Tutorial: Melhorar sua conformidade regulatória

O Microsoft Defender para Nuvem ajuda a simplificar o processo para atender aos requisitos de conformidade regulatória, usando o painel de conformidade regulatória. Defender para Nuvem avalia continuamente seu ambiente de nuvem híbrida para analisar os fatores de risco de acordo com os controles e as melhores práticas nos padrões aplicados às suas assinaturas. O painel reflete o status de sua conformidade com esses padrões.

Quando você habilita a Microsoft Defender para Nuvem em uma assinatura do Azure, o Microsoft Cloud Security Benchmark é automaticamente atribuído a ela. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security), do PCI-DSS e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.

O painel de conformidade regulatória mostra o status de todas as avaliações no seu ambiente para os seus padrões e regulamentos escolhidos. Conforme você tomar decisões com base nas recomendações e reduzir os fatores de risco em seu ambiente, sua postura de conformidade melhorará.

Neste tutorial, você aprenderá a:

  • Avaliar sua conformidade regulatória usando o painel de conformidade regulatória
  • Verificar as ofertas de conformidade da Microsoft para produtos do Azure, do Dynamics 365 e do Power Platform
  • Melhorar sua postura de conformidade tomando decisões com base nas recomendações
  • Baixar relatórios PDF/CSV, bem como relatórios de certificação do seu status de conformidade
  • Configurar alertas nas alterações do seu status de conformidade
  • Exporte os seus dados de conformidade como um fluxo contínuo e como instantâneos semanais

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para acompanhar os recursos abordados neste tutorial:

  • Habilitar recursos de segurança aprimorados. Você pode habilita-los gratuitamente por 30 dias.
  • Você precisa estar conectado a uma conta que tenha acesso de leitor aos dados de conformidade da política. O Leitor Global da assinatura tem acesso aos dados de conformidade da política, mas a função Leitor de Segurança não. No mínimo, você precisará ter as funções Colaborador de Política de Recursos e Administrador de Segurança atribuídas.

Avaliar sua conformidade regulatória

O painel de conformidade regulatória mostra os padrões de conformidade que você selecionou com todos os respectivos requisitos, em que os requisitos compatíveis são mapeados para as avaliações de segurança aplicáveis. O status dessas avaliações reflete sua conformidade com o padrão.

Use o painel de conformidade regulatória como auxílio para concentrar a sua atenção nas lacunas de conformidade com os padrões e regulamentos escolhidos. Essa exibição concentrada também possibilita que você monitore continuamente sua conformidade ao longo do tempo em ambientes dinâmicos híbridos e de nuvem.

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Conformidade normativa.

    O painel fornece uma visão geral do seu status de conformidade e o conjunto de regulamentos de conformidade compatíveis. Você verá a sua pontuação geral de conformidade e o número de avaliações aprovadas vs. reprovadas associadas a cada padrão.

Captura de tela que mostra a exploração dos detalhes da conformidade com um padrão específico.

A lista a seguir possui um item numerado que corresponde a cada local na imagem acima e descreve o que está na imagem:

  • Escolha uma norma de conformidade para ver a lista de todos os controles para essa norma. (1)
  • Exiba as assinaturas nas quais o padrão de conformidade é aplicado. (2)
  • Selecione um Controle para obter mais detalhes. Expanda o controle para exibir as avaliações associadas ao controle selecionado. Selecione uma avaliação para exibir a lista de recursos associados e as ações para corrigir as preocupações de conformidade. (3)
  • Selecione detalhes do Controle para exibir as guias Visão geral, Suas ações e Ações da Microsoft. (4)
  • Na guia Suas ações, é possível ver as avaliações automatizadas e manuais associadas ao controle. (5)
  • As avaliações automatizadas mostram o número de recursos com falha e os tipos de recursos e vinculam você diretamente à experiência de correção para atender a essas recomendações. (6)
  • As avaliações manuais podem ser atestadas manualmente e as evidências podem ser vinculadas para demonstrar a conformidade. (7)

Investigar seus problemas de conformidade regulatória

Você pode usar as informações no painel de conformidade regulatória para investigar quaisquer problemas que possam estar afetando a postura de conformidade.

Para investigar seus problemas de conformidade:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Conformidade normativa.

  3. Selecione um padrão de conformidade regulatória.

  4. Selecione um controle de conformidade para expandi-lo.

  5. Selecione Detalhes do controle.

    Captura de tela que mostra onde navegar para selecionar detalhes do controle na tela.

    • Selecione Visão geral para ver as informações específicas sobre o Controle selecionado.
    • Selecione Suas Ações para ver uma exibição detalhada das ações automatizadas e manuais que você precisa executar para melhorar sua postura de conformidade.
    • Selecione Ações da Microsoft para ver todas as ações que a Microsoft realizou para garantir a conformidade com o padrão selecionado.
  6. Em Suas ações, você pode selecionar uma seta para baixo para exibir mais detalhes e resolver a recomendação para esse recurso.

    Captura de tela que mostra onde a seta para baixo está na tela.

    Para obter mais informações sobre como aplicar recomendações, confira Implementando as recomendações de segurança no Microsoft Defender para Nuvem.

    Observação

    As avaliações são executadas aproximadamente a cada 12 horas e, portanto, você verá o impacto sobre seus dados de conformidade somente após a próxima execução da avaliação relevante.

Corrigir uma avaliação automatizada

A conformidade regulatória tem avaliações automatizadas e manuais que podem precisar ser corrigidas. Usando as informações do painel de conformidade regulatória, aprimore a sua postura de conformidade resolvendo as recomendações diretamente no painel.

Para corrigir uma avaliação automatizada:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Conformidade normativa.

  3. Selecione um padrão de conformidade regulatória.

  4. Selecione um controle de conformidade para expandi-lo.

  5. Na seção Avaliações automatizadas, selecione uma avaliação que falhou para exibir os detalhes dessa recomendação. Cada recomendação inclui um conjunto de etapas de correção para resolver o problema.

  6. Selecione um recurso específico para ver mais detalhes e resolva a recomendação desse recurso.
    Por exemplo, no padrão Azure CIS 1.1.0, selecione a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.

    A seleção de uma recomendação de um padrão leva diretamente para a página de detalhes da recomendação.

  7. Neste exemplo, ao selecionar Executar ação na página de detalhes da recomendação, você chegará nas páginas da Máquina Virtual do Azure do portal do Azure, em que é possível habilitar a criptografia na guia Segurança:

    O botão Executar ação na página de detalhes da recomendação leva às opções de correção.

    Para obter mais informações sobre como aplicar recomendações, confira Implementando as recomendações de segurança no Microsoft Defender para Nuvem.

  8. Depois de tomar medidas para resolver as recomendações, você verá o aprimoramento da sua pontuação de conformidade no painel de conformidade.

    Observação

    As avaliações são executadas aproximadamente a cada 12 horas e, portanto, você verá o impacto sobre seus dados de conformidade somente após a próxima execução da avaliação relevante.

Corrigir uma avaliação manual

A conformidade regulatória tem avaliações automatizadas e manuais que podem precisar ser corrigidas. Avaliações manuais são avaliações que exigem a entrada do cliente para corrigi-las.

Para corrigir uma avaliação manual:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Conformidade normativa.

  3. Selecione um padrão de conformidade regulatória.

  4. Selecione um controle de conformidade para expandi-lo.

  5. Na seção Atestado manual e evidências, selecione uma avaliação.

  6. Escolha as assinaturas relevantes.

  7. Selecione Atestar.

  8. Insira as informações relevantes e anexe as evidências para conformidade.

  9. Clique em Salvar.

Gerar relatórios de status de conformidade e certificados

  • Para gerar um relatório em PDF com um resumo do seu status de conformidade atual para um padrão específico, selecione Baixar o relatório.

    O relatório fornece um resumo de alto nível do status de conformidade para o padrão selecionado tendo como base os dados das avaliações do Defender para Nuvem. O relatório é organizado de acordo com os controles desse padrão específico. O relatório pode ser compartilhado com stakeholders relevantes e pode servir para fornecer evidências aos auditores internos e externos.

    Uso da barra de ferramentas do painel de conformidade regulatória do Defender para Nuvem para baixar relatórios de conformidade.

  • Para baixar relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas, use a opção Relatórios de auditoria.

    Uso da barra de ferramentas do painel de conformidade regulatória do Defender para Nuvem para baixar relatórios de certificação do Azure e do Dynamics.

    Selecione a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e use filtros para localizar os relatórios específicos necessários:

    Filtragem da lista de relatórios de auditoria do Azure disponíveis com guias e filtros.

    Por exemplo, na guia PCI, você pode baixar um arquivo zip que contém um certificado assinado digitalmente que demonstra a conformidade do Microsoft Azure, do Dynamics 365 e de outros Serviços Online com a estrutura ISO22301, junto com o manual e os acessórios necessários para interpretar e apresentar o certificado.

    Observação

    Ao baixar um desses relatórios de certificação, você verá o seguinte aviso de privacidade:

    Ao baixar esse arquivo, você está concedendo consentimento à Microsoft para armazenar o usuário atual e as assinaturas selecionadas no momento do download. Esses dados são usados para notificar você em caso de alterações ou atualizações no relatório de auditoria baixado. Eles são usados pela Microsoft e pelas empresas de auditoria que produzem a certificação/os relatórios somente quando a notificação é necessária.

Verificar o status das ofertas de conformidade

A transparência fornecida pelas ofertas de conformidade permite exibir o status de certificação de cada serviço fornecido pela Microsoft antes de adicionar o produto à plataforma do Azure.

Para verificar o status das ofertas de conformidade:

  1. Entre no portal do Azure.

  2. Navegue até Defender para Nuvem>Conformidade normativa.

  3. Selecione Ofertas de conformidade.

    Captura de tela que mostra onde selecionar o botão de oferta de conformidade no painel.

  4. Insira um serviço na barra de pesquisa para exibir a oferta de conformidade.

    Captura de tela da tela de oferta de conformidade com a barra de pesquisa realçada.

Configurar exportações frequentes dos seus dados de status de conformidade

Se você quiser acompanhar o seu status de conformidade com outras ferramentas de monitoramento no seu ambiente, o Defender para Nuvem incluirá um mecanismo de exportação para fazer isso de modo simples. Configure a exportação contínua para enviar os dados selecionados para Hubs de Eventos do Azure ou um workspace do Log Analytics. Saiba mais em Exportação contínua de dados no Defender para Nuvem.

Use os dados de exportação contínua para Hubs de Eventos do Azure ou um workspace do Log Analytics:

  • Exporte todos os dados de conformidade regulatória em um fluxo contínuo:

    Exportar continuamente um fluxo de dados de conformidade regulatória.

  • Exportar instantâneos semanais dos seus dados de conformidade regulatória:

    Exportar continuamente um instantâneo semanal dos dados de conformidade regulatória.

Dica

Você também pode exportar manualmente relatórios sobre um só ponto no tempo diretamente no painel de conformidade regulatória. Gere esses relatórios PDF/CSV ou relatórios de certificação do Azure e do Dynamics usando as opções da barra de ferramentas Baixar relatório ou Relatórios de auditoria. Confira Avaliar sua conformidade regulatória

Executar automações de fluxo de trabalho quando houver alterações na conformidade

O recurso de automação do fluxo de trabalho do Defender para Nuvem pode disparar Aplicativos Lógicos sempre que uma das suas avaliações de conformidade regulatória mudar de estado.

Por exemplo, talvez você queira que o Defender para Nuvem envie por email um usuário específico quando uma avaliação de conformidade falhar. Você precisará criar primeiro o aplicativo lógico (usando os Aplicativos Lógicos do Azure) e, depois, configurar o gatilho em uma nova automação de fluxo de trabalho, conforme explicado em Automatizar as respostas para os gatilhos do Defender para Nuvem.

Como usar as avaliações de conformidade regulatória para disparar uma automação de fluxo de trabalho.

Perguntas frequentes – Painel de conformidade regulatória

Como saber qual parâmetro de comparação ou padrão usar?

O MCSB (Microsoft Cloud Security Benchmark) é o conjunto canônico de recomendações de segurança e melhores práticas definidas pela Microsoft, alinhadas com as estruturas de controle de conformidade comuns, incluindo o CIS Control Framework, NIST SP 800-53 e PCI-DSS. O MCSB é um conjunto abrangente de princípios de segurança na nuvem projetado para recomendar as diretrizes técnicas mais atualizadas do Azure, juntamente com outras nuvens, como AWS e GCP. Recomendamos o MCSB aos clientes que desejam maximizar a postura de segurança e alinhar o status de conformidade com os padrões do setor.

O CIS Benchmark foi criado por uma entidade independente – CIS (Center for Internet Security) – e contém recomendações sobre um subconjunto de serviços principais do Azure. Trabalhamos com o CIS para tentar garantir que as recomendações dele estejam atualizadas com os aprimoramentos mais recentes no Azure, mas elas às vezes atrasam e ficam desatualizadas. No entanto, alguns clientes gostam de usar esse objetivo, a avaliação de terceiros do CIS, como sua linha de base de segurança inicial e primária.

Como lançamos o Microsoft Cloud Security Benchmark, muitos clientes optaram por migrar para ele como uma substituição dos benchmarks de CIS.

Quais padrões têm suporte no painel de conformidade?

Por padrão, o painel de conformidade regulatória mostra o Microsoft Cloud Security Benchmark. O Microsoft Cloud Security Benchmark é composto pelas diretrizes específicas da Microsoft para as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Saiba mais em Introdução ao Microsoft Cloud Security Benchmark.

Para acompanhar a sua conformidade com qualquer outro padrão, você precisará adicioná-lo explicitamente ao seu painel.

Você pode adicionar padrões como Azure CIS 1.3.0, NIST SP 800-53, NIST SP 800-171, SWIFT CSP CSCF-v2020, UK Official e UK NHS, HIPAA, Canada Federal PBMM, ISO 27001, SOC2-TSP e PCI-DSS 3.2.1.

Mais padrões serão adicionados ao painel e incluídos nas informações sobre como Personalizar o conjunto de padrões no seu painel de conformidade regulatória.

Por que alguns controles estão esmaecidos?

Para cada padrão de conformidade no painel, há uma lista dos controles padrão. Nos controles aplicáveis, você poderá exibir os detalhes das avaliações aprovadas e reprovadas.

Alguns controles estão esmaecidos. Esses controles não têm nenhuma avaliação do Defender para Nuvem associada a eles. Alguns podem ser relacionados a procedimentos ou processos e, portanto, não podem ser verificados pelo Defender para Nuvem. Alguns ainda não têm políticas ou avaliações automatizadas implementadas, mas terão no futuro. Alguns controles podem ser de responsabilidade da plataforma, conforme explicado em Responsabilidade compartilhada na nuvem.

Como fazer para remover um padrão interno, como PCI-DSS, ISO 27001 ou SOC2 TSP do painel?

Para personalizar o painel de conformidade regulatória e se concentrar apenas nos padrões que se aplicam a você, é possível remover todos os padrões regulatórios exibidos que não sejam relevantes para a sua organização. Para remover um padrão, siga as instruções em Remover um padrão do seu painel.

Fiz as alterações sugeridas com base na recomendação, mas elas não estão sendo refletidas no painel.

Depois de tomar medidas para resolver as recomendações, espere 12 horas para ver as mudanças nos dados de conformidade. As avaliações são executadas aproximadamente a cada 12 horas. Portanto, você verá o efeito sobre seus dados de conformidade somente após a execução das avaliações.

Quais permissões preciso para acessar o painel de conformidade?

Para exibir dados de conformidade, você também precisa ter pelo menos acesso de Leitor aos dados de conformidade de política. Apenas o Leitor de Segurança não será suficiente. Se você for um leitor global na assinatura, isso também será suficiente.

O conjunto mínimo de funções para acessar o painel e gerenciar padrões é Colaborador de Política de Recursos e Administrador de Segurança.

O painel de conformidade regulatória não está carregando para mim

Para usar o painel de conformidade regulatória, o Defender para Nuvem precisa estar habilitado no nível da assinatura. Se painel não estiver carregando corretamente, tente realizar as seguintes etapas:

  1. Limpe o cache do navegador.
  2. Tente usar um navegador diferente.
  3. Tente abrir o painel em uma localização de rede diferente.

Como fazer para exibir no meu painel um relatório de controles aprovados e reprovados de acordo com o padrão?

No painel principal, você vê um relatório de controles aprovados e reprovados para (1) os quatro padrões de conformidade mais baixos no painel. Para ver todo o status dos controles aprovados/reprovados, selecione (2) Mostrar todos os x (em que x é o número de padrões que você está acompanhando). Um painel de contexto exibe o status de conformidade de cada um dos seus padrões rastreados.

Seção de resumo do painel de conformidade regulatória.

Como fazer para baixar um relatório com os dados de conformidade em um formato que não seja o PDF?

Ao selecionar Baixar relatório, selecione o padrão e o formato (PDF ou CSV). O relatório resultante refletirá o conjunto atual de assinaturas que você selecionou no filtro do portal.

  • O relatório em PDF mostra um status de resumo do padrão selecionado
  • O relatório em CSV fornece resultados detalhados por recurso, pois ele se relaciona com as políticas associadas a cada controle

Atualmente, não há suporte para baixar um relatório para uma política personalizada; somente para os padrões regulatórios fornecidos.

Como fazer para criar exceções para algumas das políticas no painel de conformidade regulatória?

Para as políticas criadas no Defender para Nuvem e incluídas na classificação de segurança, você pode criar isenções para um ou mais recursos diretamente no portal, conforme explicado em Isenção de recursos e recomendações da classificação de segurança.

Para outras políticas, você pode criar uma isenção diretamente na própria política, seguindo as instruções em Estrutura de isenção do Azure Policy.

Em quais planos ou licenças do Microsoft Defender preciso usar o painel de conformidade regulatória?

Se você tiver um dos planos do Microsoft Defender habilitado em um dos recursos do Azure, poderá acessar o painel de conformidade regulatória do Defender para Nuvem e todos os respectivos dados.

Como corrigir uma avaliação manual?

Ao selecionar atestar, você terá a capacidade de demonstrar a conformidade com esse controle. Saiba como corrigir uma avaliação manual.

Próximas etapas

Neste tutorial, você aprendeu a usar o painel de conformidade regulatória do Defender para Nuvem para:

  • Exiba e monitore a sua postura de conformidade com relação aos padrões e aos regulamentos importantes para você.
  • Melhorar seu status de conformidade resolvendo recomendações relevantes e observando a melhoria da pontuação de conformidade.

O painel de conformidade regulatória pode simplificar muito o processo de conformidade e reduzir significativamente o tempo necessário para coletar evidências de conformidade para o ambiente do Azure, híbrido e de várias nuvens.

Para saber mais, confira estas páginas relacionadas: