O que são políticas, iniciativas e recomendações de segurança?

O Microsoft Defender para Nuvem aplica iniciativas de segurança às suas assinaturas. Essas iniciativas contêm uma ou mais políticas de segurança. Cada uma dessas políticas resulta em uma recomendação de segurança para aprimorar sua postura de segurança. Esta página explica cada uma dessas ideias em detalhes.

O que é uma política de segurança?

Uma definição de Política do Azure, criada no Azure Policy, é uma regra sobre condições de segurança específicas que você deseja controlar. As definições internas incluem aspectos como controle dos tipos de recursos que podem ser implantados ou imposição do uso de marcas em todos os recursos. Você também pode criar sua definição de política personalizada.

Para implementar essas definições de política (sejam internas ou personalizadas), você precisará atribuí-las. Você pode atribuir qualquer uma dessas políticas usando o portal do Azure, o PowerShell ou a CLI do Azure. As políticas podem ser desabilitadas ou habilitadas a partir do Azure Policy.

Há diferentes tipos de políticas no Azure Policy. O Defender para Nuvem usa principalmente as políticas de 'Auditoria' que verificam condições e configurações específicas e relatam a conformidade. Também há políticas de 'Imposição' que podem ser usadas para aplicar configurações seguras.

O que é uma iniciativa de segurança?

Uma iniciativa de segurança é uma coleção de definições do Azure Policy ou de regras que são agrupadas para um objetivo ou uma meta específica. As iniciativas de segurança simplificam o gerenciamento das políticas agrupando um conjunto de políticas, logicamente, como um só item.

Uma iniciativa de segurança define a configuração desejada das suas cargas de trabalho e ajuda a garantir que você esteja em conformidade com os requisitos de segurança da sua empresa ou das agências reguladoras.

Assim como as políticas de segurança, as iniciativas do Defender para Nuvem também são criadas no Azure Policy. Use o Azure Policy para gerenciar suas políticas, criar iniciativas e atribuir iniciativas a várias assinaturas ou a grupos de gerenciamento inteiros.

A iniciativa padrão atribuída automaticamente a todas as assinaturas no Microsoft Defender para Nuvem é o Azure Security Benchmark. Esse parâmetro de comparação é um conjunto de diretrizes específico do Azure e criado pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem. Saiba mais sobre o Azure Security Benchmark.

O Defender para Nuvem oferece as seguintes opções para trabalhar com políticas e iniciativas de segurança:

  • Exibir e editar a iniciativa padrão interna: quando você habilita o Defender para Nuvem, a iniciativa chamada 'Azure Security Benchmark' é atribuída automaticamente a todas as assinaturas registradas no Defender para Nuvem. Para personalizar essa iniciativa, habilite ou desabilite políticas individuais dentro dela editando os parâmetros de uma política. Confira a lista de políticas de segurança internas para entender as opções disponíveis prontas para uso.

  • Adicionar iniciativas personalizadas próprias: se desejar personalizar as iniciativas de segurança aplicadas à sua assinatura, faça isso no Defender para Nuvem. Em seguida, você receberá recomendações se os seus computadores não seguirem as políticas que você criar. Para obter instruções sobre como criar e atribuir políticas personalizadas, confira Como usar políticas e iniciativas de segurança personalizadas.

  • Adicionar padrões de conformidade regulatória como iniciativas: o painel de conformidade regulatória do Defender para Nuvem mostra o status de todas as avaliações no seu ambiente no contexto de um padrão ou um regulamento específico (como o Azure CIS, o NIST SP 800-53 R4 e o Swift CSP CSCF-v2020). Para obter mais informações, confira Aprimorar sua conformidade regulatória.

O que é são recomendações de segurança?

Usando as políticas, o Defender para Nuvem analisa periodicamente o status de conformidade dos seus recursos para identificar possíveis pontos fracos e configurações incorretas de segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades. As recomendações são o resultado da avaliação dos seus recursos em relação às políticas relevantes e à identificação dos recursos que não atendem aos requisitos definidos.

O Defender para Nuvem faz recomendações de segurança com base nas iniciativas que você escolher. Quando uma política da sua iniciativa é comparada com os seus recursos e descobre que um ou mais deles não está em conformidade, isso é apresentado como uma recomendação no Defender para Nuvem.

As recomendações são ações a serem executadas para proteger os recursos. Cada recomendação fornece as seguintes informações:

  • Uma descrição breve do problema
  • As etapas de correção a serem executadas para implementar a recomendação
  • Os recursos afetados

Na prática, isso funciona da seguinte maneira:

  1. O Azure Security Benchmark é uma iniciativa que contém requisitos.

    Por exemplo, as contas do Armazenamento do Microsoft Azure têm que restringir o acesso à rede para reduzir a superfície de ataque.

  2. A iniciativa inclui várias políticas, cada uma com um requisito de um tipo de recurso específico. Essas políticas impõem os requisitos na iniciativa.

    Para continuar o exemplo, o requisito de armazenamento é imposto com a política "As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual".

  3. O Microsoft Defender para Nuvem avalia continuamente as suas assinaturas conectadas. Se encontrar um recurso que não atenda a uma política, ele exibirá uma recomendação para corrigir essa situação e protegerá a segurança dos recursos que não atendem aos seus requisitos de segurança.

    Assim, por exemplo, se uma conta do Armazenamento do Azure em qualquer uma de suas assinaturas protegidas não estiver protegida com regras de rede virtual, você verá a recomendação para proteger esses recursos.

Portanto, (1) uma iniciativa inclui (2) políticas que geram (3) recomendações específicas de um ambiente.

Detalhes da recomendação de segurança

As recomendações de segurança contêm detalhes que ajudam você a entender seu significado e como lidar com isso.

Captura de tela da página de detalhes da recomendação com rótulos para cada elemento.

Os detalhes da recomendação mostrados são:

  1. Para obter recomendações com suporte, a barra de ferramentas superior mostra um dos ou todos os botões a seguir:

    • Impor e Negar (confira Impedir configurações incorretas com as recomendações de Impor/Negar).
    • Veja a definição de política para acessar diretamente a entrada do Azure Policy referente à política subjacente.
    • Abrir consulta – Todas as recomendações têm a opção de exibir informações detalhadas sobre os recursos afetados usando o Explorer do Azure Resource Graph.
  2. Indicador de severidade

  3. Intervalo de atualização

  4. Contagem de recursos isentos Se houver isenções para uma recomendação, mostrará o número de recursos isentos com um link para exibir os recursos específicos.

  5. Mapeamento para técnicas e táticas do MITRE ATT&CK ® Se uma recomendação tiver definido táticas e técnicas, selecione o ícone para obter links para as páginas relevantes no site do MITRE. Isso se aplica somente às recomendações pontuadas do Azure.

    Captura de tela do mapeamento de táticas do MITRE para uma recomendação.

  6. Descrição ─ Uma breve descrição do problema de segurança.

  7. Quando relevante, a página de detalhes também inclui uma tabela de recomendações relacionadas:

    Os tipos de relacionamento são:

    • Pré-requisito – Uma recomendação que precisa ser concluída antes da recomendação selecionada
    • Alternativa – Uma recomendação diferente que oferece outra maneira de atingir as metas da recomendação selecionada
    • Dependente – Uma recomendação da qual a recomendação selecionada é um pré-requisito

    Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".

    Dica

    Se uma recomendação relacionada estiver em cinza, a respectiva dependência ainda não estará concluída e, portanto, não estará disponível.

  8. Etapas de correção - Uma descrição das etapas manuais necessárias para corrigir o problema de segurança nos recursos afetados. Para obter recomendações com a opção Correção, você pode selecionar Exibir lógica de correção antes de aplicar a correção sugerida aos seus recursos.

  9. Recursos afetados - Seus recursos são agrupados em guias:

    • Recursos íntegros – Recursos relevantes que não são afetados ou cujo problema já foi corrigido.
    • Recursos não íntegros – Recursos que ainda estão afetados pelo problema identificado.
    • Recursos não aplicáveis – Recursos para os quais a recomendação não pode dar uma resposta definitiva. A guia não aplicável também inclui os motivos para cada recurso.

    Captura de tela de recursos para os quais a recomendação não pode dar uma resposta definitiva.

  10. Botões de ação para remediar a recomendação ou disparar um aplicativo lógico.

Como exibir a relação entre uma recomendação e uma política

Conforme mencionado acima, as recomendações internas do Defender para Nuvem são baseadas no Azure Security Benchmark. Quase todas as recomendações têm uma política subjacente que é derivada de um requisito do parâmetro de comparação.

Quando você estiver examinando os detalhes de uma recomendação, muitas vezes, será útil poder ver a política subjacente. Para cada recomendação apoiada por uma política, use o link Exibir definição de política da página de detalhes da recomendação para acessar diretamente a entrada no Azure Policy da política relevante:

Link para a página do Azure Policy de uma política específica que dá suporte a uma recomendação.

Use esse link para ver a definição de política e examinar a lógica de avaliação.

Se você estiver examinando a lista de recomendações no nosso Guia de referência de recomendações de segurança, também verá links para as páginas de definição da política:

Como acessar a página do Azure Policy de uma política específica diretamente na página de referência de recomendações do Microsoft Defender para Nuvem.

Próximas etapas

Esta página explicou, em um alto nível, os conceitos básicos e as relações entre políticas, iniciativas e recomendações. Para obter informações relacionadas. consulte: