas virtuais é importante para proteção contra ameaças avançadas. Os EDRs ajudam a prevenir, detectar, investigar e responder a essas ameaças. O Microsoft Defender for Servers pode ser usado para implantar o Microsoft Defender for Endpoint. Se um recurso for classificado como "Não íntegro", isso indicará a ausência de uma solução EDR com suporte. Se uma solução EDR estiver instalada, mas não for detectável por esta recomendação, ela poderá ser isenta. Sem uma solução EDR, as máquinas virtuais correm o risco de ameaças avançadas.

Gravidade: Alta

Problemas de integridade do Endpoint Protection em conjuntos de dimensionamento de máquinas virtuais devem ser resolvidos

Descrição: corrija falhas de integridade da proteção de ponto de extremidade em seus conjuntos de dimensionamento de máquina virtual para protegê-los contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual).

Gravidade: Baixa

O Endpoint Protection deve ser instalado em conjuntos de dimensionamento de máquinas virtuais

Descrição: instale uma solução de proteção de ponto de extremidade em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual).

Gravidade: Alta

O monitoramento de integridade de arquivos deve estar habilitado nos computadores

Descrição: O Defender for Cloud identificou máquinas que não possuem uma solução de monitoramento de integridade de arquivos. Para monitorar alterações a arquivos críticos, chaves do registro e muito mais em seus servidores, habilite o monitoramento de integridade de arquivos. Quando a solução de monitoramento de integridade de arquivos estiver habilitada, crie regras de coleta de dados para definir os arquivos a serem monitorados. Para definir regras ou ver os arquivos alterados em computadores com regras existentes, vá para a página de gerenciamento de monitoramento de integridade de arquivos. (Não há política relacionada)

Gravidade: Alta

A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux

Descrição: Instale a extensão de Atestado de Convidado em conjuntos de dimensionamento de máquina virtual Linux suportados para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade de inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica aos conjuntos de dimensionamento de máquinas virtuais do Linux habilitadas para o início confiável.

Importante: A inicialização confiável requer a criação de novas máquinas virtuais. Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele. Saiba mais sobre Início confiável para máquinas virtuais do Azure. (Não há política relacionada)

Gravidade: Baixa

A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux

Descrição: instale a extensão de Atestado de Convidado em máquinas virtuais Linux com suporte para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica às máquinas virtuais do Linux habilitadas para o início confiável.

Gravidade: Baixa

A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Windows

Descrição: instale a extensão de Atestado de Convidado em conjuntos de dimensionamento de máquina virtual com suporte para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica aos conjuntos de dimensionamento de máquinas virtuais habilitadas para o início confiável.

Gravidade: Baixa

A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Windows

Descrição: instale a extensão de Atestado de Convidado em máquinas virtuais com suporte para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável.

Gravidade: Baixa

A extensão de Configuração de Convidado deve ser instalada nos computadores

Descrição: Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como o Windows Exploit Guard deve ser habilitado. (Política relacionada: As máquinas virtuais devem ter a extensão Configuração de Convidado).

Gravidade: Média

Instalar a solução endpoint protection em máquinas virtuais

Descrição: instale uma solução de proteção de endpoint em suas máquinas virtuais, para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: Monitorar o Endpoint Protection ausente na Central de Segurança do Azure).

Gravidade: Alta

As máquinas virtuais do Linux devem exigir a validação de assinatura do módulo kernel

Descrição: Para ajudar a mitigar a execução de código mal-intencionado ou não autorizado no modo kernel, imponha a validação de assinatura do módulo kernel em máquinas virtuais Linux suportadas. A validação de assinatura do módulo kernel garante que somente módulos kernel confiáveis tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado. (Não há política relacionada)

Gravidade: Baixa

As máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados

Descrição: Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) devem ser assinados por editores confiáveis. O Defender para Nuvem identificou componentes de inicialização de sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. (Não há política relacionada)

Gravidade: Baixa

As máquinas virtuais do Linux devem usar Inicialização segura

Descrição: Para proteger contra a instalação de rootkits e kits de inicialização baseados em malware, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado. (Não há política relacionada)

Gravidade: Baixa

O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux

Descrição: o Defender for Cloud usa o agente do Log Analytics (também conhecido como OMS) para coletar eventos de segurança de seus computadores do Azure Arc. Para implantar o agente em todos os seus computadores do Azure Arc, siga as etapas de correção. (Não há política relacionada)

Gravidade: Alta

O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais

Descrição: o Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados por meio do agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace para análise. Você também precisará seguir esse procedimento se as VMs forem usadas por um serviço gerenciado do Azure, como o Serviço de Kubernetes do Azure ou o Azure Service Fabric. Não é possível configurar o provisionamento automático do agente para conjuntos de dimensionamento de máquinas virtuais do Azure. Para implantar o agente em conjuntos de dimensionamento de máquinas virtuais (incluindo aqueles usados por serviços gerenciados do Azure, como o Serviço de Kubernetes do Azure e o Azure Service Fabric), siga o procedimento nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquina virtual para monitoramento da Central de Segurança do Azure).

Gravidade: Alta

O agente do Log Analytics deve ser instalado em máquinas virtuais

Descrição: o Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados por meio do agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. Esse agente também será necessário se as VMs forem usadas por um serviço gerenciado do Azure, como o Serviço de Kubernetes do Azure ou o Azure Service Fabric. Recomendamos configurar o provisionamento automático para implantar automaticamente o agente. Se você optar por não usar o provisionamento automático, implante manualmente o agente nas VMs usando as instruções descritas nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure).

Gravidade: Alta

O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows

Descrição: o Defender for Cloud usa o agente do Log Analytics (também conhecido como MMA) para coletar eventos de segurança de seus computadores do Azure Arc. Para implantar o agente em todos os seus computadores do Azure Arc, siga as etapas de correção. (Não há política relacionada)

Gravidade: Alta

Os computadores devem ser configurados com segurança

Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas para protegê-las de ataques. (Política relacionada: Vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas).

Gravidade: Baixa

Os computadores devem ser reiniciados para aplicar atualizações de configuração de segurança

Descrição: para aplicar atualizações de configuração de segurança e proteger contra vulnerabilidades, reinicie os computadores. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado. (Não há política relacionada)

Gravidade: Baixa

Os computadores devem ter uma solução de avaliação de vulnerabilidade

Descrição: o Defender for Cloud verifica regularmente suas máquinas conectadas para garantir que elas estejam executando ferramentas de avaliação de vulnerabilidade. Use esta recomendação para implantar uma solução de avaliação de vulnerabilidades. (Política relacionada: Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais).

Gravidade: Média

Os computadores devem ter as conclusões de vulnerabilidades resolvidas

Descrição: resolva as descobertas das soluções de avaliação de vulnerabilidade em suas máquinas virtuais. (Política relacionada: Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais).

Gravidade: Baixa

As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time

Descrição: o Defender for Cloud identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu Grupo de Segurança de Rede. Habilite o controle de acesso Just-In-Time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre acesso à VM JIT (just-in-time). (Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time).

Gravidade: Alta

O Microsoft Defender para servidores deve estar habilitado

Descrição: o Microsoft Defender para servidores fornece proteção contra ameaças em tempo real para as cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus servidores.

Importante: a correção dessa recomendação resultará em custos para proteger seus servidores. Se você não tiver nenhum servidor nessa assinatura, nenhum custo será gerado. Se você criar servidores nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais em Introdução ao Microsoft Defender para servidores. (Política relacionada: O Azure Defender para servidores deve ser habilitado).

Gravidade: Alta

O Microsoft Defender para Servidores deve estar habilitado nos workspaces

Descrição: O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace serão cobrados quanto ao Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure. Saiba mais em Introdução ao Microsoft Defender para servidores. (Não há política relacionada)

Gravidade: Média

A Inicialização segura deve estar habilitada em máquinas virtuais compatíveis do Windows

Descrição: habilite a Inicialização Segura em máquinas virtuais Windows com suporte para atenuar contra alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativado, somente carregadores de inicialização confiáveis, kernel e drivers de kernel poderão ser executados. Essa avaliação só se aplica às máquinas virtuais do Windows habilitadas para o início confiável.

Gravidade: Baixa

A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign

Descrição: o Service Fabric fornece três níveis de proteção (None, Sign e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente. (Política relacionada: Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign).

Gravidade: Alta

Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente

Descrição: execute a autenticação do Cliente somente por meio do Active Directory do Azure no Service Fabric (Política relacionada: os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação do cliente).

Gravidade: Alta

As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas

Descrição: instale atualizações críticas e de segurança do sistema ausentes para proteger seus conjuntos de dimensionamento de máquina virtual Windows e Linux. (Política relacionada: Atualizações do sistema em conjuntos de dimensionamento de máquina virtual devem ser instaladas).

Gravidade: Alta

As atualizações do sistema devem ser instaladas em suas máquinas

Descrição: instale atualizações críticas e de segurança do sistema ausentes para proteger suas máquinas virtuais e computadores Windows e Linux (Política relacionada: as atualizações do sistema devem ser instaladas em suas máquinas).

Gravidade: Alta

As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização)

Descrição: Suas máquinas estão faltando atualizações de sistema, segurança e críticas. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. (Não há política relacionada)

Gravidade: Alta

Os conjuntos de dimensionamento de máquinas virtuais devem ser configurados com segurança

Descrição: corrija vulnerabilidades na configuração de segurança em seus conjuntos de dimensionamento de máquina virtual para protegê-los de ataques. (Política relacionada: As vulnerabilidades na configuração de segurança nos conjuntos de dimensionamento da máquina virtual devem ser corrigidas).

Gravidade: Alta

O status do Atestado de convidado de máquinas virtuais deve ser íntegro

Descrição: O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detectar comprometimentos da cadeia de inicialização, que podem ser o resultado de uma infecção por bootkit ou rootkit. Essa avaliação se aplica somente a máquinas virtuais habilitadas para Início confiável que têm a extensão de Atestado de convidado instalada. (Não há política relacionada)

Gravidade: Média

A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema

Descrição: A extensão Configuração de convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais (Política relacionada: a extensão de Configuração de Convidado deve ser implantada em máquinas virtuais do Azure com identidade gerenciada atribuída ao sistema).

Gravidade: Média

As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager

Descrição: as Máquinas Virtuais (clássicas) foram preteridas e essas VMs devem ser migradas para o Gerenciador de Recursos do Azure. Como o Azure Resource Manager agora tem recursos completos de IaaS e outros avanços, preterimos o gerenciamento de VMs (máquinas virtuais) IaaS por meio do ASM (Azure Service Manager) em 28 de fevereiro de 2020. Essa funcionalidade será totalmente desativada em 1º de março de 2023.

Para exibir todas as VMs clássicas afetadas, selecione todas as suas assinaturas do Azure na guia 'diretórios + assinaturas'.

Recursos disponíveis e informações sobre esta ferramenta & migração: Visão geral da substituição de máquinas virtuais (clássicas), processo passo a passo para migração e recursos disponíveis da Microsoft.Detalhes sobre a ferramenta de migração Migrar para o Azure Resource Manager.Migre para a ferramenta de migração do Azure Resource Manager usando o PowerShell. (Política relacionada: As máquinas virtuais devem ser migradas para novos recursos do Gerenciador de Recursos do Azure).

Gravidade: Alta

As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento

Descrição: por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas por plataforma, discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Para ver uma comparação de diferentes tecnologias de criptografia de disco no Azure, confira https://aka.ms/diskencryptioncomparison. Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere essa recomendação se:

Você está usando o recurso de criptografia no host ou 2. A criptografia do lado do servidor no Managed Disks atende aos requisitos de segurança. Saiba mais em Criptografia do lado do servidor do Armazenamento em Disco do Azure. (Política relacionada: A criptografia de disco deve ser aplicada em máquinas virtuais)

Gravidade: Alta

O vTPM deve estar habilitado em máquinas virtuais compatíveis

Descrição: habilite o dispositivo TPM virtual em máquinas virtuais com suporte para facilitar a Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável.

Gravidade: Baixa

É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado)

Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas Linux para protegê-las de ataques. (Política relacionada: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure).

Gravidade: Baixa

É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Windows (com auxílio da Configuração de Convidado)

Descrição: corrija vulnerabilidades na configuração de segurança em seus computadores Windows para protegê-los de ataques. (Não há política relacionada)

Gravidade: Baixa

O Microsoft Defender Exploit Guard deve ser habilitado nos computadores

Descrição: o Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). (Política relacionada: Auditar computadores Windows nos quais o Windows Defender Exploit Guard não está habilitado).

Gravidade: Média

Os servidores Web do Windows devem ser configurados para usar protocolos de comunicação segura

Descrição: Para proteger a privacidade das informações comunicadas pela Internet, seus servidores Web devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações em uma rede usando certificados de segurança para criptografar uma conexão entre computadores. (Política relacionada: Auditar servidores Web do Windows que não estão usando protocolos de comunicação seguros).

Gravidade: Alta

[Versão prévia]: as máquinas virtuais do Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost

Descrição: por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas por plataforma, discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. (Política relacionada: [Pré-visualização]: as máquinas virtuais Linux devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost).

Gravidade: Alta

[Versão prévia]: as máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou o EncryptionAtHost

Descrição: por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas por plataforma, discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. (Política relacionada: [Pré-visualização]: as máquinas virtuais do Windows devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost).

Gravidade: Alta

As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada

Descrição: use a criptografia no host para obter criptografia de ponta a ponta para os dados do conjunto de dimensionamento da máquina virtual e da máquina virtual. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em Usar o portal do Azure para habilitar a criptografia de ponta a ponta usando criptografia no host. (Política relacionada: as máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada).

Gravidade: Média

[Versão prévia]: os servidores do Azure Stack HCI devem cumprir os requisitos de núcleo seguro

Descrição: verifique se todos os servidores HCI do Azure Stack atendem aos requisitos de núcleo seguro. (Política relacionada: A extensão de Configuração de Convidado deve ser instalada em computadores - Microsoft Azure).

Gravidade: Baixa

[Versão prévia]: os servidores do Azure Stack HCI devem ter políticas de controle de aplicativo implementadas com consistência

Descrição: no mínimo, aplique a política base do Microsoft WDAC no modo imposto em todos os servidores HCI do Azure Stack. As políticas aplicadas do Controle de Aplicativos do Windows Defender (WDAC) devem ser consistentes em todos os servidores do mesmo cluster. (Política relacionada: A extensão de Configuração de Convidado deve ser instalada em computadores - Microsoft Azure).

Gravidade: Alta

[Versão prévia]: os sistemas do Azure Stack HCI devem ter volumes criptografados

Descrição: use o BitLocker para criptografar o sistema operacional e os volumes de dados nos sistemas HCI do Azure Stack. (Política relacionada: A extensão de Configuração de Convidado deve ser instalada em computadores - Microsoft Azure).

Gravidade: Alta

[Versão prévia]: a rede do host e das VMs deve ser protegida nos sistemas do Azure Stack HCI

Descrição: proteja os dados na rede do host HCI do Azure Stack e nas conexões de rede da máquina virtual. (Política relacionada: A extensão de Configuração de Convidado deve ser instalada em computadores - Microsoft Azure).

Gravidade: Baixa

Recomendações do contêiner

[Pré-visualização] Imagens de contêiner no Registro do Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece resultados detalhados para cada imagem digitalizada. A varredura e a correção de vulnerabilidades para imagens de contêiner no registro ajudam a manter uma cadeia de suprimentos de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

[Pré-visualização] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho, combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A varredura e a correção de vulnerabilidades de cargas de trabalho de contêineres são fundamentais para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

(Ativar se necessário) Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/acr/CMK. (Política relacionada: Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK).

Gravidade: Baixa

Tipo: Plano de controle

Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Descrição: a extensão de Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook de controlador de admissão para Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada

Descrição: a extensão do Defender para o Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós do plano de controle (mestre) no cluster e os envia para o back-end do Microsoft Defender para Kubernetes na nuvem para análise adicional. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado

Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o perfil do SecurityProfile.AzureDefender no cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais em Introdução ao Microsoft Defender para Contêineres. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado

Descrição: o complemento Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. O Defender para Nuvem exige o complemento para fazer auditoria e impor funcionalidades de segurança e conformidade nos clusters. Saiba mais. Requer o Kubernetes v1.14.0 ou posterior. (Política relacionada: O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters).

Gravidade: Alta

Tipo: Plano de controle

Os registros de contêiner não devem permitir acesso irrestrito à rede

Descrição: os registros de contêiner do Azure por padrão aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de endereços ou intervalos de endereços IP públicos específicos. Se o Registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/portal/public-network e aqui https://aka.ms/acr/vnet. (Política relacionada: Os registros de contêiner não devem permitir acesso irrestrito à rede).

Gravidade: Média

Tipo: Plano de controle

Os registros de contêiner devem usar um link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registros de contêiner devem usar link privado).

Gravidade: Média

Tipo: Plano de controle

Os logs de diagnóstico nos serviços Kubernetes devem ser habilitados

Descrição: habilite logs de diagnóstico em seus serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança. (Não há política relacionada)

Gravidade: Baixa

Tipo: Plano de controle

O servidor da API de Kubernetes deve ser configurado com acesso restrito

Descrição: para garantir que apenas aplicativos de redes, máquinas ou sub-redes permitidas possam acessar seu cluster, restrinja o acesso ao servidor de API do Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço Kubernetes do Azure. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

O Controle de Acesso Baseado em Função deve ser usado nos Serviços de Kubernetes

Descrição: para fornecer filtragem granular nas ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

O Microsoft Defender para Contêineres deve estar habilitado

Descrição: o Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidade e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e multicloud. É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

Importante: a correção dessa recomendação resultará em custos para proteger os clusters do Kubernetes. Se você não tiver nenhum cluster do Kubernetes nessa assinatura, nenhum custo será gerado. Se você criar clusters do Kubernetes nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais em Introdução ao Microsoft Defender para Contêineres. (Não há política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Deverão ser aplicados limites de memória e CPU ao contêiner

Descrição: Impor limites de CPU e memória evita ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para os contêineres a fim de garantir que o runtime impeça o contêiner de usar mais do que o limite de recursos configurado.

(Política relacionada: Certifique-se de que os limites de recursos de CPU e memória do contêiner não excedam os limites especificados no cluster Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis

Descrição: As imagens em execução no cluster do Kubernetes devem vir de registros de imagem de contêiner conhecidos e monitorados. Os registros confiáveis reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas.

(Política relacionada: Certifique-se de que apenas as imagens de contêiner permitidas no cluster do Kubernetes).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os contêineres com elevação de privilégio deverão ser evitados

Descrição: os contêineres não devem ser executados com escalonamento de privilégios para raiz no cluster do Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que o processo pai. (Política relacionada: Os clusters do Kubernetes não devem permitir escalonamento de privilégios de contêiner).

Gravidade: Média

Tipo: plano de dados Kubernetes

Descrição: Para proteger contra escalonamento de privilégios fora do contêiner, evite o acesso do pod a namespaces de host confidenciais (ID do processo do host e IPC do host) em um cluster do Kubernetes. (Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host).

Gravidade: Média

Tipo: plano de dados Kubernetes

Os contêineres só devem usar perfis AppArmor permitidos

Descrição: os contêineres executados em clusters Kubernetes devem ser limitados apenas aos perfis permitidos do AppArmor. O AppArmor (Application Armor) é um módulo de segurança do Linux que protege um sistema operacional e os aplicativos contra ameaças à segurança. Para usá-lo, um administrador do sistema associa um perfil de segurança do AppArmor a cada programa. (Política relacionada: Os contêineres de cluster do Kubernetes só devem usar perfis AppArmor permitidos).

Gravidade: Alta

Tipo: plano de dados Kubernetes

Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres

Descrição: Os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em runtime com a adição de binários mal-intencionados ao caminho. (Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura).

Gravidade: Média

Tipo: plano de dados Kubernetes

Os clusters do Kubernetes devem ser acessíveis somente via HTTPS

Descrição: O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem na camada de rede. Essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: Impor entrada HTTPS no cluster Kubernetes).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática

Descrição: desative a montagem automática de credenciais de API para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters do Kubernetes devem desabilitar as credenciais de API de montagem automática).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN

Descrição: Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Não há política relacionada)

Gravidade: Alta

Tipo: plano de dados Kubernetes

Os clusters do Kubernetes não devem usar o namespace padrão

Descrição: Impedir o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters do Kubernetes não devem usar o namespace padrão).

Gravidade: Baixa

Tipo: plano de dados Kubernetes

Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos

Descrição: Para reduzir a superfície de ataque do seu contêiner, restrinja os recursos do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário root. Recomendamos descartar todos os recursos e, em seguida, adicionar os que são necessários (Política relacionada: os contêineres de cluster do Kubernetes só devem usar recursos permitidos).

Gravidade: Média

Tipo: plano de dados Kubernetes

Os contêineres com privilégios deverão ser evitados

Descrição: Para evitar o acesso irrestrito ao host, evite contêineres privilegiados sempre que possível.

Os contêineres privilegiados têm todas as funcionalidades raiz de um computador host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permita contêineres privilegiados no cluster Kubernetes).

Gravidade: Média

Tipo: plano de dados Kubernetes

Executar contêineres como usuário raiz deverá ser evitado

Descrição: os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como a raiz no host. Se houver um comprometimento, um invasor terá a raiz no contêiner e qualquer configuração incorreta ficará mais fácil de ser explorada. (Política relacionada: Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os serviços deverão escutar somente em portas permitidas

Descrição: Para reduzir a superfície de ataque do cluster Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas. (Política relacionada: Certifique-se de que os serviços escutem apenas nas portas permitidas no cluster Kubernetes).

Gravidade: Média

Tipo: plano de dados Kubernetes

Usar redes e portas do host deverá ser restrito

Descrição: Restrinja o acesso do pod à rede do host e ao intervalo de portas do host permitido em um cluster do Kubernetes. Os pods criados com o atributo hostNetwork habilitado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detecte o tráfego de rede, recomendamos não colocar os pods na rede do host. Se você precisar expor uma porta de contêiner na rede do nó e usar uma porta de nó do Serviço Kubernetes não atender às suas necessidades, outra possibilidade é especificar um hostPort para o contêiner na especificação do pod (Política relacionada: os pods de cluster do Kubernetes só devem usar a rede de host e o intervalo de portas aprovados).

Gravidade: Média

Tipo: plano de dados Kubernetes

O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos

Descrição: Recomendamos limitar as montagens de volume do pod HostPath no cluster Kubernetes aos caminhos de host permitidos configurados. Se houver um comprometimento, o acesso do nó de contêiner dos contêineres deve ser restrito. (Política relacionada: Os volumes hostPath do pod de cluster do Kubernetes devem usar apenas caminhos de host permitidos).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

As imagens de contêiner de registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Qualys)

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender)

Importante

Essa recomendação está em um caminho de aposentadoria. Ele está sendo substituído pela recomendação [[Preview] Imagens de contêiner no Registro do Azure devem ter as descobertas de vulnerabilidade resolvidas](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender)

Importante

Essa recomendação está em um caminho de aposentadoria. Ele está sendo substituído pela recomendação [[Preview] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).

Descrição: a avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Recomendações de dados

(Ativar se necessário) As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/cosmosdb-cmk. (Política relacionada: As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso).

Gravidade: Baixa

(Ativar se necessário) Os espaços de trabalho do Aprendizado de Máquina do Azure devem ser criptografados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Gerencie a criptografia em repouso dos dados do seu workspace do Azure Machine Learning com CMK (chaves gerenciadas pelo cliente). Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as CMK normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/azureml-workspaces-cmk. (Política relacionada: Os espaços de trabalho do Aprendizado de Máquina do Azure devem ser criptografados com uma chave gerenciada pelo cliente (CMK).

Gravidade: Baixa

(Ativar se necessário) As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. As CMKs (chaves gerenciadas pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. As CMKs permitem que os dados armazenados em Serviços Cognitivos sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/cosmosdb-cmk. (Política relacionada: as contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)?)

Gravidade: Baixa

(Ativar se necessário) Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. (Política relacionada: Traga sua própria proteção de dados chave deve ser habilitada para servidores MySQL).

Gravidade: Baixa

(Ativar se necessário) Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. (Política relacionada: Traga sua própria proteção de dados chave deve ser habilitada para servidores PostgreSQL).

Gravidade: Baixa

(Ativar se necessário) As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. (Política relacionada: As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso).

Gravidade: Baixa

(Ativar se necessário) Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. (Política relacionada: Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso).

Gravidade: Baixa

(Ativar se necessário) As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitar cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos. Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança. Proteja sua conta de armazenamento com maior flexibilidade usando CMKs (chaves gerenciadas pelo cliente). Quando você especifica uma CMK, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. Usar CMKs fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. (Política relacionada: As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia).

Gravidade: Baixa

Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada da instância gerenciada do SQL

Descrição: é recomendável habilitar todos os tipos avançados de proteção contra ameaças em suas instâncias gerenciadas pelo SQL. Habilite todos os tipos de proteção para proteger contra injeção de SQL, vulnerabilidades de banco de dados e qualquer outra atividade anômala. (Não há política relacionada)

Gravidade: Média

Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada do SQL Server

Descrição: é recomendável habilitar todos os tipos avançados de proteção contra ameaças em seus servidores SQL. Habilite todos os tipos de proteção para proteger contra injeção de SQL, vulnerabilidades de banco de dados e qualquer outra atividade anômala. (Não há política relacionada)

Gravidade: Média

Os serviços do Gerenciamento de API devem usar uma rede virtual

Descrição: a implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. (Política relacionada: Os serviços de Gerenciamento de API devem usar uma rede virtual).

Gravidade: Média

A Configuração de Aplicativos deve usar um link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. (Política relacionada: A Configuração do Aplicativo deve usar link privado).

Gravidade: Média

A retenção de auditoria para servidores SQL deve ser definida em pelo menos 90 dias

Descrição: audite servidores SQL configurados com um período de retenção de auditoria inferior a 90 dias. (Política relacionada: Servidores SQL devem ser configurados com 90 dias ou mais de retenção de auditoria.)

Gravidade: Baixa

A auditoria no SQL Server deve ser habilitada

Descrição: habilite a auditoria no SQL Server para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. (Política relacionada: A auditoria no SQL Server deve ser habilitada).

Gravidade: Baixa

O provisionamento automático do agente do Log Analytics deve ser habilitado em assinaturas

Descrição: para monitorar vulnerabilidades e ameaças de segurança, o Microsoft Defender for Cloud coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. (Política relacionada: O provisionamento automático do agente do Log Analytics deve estar habilitado em sua assinatura).

Gravidade: Baixa

O Cache do Azure para Redis deve residir em uma rede virtual

Descrição: a implantação da Rede Virtual (VNet) do Azure fornece segurança e isolamento aprimorados para o Cache do Azure para Redis, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma instância do Cache do Azure para Redis é configurada com uma rede virtual, ela não é endereçável publicamente e somente pode ser acessada de máquinas virtuais e aplicativos dentro da rede virtual. (Política relacionada: O Cache do Azure para Redis deve residir em uma rede virtual).

Gravidade: Média

O Banco de Dados do Azure para MySQL deve ter um administrador do Azure Active Directory provisionado

Descrição: provisione um administrador do Azure AD para seu Banco de Dados do Azure para MySQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft (Política relacionada: um administrador do Active Directory do Azure deve ser provisionado para servidores MySQL).

Gravidade: Média

O Banco de Dados do Azure para PostgreSQL deve ter um administrador do Azure Active Directory provisionado

Descrição: provisione um administrador do Azure AD para seu Banco de Dados do Azure para PostgreSQL para habilitar a autenticação do Azure AD. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft
(Política relacionada: Um administrador do Active Directory do Azure deve ser provisionado para servidores PostgreSQL).

Gravidade: Média

As contas do Azure Cosmos DB devem ter regras de firewall

Descrição: as regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. (Política relacionada: As contas do Azure Cosmos DB devem ter regras de firewall).

Gravidade: Média

Os domínios da Grade de Eventos do Azure devem usar um link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para os seus domínios de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. (Política relacionada: Os domínios da Grade de Eventos do Azure devem usar link privado).

Gravidade: Média

Os tópicos da Grade de Eventos do Azure devem usar um link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus tópicos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. (Política relacionada: Os tópicos da Grade de Eventos do Azure devem usar link privado).

Gravidade: Média

Os workspaces do Azure Machine Learning devem usar um link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus workspaces do Azure Machine Learning, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/azureml-workspaces-privatelink. (Política relacionada: Os espaços de trabalho do Aprendizado de Máquina do Azure devem usar link privado).

Gravidade: Média

O Serviço do Azure SignalR deve usar o link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus recursos do SignalR, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/asrs/privatelink. (Política relacionada: O Serviço SignalR do Azure deve usar link privado).

Gravidade: Média

O Azure Spring Cloud deve usar injeção de rede

Descrição: as instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud. (Política relacionada: O Azure Spring Cloud deve usar injeção de rede).

Gravidade: Média

Os SQL Servers devem ter um administrador do Azure Active Directory provisionado

Descrição: provisione um administrador do Azure AD para seu SQL Server para habilitar a autenticação do Azure AD. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft. (Política relacionada: Um administrador do Active Directory do Azure deve ser provisionado para servidores SQL).

Gravidade: Alta

O modo de autenticação de Workspace do Azure Synapse deve ser Somente do Azure Active Directory

Descrição: o modo de autenticação do Azure Synapse Workspace deve ser Somente no Azure Active Directory Os métodos de autenticação somente do Azure Active Directory melhoram a segurança, garantindo que os Espaços de Trabalho do Synapse exijam exclusivamente identidades do Azure AD para autenticação. Saiba mais. (Política relacionada: Os espaços de trabalho do Synapse devem usar apenas identidades do Active Directory do Azure para autenticação).

Gravidade: Média

As descobertas de verificação de código dos repositórios de código devem ser resolvidas

Descrição: o Defender for DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada)

Gravidade: Média

As descobertas de verificação de Dependabot dos repositórios de código devem ser resolvidas

Gravidade: Média

As descobertas de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas

Descrição: o Defender for DevOps encontrou problemas de configuração de segurança de código em repositórios. Os problemas mostrados abaixo foram detectados em arquivos de modelo. Para aprimorar a postura de segurança dos recursos relacionados a nuvem, é altamente recomendável corrigir esses problemas. (Não há política relacionada)

Gravidade: Média

As descobertas de verificação de segredo dos repositórios de código devem ser resolvidas

Descrição: O Defender for DevOps encontrou um segredo nos repositórios de código. Isso deve ser corrigido imediatamente para evitar uma violação de segurança. Os segredos encontrados nos repositórios podem ser vazados ou descobertos por adversários, levando a um comprometimento de um aplicativo ou um serviço. Para o Azure DevOps, a ferramenta CredScan do DevOps de Segurança da Microsoft verifica apenas builds nos quais ela foi configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos nos seus repositórios. (Não há política relacionada)

Gravidade: Alta

As contas dos Serviços Cognitivos devem habilitar a criptografia de dados

Descrição: esta política audita qualquer conta dos Serviços Cognitivos que não utilize encriptação de dados. Para cada conta dos Serviços Cognitivos com armazenamento, deve-se habilitar a criptografia de dados com a chave gerenciada pelo cliente ou a chave gerenciada pela Microsoft. (Política relacionada: As contas dos Serviços Cognitivos devem habilitar a criptografia de dados).

Gravidade: Baixa

As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou habilitar a criptografia de dados

Descrição: esta política audita qualquer conta dos Serviços Cognitivos que não utilize armazenamento de propriedade do cliente nem encriptação de dados. Para cada conta dos Serviços Cognitivos com armazenamento, use o armazenamento de propriedade do cliente ou habilite a criptografia de dados. (Política relacionada: As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou habilitar a criptografia de dados.)

Gravidade: Baixa

Os logs de diagnóstico no Azure Data Lake Storage devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico no Data Lake Analytics devem ser habilitados

Gravidade: Baixa

A notificação por email para alertas de severidade alta deve ser habilitada

Descrição: para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade no Defender for Cloud. (Política relacionada: A notificação por e-mail para alertas de alta gravidade deve ser habilitada).

Gravidade: Baixa

A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada

Descrição: para garantir que os proprietários da assinatura sejam notificados quando houver uma possível violação de segurança em sua assinatura, defina notificações por e-mail aos proprietários da assinatura para alertas de alta gravidade no Defender for Cloud. (Política relacionada: A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada).

Gravidade: Média

'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL

Descrição: o Banco de Dados do Azure para MySQL oferece suporte à conexão do Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. (Política relacionada: Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL).

Gravidade: Média

'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL

Descrição: o Banco de Dados do Azure para PostgreSQL oferece suporte à conexão do Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. (Política relacionada: Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL).

Gravidade: Média

Os aplicativos de funções devem ter as descobertas de vulnerabilidade resolvidas

Descrição: a verificação de vulnerabilidades em tempo de execução para funções verifica seus aplicativos de função em busca de vulnerabilidades de segurança e expõe descobertas detalhadas. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus aplicativos sem servidor e protegê-los contra ataques. (Não há política relacionada)

Gravidade: Alta

O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB

Descrição: o Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para dar opções de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor. (Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB).

Gravidade: Baixa

O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL

Descrição: o Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para dar opções de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor. (Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL).

Gravidade: Baixa

O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL

Descrição: o Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para dar opções de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor. (Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL).

Gravidade: Baixa

Os repositórios do GitHub devem ter a verificação de código habilitada

Descrição: O GitHub usa a varredura de código para analisar o código a fim de encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, fazer triagem e priorizar correções para problemas existentes no seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser programadas para dias e horários específicos ou podem ser acionadas quando ocorre um evento específico no repositório, como, um push. Se a verificação de código localiza uma possível vulnerabilidade ou um possível erro no código, o GitHub mostra um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para corromper a confidencialidade, a integridade ou a disponibilidade do projeto. (Não há política relacionada)

Gravidade: Média

Os repositórios do GitHub devem ter a verificação do Dependabot habilitada

Descrição: o GitHub envia alertas do Dependabot quando detecta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Não há política relacionada)

Gravidade: Média

Os repositórios do GitHub devem ter a verificação de segredos habilitada

Descrição: O GitHub verifica os repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram acidentalmente comprometidos com repositórios. A verificação de segredos examina automaticamente todo o histórico do Git em todos os branches presentes no seu repositório do GitHub em busca de segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo é colocado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Não há política relacionada)

Gravidade: Alta

O Microsoft Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado

Descrição: O Microsoft Defender para SQL é um pacote unificado que fornece recursos avançados de segurança SQL. Ela inclui funcionalidades para identificar e atenuar vulnerabilidades potenciais de banco de dados, detectar atividades anormais que podem indicar uma ameaça ao banco de dados e descobrir e classificar dados confidenciais. Importante: as proteções desse plano são cobradas conforme mostrado na página Planos do Defender. Se você não tiver servidores do Banco de Dados SQL do Azure nessa assinatura, não será cobrado. Se você criar servidores do Banco de Dados SQL do Azure nessa assinatura, eles serão protegidos automaticamente e os encargos serão iniciados. Saiba mais sobre os detalhes de preços por região. Saiba mais em Introdução ao Microsoft Defender para SQL. (Política relacionada: Os servidores do Banco de Dados SQL do Azure Defender para Azure devem ser habilitados).

Gravidade: Alta

O Microsoft Defender para DNS deve estar habilitado

Descrição: o Microsoft Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Defender para DNS alertará você sobre atividades suspeitas na camada DNS. Saiba mais em Introdução ao Microsoft Defender para DNS. Habilitar este plano do Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços do Defender for Cloud: Preços do Defender for Cloud. (Não há política relacionada)

Gravidade: Alta

O Microsoft Defender para bancos de dados relacionais de código aberto deve estar habilitado

Descrição: o Microsoft Defender para bancos de dados relacionais de código aberto detecta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais em Introdução ao Microsoft Defender para bancos de dados relacionais de código aberto.

Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Se você não tiver bancos de dados relacionais de código aberto nessa assinatura, os encargos não serão incorridos. Se você criar bancos de dados relacionais nessa assinatura no futuro, eles serão automaticamente protegidos e os encargos serão iniciados nesse momento. (Não há política relacionada)

Gravidade: Alta

O Microsoft Defender para o Resource Manager deve estar habilitado

Descrição: o Microsoft Defender for Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. O Defender para Nuvem detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais em Introdução ao Microsoft Defender para Resource Manager. Habilitar este plano do Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços do Defender for Cloud: Preços do Defender for Cloud. (Não há política relacionada)

Gravidade: Alta

O Microsoft Defender para SQL em computadores deve estar habilitado nos workspaces

Gravidade: Média

O Microsoft Defender para servidores SQL em computadores deve estar habilitado

Importante: a correção dessa recomendação resultará em custos para proteger os SQL Servers nos computadores. Se você não tiver nenhum SQL Server nos computadores nessa assinatura, nenhum custo será gerado. Se você criar SQL Servers nos computadores nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento. Saiba mais sobre o Microsoft Defender para SQL Servers em computadores. (Política relacionada: O Azure Defender para servidores SQL em computadores deve ser habilitado).

Gravidade: Alta

O Microsoft Defender para SQL deve estar habilitado para servidores SQL do Azure desprotegidos

Descrição: O Microsoft Defender para SQL é um pacote unificado que fornece recursos avançados de segurança SQL. Ele revela e atenua possíveis vulnerabilidades do banco de dados, além de detectar atividades anômalas que podem indicar uma ameaça ao seu banco de dados. O Microsoft Defender para SQL é cobrado conforme mostrado nos detalhes de preços por região. (Política relacionada: A segurança avançada de dados deve ser habilitada em seus servidores SQL).

Gravidade: Alta

O Microsoft Defender para SQL deve ser habilitado para Instância Gerenciada de SQL não protegidas

Gravidade: Alta

O Microsoft Defender para Armazenamento deve estar habilitado

Descrição: o Microsoft Defender para armazenamento detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. Importante: as proteções desse plano são cobradas conforme mostrado na página Planos do Defender. Se você não tiver contas do Armazenamento do Azure nessa assinatura, não será cobrado. Se você criar contas de Armazenamento do Azure nessa assinatura, eles serão protegidos automaticamente e os encargos serão iniciados. Saiba mais sobre os detalhes de preços por região. Saiba mais em Introdução ao Microsoft Defender para Armazenamento. (Política relacionada: O Azure Defender for Storage deve estar habilitado).

Gravidade: Alta

O Observador de Rede deve ser habilitado

Descrição: o Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede em, para e do Azure. O monitoramento de nível de cenário permite que você faça o diagnóstico de problemas em uma exibição de nível de rede de ponta a ponta. As ferramentas de diagnóstico e visualização da rede disponíveis com o Observador de Rede ajudam a entender, diagnosticar e ter informações para sua rede no Azure. (Política relacionada: O Inspetor de Rede deve estar habilitado).

Gravidade: Baixa

As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas

Descrição: as conexões de ponto de extremidade privadas impõem a comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. (Política relacionada: As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas).

Gravidade: Média

O ponto de extremidade privado deve ser habilitado para servidores MariaDB

Descrição: as conexões de ponto de extremidade privadas impõem a comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. (Política relacionada: Ponto de extremidade privado deve ser habilitado para servidores MariaDB).

Gravidade: Média

O ponto de extremidade privado deve ser habilitado para servidores MySQL

Descrição: as conexões de ponto de extremidade privadas impõem a comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. (Política relacionada: Ponto de extremidade privado deve ser habilitado para servidores MySQL).

Gravidade: Média

O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL

Descrição: as conexões de ponto de extremidade privadas impõem a comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. (Política relacionada: Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL).

Gravidade: Média

O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado

Descrição: desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. (Política relacionada: O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado).

Gravidade: Média

O acesso à rede pública deve ser desabilitado para servidores MariaDB

Descrição: desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. (Política relacionada: O acesso à rede pública deve ser desabilitado para servidores MariaDB).

Gravidade: Média

O acesso à rede pública deve ser desabilitado para servidores MySQL

Descrição: desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. (Política relacionada: O acesso à rede pública deve ser desativado para servidores MySQL).

Gravidade: Média

O acesso à rede pública deve ser desabilitado para servidores PostgreSQL

Descrição: desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. (Política relacionada: O acesso à rede pública deve ser desabilitado para servidores PostgreSQL).

Gravidade: Média

O Cache Redis deve permitir o acesso somente por SSL

Descrição: Habilite somente conexões via SSL para o Cache Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão. (Política relacionada: Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas).

Gravidade: Alta

Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas

Descrição: a avaliação de vulnerabilidade do SQL verifica o banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. Saiba mais (Política relacionada: vulnerabilidades em seus bancos de dados SQL devem ser corrigidas).

Gravidade: Alta

As instâncias gerenciadas de SQL devem ter a avaliação de vulnerabilidade configurada

Descrição: a avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades de banco de dados. (Política relacionada: A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL).

Gravidade: Alta

Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas

Gravidade: Alta

Os SQL Servers devem ter um administrador do Azure Active Directory provisionado

Gravidade: Alta

Os SQL Servers devem ter a avaliação de vulnerabilidade configurada

Gravidade: Alta

A conta de armazenamento deve usar uma conexão de link privado

Descrição: os links privados impõem a comunicação segura, fornecendo conectividade privada à conta de armazenamento (Política relacionada: a conta de armazenamento deve usar uma conexão de link privado).

Gravidade: Média

As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager

Descrição: para se beneficiar dos novos recursos no Gerenciador de Recursos do Azure, você pode migrar implantações existentes do modelo de implantação Clássico. O Gerenciador de Recursos permite aprimoramentos de segurança, como: controle de acesso mais forte (RBAC), melhor auditoria, implantação e governança baseadas em ARM, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança. Saiba mais (Política relacionada: as contas de armazenamento devem ser migradas para novos recursos do Gerenciador de Recursos do Azure).

Gravidade: Baixa

As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual

Descrição: proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. (Política relacionada: As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual).

Gravidade: Média

As assinaturas devem ter um endereço de email de contato para problemas de segurança

Descrição: para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, defina um contato de segurança para receber notificações por e-mail do Defender for Cloud. (Política relacionada: as assinaturas devem ter um endereço de email de contato para problemas de segurança)

Gravidade: Baixa

A Transparent Data Encryption em bancos de dados SQL deve ser habilitada

Descrição: habilite a criptografia de dados transparente para proteger os dados em repouso e atender aos requisitos de conformidade (Política relacionada: a criptografia de dados transparente em bancos de dados SQL deve ser habilitada).

Gravidade: Baixa

Os modelos do Construtor de Imagens de VM devem usar o link privado

Descrição: Auditar modelos do VM Image Builder que não têm uma rede virtual configurada. Quando uma rede virtual não é configurada, um IP público é criado e usado em vez disso, o que pode expor diretamente os recursos à Internet e aumentar a superfície de ataque potencial. (Política relacionada: Os modelos do VM Image Builder devem usar link privado).

Gravidade: Média

O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo

Descrição: implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web por países/regiões, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. (Política relacionada: O WAF (Web Application Firewall) deve estar habilitado para o Application Gateway).

Gravidade: Baixa

O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço do Azure Front Door Service

Descrição: implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web por países/regiões, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. (Política relacionada: O WAF (Firewall de Aplicativo Web) deve ser habilitado para o Azure Front Door Service?)

Gravidade: Baixa

Os Serviços Cognitivos devem usar um link privado

Descrição: o Azure Private Link permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre os links privados. (Política relacionada: os Serviços Cognitivos devem usar um link privado).

Gravidade: Média

O Azure Cosmos DB deve desabilitar o acesso à rede pública

Descrição: desabilitar o acesso à rede pública melhora a segurança, garantindo que sua conta do Cosmos DB não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição da conta do Cosmos DB. Saiba mais. (Política relacionada: o Azure Cosmos DB deve desabilitar o acesso à rede pública).

Gravidade: Média

As contas do Cosmos DB devem usar um link privado

Descrição: o Azure Private Link permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do Cosmos DB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre os links privados. (Política relacionada: as contas do Cosmos DB devem usar um link privado).

Gravidade: Média

O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente

Descrição: definir a versão do TLS como 1.2 ou mais recente melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes usando o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. (Política relacionada: o Banco de Dados SQL do Azure deve executar o TLS versão 1.2 ou mais recente).

Gravidade: Média

As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública

Descrição: desabilitar o acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. Saiba mais sobre o acesso à rede pública. (Política relacionada: as Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública).

Gravidade: Média

As contas de armazenamento devem impedir o acesso de chave compartilhada

Descrição: Requisito de auditoria do Azure Active Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com as credenciais do Azure Active Directory ou usando a chave de acesso da conta para a autorização de chave compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança superior e facilidade de uso em relação à chave compartilhada e é recomendado pela Microsoft. (Política relacionada: política)

Gravidade: Média

Recomendações de identidade e acesso

Uma quantidade máxima de três proprietários deve ser designada para as assinaturas

Descrição: para reduzir o potencial de violações por contas de proprietário comprometidas, recomendamos limitar o número de contas de proprietário a um máximo de 3 (Política relacionada: um máximo de 3 proprietários deve ser designado para sua assinatura).

Gravidade: Alta

Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA

Descrição: se você usar apenas senhas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários costumam usar senhas fracas para vários serviços. Ao habilitar a autenticação multifator (MFA), você fornece melhor segurança para suas contas, ao mesmo tempo em que permite que os usuários se autentiquem em praticamente qualquer aplicativo com logon único (SSO). A autenticação multifator é um processo pelo qual os usuários são solicitados, durante o processo de entrada, para outra forma de identificação. Por exemplo, um código pode ser enviado para o celular ou pode ser solicitada uma digitalização de impressão digital. Recomendamos que você habilite a MFA para todas as contas que têm permissões de proprietário em recursos do Azure, para evitar violações e ataques. Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de autenticação multifator (MFA) em suas assinaturas (Nenhuma política relacionada).

Gravidade: Alta

Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA

Descrição: se você usar apenas senhas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários costumam usar senhas fracas para vários serviços. Ao habilitar a autenticação multifator (MFA), você fornece melhor segurança para suas contas, ao mesmo tempo em que permite que os usuários se autentiquem em praticamente qualquer aplicativo com logon único (SSO). A autenticação multifator é um processo pelo qual os usuários são solicitados, durante o processo de entrada, para uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o celular ou pode ser solicitada uma digitalização de impressão digital. Recomendamos que você habilite a MFA para todas as contas que têm permissões de leitura em recursos do Azure, para evitar violações e ataques. Mais detalhes e perguntas frequentes estão disponíveis aqui. (Não há política relacionada)

Gravidade: Alta

Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA

Descrição: Se você usar apenas senhas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários costumam usar senhas fracas para vários serviços. Ao habilitar a autenticação multifator (MFA), você fornece melhor segurança para suas contas, ao mesmo tempo em que permite que os usuários se autentiquem em praticamente qualquer aplicativo com logon único (SSO). A autenticação multifator é um processo pelo qual os usuários são solicitados, durante o processo de entrada, para uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o celular ou pode ser solicitada uma digitalização de impressão digital. Recomendamos que você habilite a MFA para todas as contas que têm permissões de gravação em recursos do Azure, para evitar violações e ataques. Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de autenticação multifator (MFA) em suas assinaturas (Nenhuma política relacionada).

Gravidade: Alta

As contas do Azure Cosmos DB devem usar o Azure Active Directory como o único método de autenticação

Descrição: a melhor maneira de autenticar nos serviços do Azure é usando o RBAC (Controle de Acesso Baseado em Função). O RBAC permite manter o princípio de privilégio mínimo e dá suporte à capacidade de revogar permissões como um método efetivo de resposta quando há comprometimento. Você pode configurar a sua conta do Azure Cosmos DB para impor o RBAC como o único método de autenticação. Quando a imposição for configurada, todos os outros métodos de acesso serão negados (chaves primárias/secundárias e tokens de acesso). (Não há política relacionada)

Gravidade: Média

As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas

Descrição: as contas que foram bloqueadas para entrar no Active Directory devem ser removidas dos recursos do Azure. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Não há política relacionada)

Gravidade: Alta

As contas bloqueadas com permissões de leitura e gravação nos recursos do Azure devem ser removidas

Gravidade: Alta

As contas preteridas devem ser removidas das assinaturas

Descrição: as contas de utilizador que foram bloqueadas para iniciar sessão devem ser removidas das suas subscrições. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Política relacionada: Contas preteridas devem ser removidas da sua assinatura).

Gravidade: Alta

As contas preteridas com permissões de proprietário devem ser removidas das assinaturas

Gravidade: Alta

Os logs de diagnóstico no Key Vault devem estar habilitados

Gravidade: Baixa

As contas externas com permissões de proprietário devem ser removidas das assinaturas

Descrição: contas com permissões de proprietário que tenham nomes de domínio diferentes (contas externas) devem ser removidas da sua assinatura. Isso impede acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Política relacionada: Contas externas com permissões de proprietário devem ser removidas da sua assinatura).

Gravidade: Alta

As contas externas com permissões de leitura devem ser removidas das assinaturas

Descrição: contas com permissões de leitura que tenham nomes de domínio diferentes (contas externas) devem ser removidas da sua assinatura. Isso impede acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Política relacionada: Contas externas com permissões de leitura devem ser removidas da sua assinatura).

Gravidade: Alta

As contas externas com permissões de gravação devem ser removidas das assinaturas

Descrição: contas com permissões de gravação que tenham nomes de domínio diferentes (contas externas) devem ser removidas da sua assinatura. Isso impede acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Política relacionada: Contas externas com permissões de gravação devem ser removidas da sua assinatura).

Gravidade: Alta

O firewall deve ser habilitado no Key Vault

Descrição: o firewall do cofre de chaves impede que o tráfego não autorizado chegue ao seu cofre de chaves e fornece uma camada adicional de proteção para seus segredos. Habilite o firewall para garantir que somente o tráfego de redes permitidas possa acessar o seu cofre de chaves. (Política relacionada: O firewall deve estar ativado no Cofre de Chaves).

Gravidade: Média

As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas

Descrição: as contas com permissões de proprietário que foram provisionadas fora do locatário do Active Directory do Azure (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidado não são gerenciadas com os mesmos padrões que as identidades de locatários corporativos. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Não há política relacionada)

Gravidade: Alta

As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas

Descrição: as contas com permissões de leitura que foram provisionadas fora do locatário do Active Directory do Azure (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidado não são gerenciadas com os mesmos padrões que as identidades de locatários corporativos. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Não há política relacionada)

Gravidade: Alta

As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas

Descrição: contas com permissões de gravação que foram provisionadas fora do locatário do Active Directory do Azure (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidado não são gerenciadas com os mesmos padrões que as identidades de locatários corporativos. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos. (Não há política relacionada)

Gravidade: Alta

As chaves do Key Vault devem ter uma data de validade

Descrição: As chaves criptográficas devem ter uma data de expiração definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. (Política relacionada: As chaves do Cofre de Chaves devem ter uma data de validade).

Gravidade: Alta

Os segredos do Key Vault devem ter uma data de validade

Descrição: Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. É uma prática de segurança recomendada definir datas de validade em segredos. (Política relacionada: Os segredos do Cofre de Chaves devem ter uma data de validade).

Gravidade: Alta

Os cofres de chaves devem ter a proteção contra limpeza habilitada

Descrição: A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Um funcionário mal-intencionado em sua organização pode potencialmente excluir e limpar os cofres de chaves. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. (Política relacionada: Os cofres de chaves devem ter a proteção contra limpeza ativada).

Gravidade: Média

Os cofres de chaves devem ter a exclusão temporária habilitada

Descrição: A exclusão de um cofre de chaves sem a exclusão flexível habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. (Política relacionada: Os cofres de chaves devem ter a exclusão suave habilitada).

Gravidade: Alta

A MFA deve ser habilitada em contas com permissões de proprietário em assinaturas

Descrição: a autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. (Política relacionada: A MFA deve ser habilitada em contas com permissões de proprietário em sua assinatura).

Gravidade: Alta

A MFA deve ser habilitada em contas com permissões de leitura em assinaturas

Descrição: a autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. (Política relacionada: A MFA deve ser habilitada em contas com permissões de leitura em sua assinatura).

Gravidade: Alta

A MFA deve ser habilitada em contas com permissões de gravação em assinaturas

Descrição: a autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. (Política relacionada: MFA deve ser habilitado contas com permissões de gravação em sua assinatura).

Gravidade: Alta

O Microsoft Defender para Key Vault deve estar habilitado

Descrição: O Microsoft Defender for Cloud inclui o Microsoft Defender for Key Vault, fornecendo uma camada adicional de inteligência de segurança. O Microsoft Defender para Key Vault detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas do Key Vault. Importante: as proteções desse plano são cobradas conforme mostrado na página Planos do Defender. Se você não tiver cofres de chaves nessa assinatura, não será cobrado. Se você criar cofres de chaves nessa assinatura, eles serão protegidos automaticamente e os encargos serão iniciados. Saiba mais sobre os detalhes de preços por região. Saiba mais em Introdução ao Microsoft Defender para Key Vault. (Política relacionada: O Azure Defender for Key Vault deve estar habilitado).

Gravidade: Alta

O ponto de extremidade privado deve ser configurado para Key Vault

Descrição: o link privado fornece uma maneira de conectar o Cofre de Chaves aos seus recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece uma proteção avançada contra exfiltração dos dados. (Política relacionada: Ponto de extremidade privado deve ser configurado para o Cofre de Chaves).

Gravidade: Média

O acesso público da conta de armazenamento não deve ser permitido

Descrição: o acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. (Política relacionada: O acesso público à conta de armazenamento deve ser proibido).

Gravidade: Média

Deve haver mais de um proprietário atribuído às assinaturas

Descrição: designe mais de um proprietário de assinatura para ter redundância de acesso de administrador. (Política relacionada: Deve haver mais de um proprietário atribuído à sua assinatura).

Gravidade: Alta

O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses

Descrição: Certifique-se de que seus certificados não tenham um período de validade superior a 12 meses. (Política relacionada: Os certificados devem ter o período máximo de validade especificado).

Gravidade: Média

As identidades superprovisionadas do Azure devem ter apenas as permissões necessárias (Visualização)

Descrição: identidades superprovisionadas ou identidades com excesso de permissão não usam muitas de suas permissões concedidas. Regularmente as permissões de tamanho correto dessas identidades para reduzir o risco de uso indevido de permissões, acidental ou mal-intencionado. Essa ação diminui o possível raio de explosão durante um incidente de segurança.

Gravidade: Média

As superidentidades em seu ambiente do Azure devem ser removidas (Visualização)

Descrição: Superidentidade é qualquer identidade humana ou de carga de trabalho, como usuários, entidades de serviço e funções sem servidor, que têm permissões de administrador e podem executar qualquer ação em qualquer recurso na infraestrutura. As Super Identidades são de altíssimo risco, pois qualquer uso indevido de permissões maliciosas ou acidentais pode resultar em interrupção catastrófica do serviço, degradação do serviço ou vazamento de dados. As Super Identidades representam uma enorme ameaça à infraestrutura de nuvem. Muitas superidentidades podem criar riscos excessivos e aumentar o raio de explosão durante uma violação.

Gravidade: Média

As identidades não utilizadas em seu ambiente do Azure devem ser removidas (Visualização)

Descrição: identidades inativas são as identidades que não executaram nenhuma ação em nenhum recurso de infraestrutura nos últimos 90 dias. As identidades inativas representam um risco significativo para sua organização, pois podem ser usadas por invasores para obter acesso e executar tarefas em seu ambiente.

Gravidade: Média

Recomendações de IoT

A Política de Filtro IP Padrão deve ser Negar

Descrição: a Configuração do Filtro IP deve ter regras definidas para o tráfego permitido e deve negar todo o outro tráfego por padrão (Nenhuma política relacionada).

Gravidade: Média

Os logs de diagnóstico no Hub IoT devem ser habilitados

Gravidade: Baixa

Credenciais de Autenticação Idênticas

Descrição: credenciais de autenticação idênticas ao Hub IoT usado por vários dispositivos. Isso pode indicar que um dispositivo ilegítimo está representando um dispositivo legítimo. Ele também expõe o risco de representação de dispositivo por um invasor (Nenhuma política relacionada).

Gravidade: Alta

Intervalo de IP grande da regra do Filtro IP

Descrição: O intervalo de IP de origem de uma regra Permitir Filtro IP é muito grande. Regras excessivamente permissivas podem expor seu hub IoT a intenders mal-intencionados (Nenhuma política relacionada).

Gravidade: Média

Recomendações de rede

O acesso às contas de armazenamento com configurações de firewall e de rede virtual deve ser restrito

Descrição: revise as configurações de acesso à rede nas configurações de firewall da conta de armazenamento. Recomendamos configurar as regras de rede de modo que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet. (Política relacionada: As contas de armazenamento devem restringir o acesso à rede).

Gravidade: Baixa

As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet

Descrição: O Defender for Cloud analisou os padrões de comunicação de tráfego de internet das máquinas virtuais listadas abaixo e determinou que as regras existentes nos NSGs associados a elas são excessivamente permissivas, resultando em uma superfície de ataque potencial aumentada. Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem. Saiba mais em Melhorar sua postura de segurança de rede com o fortalecimento de rede adaptável. (Política relacionada: As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet).

Gravidade: Alta

Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual

Descrição: o Defender for Cloud identificou que algumas das regras de entrada dos grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. (Política relacionada: Todas as portas de rede devem ser restritas aos grupos de segurança de rede associados à sua máquina virtual).

Gravidade: Alta

A Proteção contra DDoS do Azure Standard deve estar habilitada

Descrição: o Defender for Cloud descobriu redes virtuais com recursos do Application Gateway desprotegidos pelo serviço de proteção contra DDoS. Esses recursos contêm IPs públicos. Habilitar a mitigação de ataques de protocolo e volumétricos de rede. (Política relacionada: O Azure DDoS Protection Standard deve ser habilitado).

Gravidade: Média

As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede

Descrição: proteja sua VM contra possíveis ameaças restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua VM de outras instâncias, dentro ou fora da mesma sub-rede. Para manter seu computador o mais seguro possível, o acesso da VM à Internet precisa ser restrito e um NSG precisa ser habilitado na sub-rede. As VMs com severidade 'Alta' são VMs para a Internet. (Política relacionada: As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede).

Gravidade: Alta

O encaminhamento IP na máquina virtual deve ser desabilitado

Descrição: o Defender for Cloud descobriu que o encaminhamento de IP está habilitado em algumas de suas máquinas virtuais. A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. (Política relacionada: O encaminhamento de IP em sua máquina virtual deve ser desabilitado).

Gravidade: Média

Os computadores devem ter portas fechadas que possam expor vetores de ataque

Descrição: os termos de uso do Azure proíbem o uso dos serviços do Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. Esta recomendação lista as portas expostas que precisam ser fechadas para sua segurança contínua. Ela também ilustra a ameaça potencial para cada porta. (Não há política relacionada)

Gravidade: Alta

As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time

Gravidade: Alta

Portas de gerenciamento devem ser fechadas nas máquinas virtuais

Descrição: as portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. (Política relacionada: As portas de gerenciamento devem ser fechadas em suas máquinas virtuais).

Gravidade: Média

Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede

Descrição: proteja sua máquina virtual não voltada para a Internet contra possíveis ameaças, restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua VM de outras instâncias, estejam elas ou não dentro da mesma sub-rede. Observe que, para manter seu computador o mais seguro possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede. (Política relacionada: Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede).

Gravidade: Baixa

A transferência segura para contas de armazenamento deve ser habilitada

Descrição: a transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão. (Política relacionada: A transferência segura para contas de armazenamento deve ser habilitada).

Gravidade: Alta

As sub-redes devem ser associadas a um grupo de segurança de rede

Descrição: proteja sua sub-rede contra possíveis ameaças restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. Quando um NSG é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM e serviços integrados nessa sub-rede, mas não se aplicam ao tráfego interno dentro da sub-rede. Para proteger os recursos na mesma sub-rede uns dos outros, habilite o NSG nos recursos também. Observe que os seguintes tipos de sub-rede serão listados como não aplicáveis: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Política relacionada: As sub-redes devem ser associadas a um Grupo de Segurança de Rede).

Gravidade: Baixa

As redes virtuais devem ser protegidas pelo Firewall do Azure

Descrição: algumas de suas redes virtuais não estão protegidas com um firewall. Use o Firewall do Azure para restringir o acesso às suas redes virtuais e evitar possíveis ameaças. (Política relacionada: Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado).

Gravidade: Baixa

Recomendações de API

O Microsoft Defender para APIs deve estar habilitado

Descrição Política relacionada ao & : habilite o plano do Defender para APIs para descobrir e proteger os recursos da API contra ataques e configurações incorretas de segurança. Saiba mais

Gravidade: Alta

As APIs de Gerenciamento de API do Azure devem ser integradas ao Defender para APIs

Descrição Política relacionada ao & : a integração de APIs ao Defender para APIs requer utilização de computação e memória no serviço de Gerenciamento de API do Azure. Monitore o desempenho do serviço de Gerenciamento de API do Azure durante a integração de APIs e escale horizontalmente seus recursos de Gerenciamento de API do Azure conforme necessário.

Gravidade: Alta

Os pontos de extremidade de API não usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure

Descrição Política relacionada ao & : como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco à segurança. Podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas que foram acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada.

Gravidade: Baixa

Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados

Descrição Política relacionada ao & : os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, esta recomendação avalia a autenticação por meio da verificação da presença de chaves de assinatura do Gerenciamento de API do Azure para APIs ou produtos em que a assinatura é necessária e a execução de políticas para validar JWT, certificados de cliente e tokens do Microsoft Entra. Se nenhum desses mecanismos de autenticação for executado durante a chamada à API, a API receberá essa recomendação.

Gravidade: Alta

Recomendações de gerenciamento de API

As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs

Descrição Política relacionada ao & : as assinaturas de Gerenciamento de API devem ter o escopo definido para um produto ou uma API individual em vez de todas as APIs, o que pode resultar em exposição excessiva de dados.

Gravidade: Média

As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome

Descrição Política relacionada ao & : O Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome para melhorar a segurança da API.

Gravidade: Média

O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve estar habilitado

Descrição Política relacionada ao NEM: A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Gerenciador de Recursos do Azure, aumentando assim a vulnerabilidade do seu serviço.

Gravidade: Baixa

As APIs do Gerenciamento de API devem usar apenas protocolos criptografados

Descrição Política relacionada ao & : as APIs devem estar disponíveis somente por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS, para garantir a segurança dos dados em trânsito.

Gravidade: Alta

Os valores secretos nomeados do Gerenciamento de API devem ser armazenados no Azure Key Vault

Descrição Política relacionada ao & : os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos no Azure Key Vault. Os valores nomeados do segredo de referência do Azure Key Vault para melhorar a segurança de Gerenciamento de API e segredos. O Azure Key Vault dá suporte a políticas de rotação de segredo e gerenciamento de acesso granulares.

Gravidade: Média

O Gerenciamento de APIs deve desabilitar o acesso à rede pública nos pontos de extremidade de configuração do serviço

Descrição Política relacionada ao & : para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade aos pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados.

Gravidade: Média

A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior

Descrição Política relacionada ao & : Para impedir que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior.

Gravidade: Média

As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas

Descrição Política relacionada ao & : As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric.

Gravidade: Média

Recomendações da IA

Os logs de recursos nos Workspaces do Azure Machine Learning devem estar habilitados (prévia)

Descrição Política relacionada ao & : os logs de recursos permitem recriar trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.

Gravidade: Média

Os Workspaces do Machine Learning devem desabilitar o acesso à rede pública (Visualização Pública)

Descrição Política relacionada ao & : desabilitar o acesso à rede pública melhora a segurança, garantindo que os Espaços de Trabalho de Aprendizado de Máquina não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Para obter mais informações, confira Configurar um ponto de extremidade privado para um espaço de trabalho do Azure Machine Learning.

Gravidade: Média

A Computação do Azure Machine Learning deve estar em uma rede virtual (Prévia)

Descrição Política relacionada ao & : as Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Aprendizado de Máquina do Azure, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada a partir de máquinas e aplicativos virtuais dentro da rede virtual.

Gravidade: Média

A Computação do Azure Machine Learning deve ter métodos de autenticação local desabilitados (Prévia)

Descrição Política relacionada ao & : desabilitar métodos de autenticação local melhora a segurança, garantindo que as Computação de Aprendizado de Máquina exijam identidades do Active Directory do Azure exclusivamente para autenticação. Para obter mais informações, confira Controles de conformidade regulatória da política do Azure para o Azure Machine Learning.

Gravidade: Média

As instâncias de computação do Azure Machine Learning devem ser recriadas para obter as atualizações de software mais recentes (Prévia)

Descrição Política relacionada ao & : garanta que as instâncias de computação do Aprendizado de Máquina do Azure sejam executadas no sistema operacional mais recente disponível. A segurança é melhorada e as vulnerabilidades reduzidas pela execução dos últimos patches de segurança. Para obter mais informações, confira Gerenciamento de vulnerabilidades para o Azure Machine Learning.

Gravidade: Média

Os logs de recursos nos Workspaces do Azure Databricks devem ser habilitados (Prévia)

Gravidade: Média

Os Workspaces do Azure Databricks devem desabilitar o acesso à rede pública (Prévia)

Descrição Política relacionada ao & : desabilitar o acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição dos seus recursos criando pontos de extremidade privados. Para obter mais informações, confira Habilitar Link Privado do Azure.

Gravidade: Média

Os Clusters do Azure Databricks devem desabilitar o IP público (Versão prévia)

Descrição Política relacionada ao & : desabilitar o IP público de clusters nos Espaços de Trabalho do Azure Databricks melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Para obter mais informações, confira Conectividade segura do cluster.

Gravidade: Média

Os Workspaces do Azure Databricks devem estar em uma rede virtual (Prévia)

Descrição Política relacionada ao & : as Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Espaços de Trabalho do Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Para obter mais informações, confira Implantar o Azure Databricks na sua rede virtual do Azure.

Gravidade: Média

Os Workspaces do Azure Databricks devem utilizar um link privado (Prévia)

Descrição Política relacionada ao & : o Link Privado do Azure permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Databricks, você pode reduzir os riscos de vazamento de dados. Para obter mais informações, confira Criar o espaço de trabalho e os pontos de extremidade privados na interface do usuário do portal do Microsoft Azure.

Gravidade: Média

Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede

Descrição: ao restringir o acesso à rede, você pode garantir que apenas redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o recurso de serviço de IA do Azure.

Gravidade: Média

Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local)

Descrição: Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais.

Gravidade: Média

Recomendações preteridas

As identidades provisionadas em excesso em assinaturas devem ser investigadas para reduzir o PCI (Índice de Excesso de Permissões)

Descrição: identidades provisionadas em excesso na assinatura devem ser investigadas para reduzir o PCI (Índice de Rastreamento de Permissão) e proteger sua infraestrutura. Reduza o PCI removendo as atribuições de permissão de alto risco não utilizadas. O PCI alto reflete o risco associado às identidades com permissões que excedem seu uso normal ou necessário (Nenhuma política relacionada).

Gravidade: Média

As identidades provisionadas em excesso em contas devem ser investigadas para reduzir o PCI (Índice de Excesso de Permissões)

Descrição: identidades provisionadas em excesso em contas devem ser investigadas para reduzir o PCI (Índice de Fluência de Permissão) e proteger sua infraestrutura. Reduza o PCI removendo as atribuições de permissão de alto risco não utilizadas. O PCI alto reflete o risco associado às identidades com permissões que excedem seu uso normal ou necessário.

Gravidade: Média

O acesso aos Serviços de Aplicativos deve ser restrito

Descrição Política relacionada ao & : restrinja o acesso aos seus Serviços de Aplicativo alterando a configuração de rede para negar o tráfego de entrada de intervalos muito amplos. (Política relacionada: [Pré-visualização]: o acesso aos Serviços de Aplicação deve ser restrito).

Gravidade: Alta

As regras para aplicativos Web nos NSGs da IaaS devem ser fortalecidas

Descrição Política relacionada ao & : Proteja o NSG (grupo de segurança de rede) de suas máquinas virtuais que executam aplicativos Web, com regras NSG que são excessivamente permissivas em relação às portas de aplicativos Web. (Política relacionada: as regras de NSGs para aplicativos Web em IaaS devem ser reforçadas).

Gravidade: Alta

As políticas de segurança de pods devem ser definidas para reduzir o vetor de ataque removendo privilégios de aplicativo desnecessários (versão prévia)

Descrição & política relacionada: Defina políticas de segurança do Pod para reduzir o vetor de ataque removendo privilégios de aplicativos desnecessários. Recomendamos configurar políticas de segurança de pods para que apenas os pods possam acessar os recursos aos quais eles têm permissões de acesso. (Política relacionada: [Pré-visualização]: As Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes).

Gravidade: Média

Instalar o módulo de segurança da Central de Segurança do Azure para IoT para obter mais visibilidade dos seus dispositivos IoT

Descrição & política relacionada: instale o módulo de segurança da Central de Segurança do Azure para IoT para obter mais visibilidade de seus dispositivos IoT.

Gravidade: Baixa

Seus computadores devem ser reiniciados para que as atualizações do sistema sejam aplicadas

Descrição Política relacionada ao & : reinicie suas máquinas para aplicar as atualizações do sistema e proteger a máquina contra vulnerabilidades. (Política relacionada: as atualizações do sistema devem ser instaladas em seus computadores).

Gravidade: Média

O agente de monitoramento deve ser instalado em seus computadores

Descrição Política relacionada ao & : essa ação instala um agente de monitoramento nas máquinas virtuais selecionadas. Selecione um workspace ao qual o agente se reportará. (Não há política relacionada)

Gravidade: Alta

O Java deve ser atualizado para a última versão nos aplicativos Web

Descrição Política relacionada ao & : Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidade adicional. Recomendamos o uso da última versão do Java para aplicativos Web, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Java' seja a mais recente, se usada como parte do aplicativo Web).

Gravidade: Média

O Python deve ser atualizado para a última versão nos aplicativos de funções

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidade adicional. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão do Python' seja a mais recente, se usada como parte do aplicativo Função).

Gravidade: Média

O Python deve ser atualizado para a última versão nos aplicativos Web

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidade adicional. Recomendamos o uso da última versão do Python para aplicativos Web, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: verifique se a 'versão do Python' é a mais recente, se usada como parte do aplicativo Web).

Gravidade: Média

O Java deve ser atualizado para a última versão nos aplicativos de funções

Descrição Política relacionada ao & : Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidade adicional. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Java' seja a mais recente, se usada como parte do aplicativo Função).

Gravidade: Média

O PHP deve ser atualizado para a última versão nos aplicativos Web

Descrição Política relacionada ao & : Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos Web, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão PHP' seja a mais recente, se usada como parte do aplicativo WEB).

Gravidade: Média

Problemas de integridade do Endpoint Protection em computadores devem ser resolvidos

Descrição: resolva problemas de integridade do endpoint protection em suas máquinas virtuais para protegê-las das ameaças e vulnerabilidades mais recentes. Confira a documentação para obter as soluções de proteção de ponto de extremidade com suporte no Defender para Nuvem e as avaliações de proteção de ponto de extremidade. (Não há política relacionada)

Gravidade: Média

O Endpoint Protection deve ser instalado em computadores

Descrição: para proteger as máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de endpoint compatível. Saiba mais sobre como a proteção de ponto de extremidade para computadores é determinada na Avaliação e recomendações da proteção de ponto de extremidade no Microsoft Defender para Nuvem. (Não há política relacionada)

Gravidade: Alta

O acesso à rede pública deve ser desabilitado nas contas dos Serviços Cognitivos

Descrição: esta política audita qualquer conta dos Serviços Cognitivos em seu ambiente com acesso à rede pública habilitado. O acesso à rede pública deve ser desabilitado para que somente as conexões de pontos de extremidade privados sejam permitidas. (Política relacionada: O acesso à rede pública deve ser desabilitado para contas de Serviços Cognitivos).

Gravidade: Média