Corrigir recomendações de configuração de convidado

Observação

Como o agente do Log Analytics (também conhecido como MMA) está definido para ser desativado em novembro de 2024, todos os recursos do Defender para servidores que atualmente dependem dele, incluindo os descritos nesta página, estarão disponíveis por meio do Microsoft Defender para ponto de extremidade ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro de cada recurso que atualmente depende do Agente do Log Analytics, consulte este comunicado.

O Defender para Nuvem avalia a configuração incorreta de linhas de base das máquinas virtuais (VMs) conectadas à sua assinatura. A avaliação avalia suas VMs em relação a linhas de base de segurança predefinidas, identificando quaisquer desvios ou configurações incorretas que possam representar riscos potenciais. Ao alinhar suas VMs com as melhores práticas de segurança e políticas organizacionais, você pode manter um ambiente de computação robusto e seguro.

As informações do computador são coletadas por meio da configuração de convidado do Azure Policy e a avaliação é baseada em parâmetros de comparação da Microsoft que abrangem vários parâmetros de comparação e regulamentos de conformidade. Por exemplo, CIS, STIG e mais. A configuração de convidado do Azure Policy habilita as seguintes políticas em sua assinatura:

• Linha de base de configuração de convidado do Azure Policy para Windows

• Linha de base da configuração de convidado do Azure Policy para Linux

Observação

Se você remover essas políticas, não será possível acessar os benefícios da extensão de configuração de convidado do Azure Policy.

Pré-requisitos

• Habilitar o Defender para servidores plano 2 em sua assinatura.

• Examine a Página de preços do Defender para Nuvem para saber mais sobre as informações de preços do Plano 2 do Defender para servidores.

Importante

Lembre-se de que os recursos adicionais fornecidos pela configuração de convidado do Azure Policy que existem fora do portal do Defender para Nuvem não estão incluídos no Defender para Nuvem e estão sujeitos às políticas de preços de configurações de convidado do Azure Policy. Por exemplo, correção e políticas personalizadas. Para obter mais informações, confira a Página de preços de configuração de convidados do Azure Policy.

• Examine a matriz de suporte da configuração de convidado do Azure Policy.

• Instale a configuração de convidado do Azure Policy em seus computadores:

  • Computadores do Azure: no portal do Defender para Nuvem, na página de recomendações, pesquise e selecione A extensão configuração de convidado deve ser instalada nos computadores e corrija a recomendação.

  • Somente VMs do Azure você deve atribuir uma identidade gerenciada no portal do Defender para Nuvem. Navegue até a página de recomendações. Pesquise e selecione a extensão de Configuração de Convidado dos computadores virtuais que deve ser implantada com a identidade gerenciada atribuída ao sistema. Em seguida, corrija a recomendação.

  • (Opcional) Somente VMs do Azure: habilite a Configuração de Convidado do Azure Policy em toda a sua assinatura.

  • Habilite a extensão de Configuração de Convidado do Azure Policy em seus computadores do Azure em toda a sua assinatura:

    1. Entre no portal do Azure.

    2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

    3. Navegue até as Configurações de ambiente>Sua assinatura>Configurações e monitoramento.

       

    4. Alterne o agente de Configuração de convidado (versão prévia) para Ativado.

       

    5. Selecione Continuar.

  • GCP e AWS: a configuração de convidado do Azure Policy é instalada automaticamente quando você Conecta o seu projeto do GCP ou Conecta suas contas do AWS com o provisionamento automático do Azure Arc habilitado, para o Defender para Nuvem.

  • Computadores locais: a configuração de convidado do Azure Policy é habilitada por padrão quando você integra computadores locais como computadores habilitados para Azure Arc ou VMs.

Revisar e corrigir as recomendações de configuração de convidado

Depois que a configuração de convidado do Azure Policy for integrada à sua assinatura, o Defender para Nuvem começará a avaliar suas VMs em relação às linhas de base de segurança. Com base em seus ambientes, se forem encontradas configurações incorretas, as seguintes recomendações poderão aparecer na página de recomendações:

• É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Windows (com auxílio da Configuração de Convidado)
• É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado)

Para revisar e corrigir estes:

1. Entre no portal do Azure.

2. Navegue até Defender para Nuvem> Recomendações**.

3. Pesquise e selecione uma das recomendações.

4. Revise a recomendação.

5. Corrija a recomendação.

Observação

Durante o processo de substituição do agente do Log Analytics, também conhecido como o Microsoft Monitoring Agent (MMA), você pode receber recomendações duplicadas para a mesma máquina. Isso se deve ao fato de que o MMA e a configuração de convidado do Azure Policy estão avaliando a mesma máquina. Para evitar isso, você pode desabilitar o MMA na máquina.

Recomendações de consulta com a API

O Defender para Nuvem usa o Azure Resource Graph para API e consultas do portal para consultar informações de recomendação. Você pode utilizar esses recursos para criar suas próprias consultas para recuperar informações.

Você pode aprender como revisar recomendações no Azure Resource Graph.

Aqui estão dois exemplos de consultas que você pode usar:

• Consultar todas as regras de não íntegro para um recurso específico

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Todas as regras de não íntegro e o valor se houver computadores não íntegros para cada

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

Você pode aprender a criar consultas mais detalhadas aprendendo mais sobre a linguagem de consulta do Azure Resource Graph.

Observação

Durante o processo de substituição do agente do Log Analytics, também conhecido como o Microsoft Monitoring Agent (MMA), você pode receber recomendações duplicadas para a mesma máquina. Isso se deve ao fato de que o MMA e a configuração de convidado do Azure Policy estão avaliando a mesma máquina. Para evitar isso, você pode desabilitar o MMA na máquina.

Próxima etapa

Examinar as recomendações de fortalecimento da proteção do host do Docker