Compartilhar via


Visão geral do gerenciamento de postura de segurança de nuvem

Um dos principais recursos do Microsoft Defender para Nuvem é o CSPM (gerenciamento de postura de segurança de nuvem). O CSPM fornece visibilidade detalhada do estado de segurança de seus ativos e cargas de trabalho e oferece orientações para reforço a fim de ajudá-lo a melhorar sua postura de segurança.

O Defender para Nuvem avalia continuamente seus recursos em relação aos padrões de segurança definidos para suas assinaturas do Azure, contas do Amazon Web Service (AWS) e projetos do Google Cloud Platform (GCP). Com base nessas avaliações, O Defender para Nuvem emite recomendações de segurança.

Por padrão, quando você habilita o Defender para Nuvem em uma assinatura do Azure, o padrão de conformidade do MCSB (Microsoft Cloud Security Benchmark) é habilitado e fornece recomendações para proteger seus ambientes multinuvem. O Defender para Nuvem fornece uma pontuação de segurança agregada com base em algumas das recomendações do MCSB. Uma pontuação mais alta indica um nível de risco identificado menor.

Planos do CSPM

O Defender para Nuvem oferece duas opções de plano do CSPM:

  • CSPM básico – um plano gratuito habilitado por padrão para assinaturas e contas que integram o Defender para Nuvem.

  • Defender CSPM – Um plano pago que fornece recursos extras além do plano básico do CSPM. Esta versão do plano oferece recursos de postura de segurança mais avançados, como postura de segurança de IA, análise de caminho de ataque, priorização de risco e muito mais.

Disponibilidade do plano

Saiba mais sobre os preços do Defender CSPM.

A tabela a seguir resume cada plano e sua disponibilidade na nuvem.

Recurso GPSN fundamental GPSN do Defender Disponibilidade de nuvem
Recomendações de segurança Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory
Inventário de ativos Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory
Pontuação de segurança Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory
Visualização de dados e relatórios com as Pastas de Trabalho do Azure Azure, AWS, GCP, local
Exportação de dados Azure, AWS, GCP, local
Automação de fluxo de trabalho Azure, AWS, GCP, local
Ferramentas para correção Azure, AWS, GCP, local, Docker Hub, JFrog Artifactory
Microsoft Cloud Security Benchmark Azure, AWS, GCP
Gerenciamento da postura de segurança de IA - Azure, AWS
Verificação de vulnerabilidade de VM sem agente - Azure, AWS, GCP
Verificação de segredos de VM sem agente - Azure, AWS, GCP
análise do caminho de ataque - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Priorização de risco - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Busca de risco com o gerenciador de segurança - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Mapeamento de código para nuvem para contêineres - GitHub, Azure DevOps2 , Docker Hub, JFrog Artifactory
Mapeamento de código para nuvem para IaC - Azure DevOps2, Docker Hub, JFrog Artifactory
Anotações de PR - GitHub, Azure DevOps2
Análise de exposição à Internet - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Gerenciamento de superfície de ataque externo - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Avaliações de conformidade regulatória - Azure, AWS, GCP, , Docker Hub, JFrog Artifactory
Integração do ServiceNow - Azure, AWS, GCP
Proteção de ativos críticos - Azure, AWS, GCP
Governança para impulsionar a remediação em escala - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Gerenciamento da Postura de Segurança de Dados (DSPM), Verificação de Dados Confidenciais - Azure, AWS, GCP1
Descoberta sem agente para Kubernetes - Azure, AWS, GCP
Recomendações personalizadas - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Avaliação de vulnerabilidade de contêineres de código para nuvem sem agente - Azure, AWS, GCP, Docker Hub, JFrog Artifactory
Gerenciamento de postura de segurança da API (versão prévia) - Azul
Painel de segurança do Serviço de Kubernetes do Azure (versão prévia) - Azul

1: a descoberta de dados confidenciais do GCP dá suporte apenas ao Armazenamento em Nuvem. 2: Os recursos de segurança de DevOps, como a contextualização de código para nuvem que alimenta o explorador de segurança, os caminhos de ataque e as anotações de pull requests para descobertas de segurança de Infraestrutura como Código, só estão disponíveis quando você habilita o plano pago do Defender CSPM. Saiba mais sobre o suporte e os pré-requisitos de segurança do DevOps.

Integrações

O Microsoft Defender para Nuvem agora conta com integrações nativas para ajudar você a usar sistemas parceiros para gerenciar e acompanhar tíquetes, eventos e interações com clientes de forma integrada. Você pode enviar recomendações por push para uma ferramenta de tíquete de parceiro e atribuir responsabilidade a uma equipe para correção.

A integração simplifica o processo de resposta a incidentes e melhora sua capacidade de gerenciar incidentes de segurança. Você pode acompanhar, priorizar e resolver incidentes de segurança com mais eficiência.

Você pode escolher qual sistema de tíquetes deseja integrar. No momento, apenas a integração com o ServiceNow possui suporte durante a versão prévia. Para obter mais informações sobre como configurar a integração do ServiceNow, consulte Integrar o ServiceNow ao Microsoft Defender para Nuvem (versão prévia).

Preços do plano

  • Examine a página de preços do Defender para Nuvem para saber mais sobre os preços do Defender CSPM. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem.

  • Os recursos de postura de segurança do DevOps, como anotações de solicitação pull, mapeamento de código para nuvem, análise de caminho de ataque e gerenciador de segurança de nuvem, só estão disponíveis por meio do plano pago do Defender CSPM. O plano gratuito de gerenciamento de postura de segurança fundamental fornece recomendações do Azure DevOps. Saiba mais sobre os recursos fornecidos pelos recursos de segurança do Azure DevOps.

  • Para assinaturas que usam os planos do Defender CSPM e do Defender para Contêineres, a avaliação gratuita de vulnerabilidade é calculada com base em verificações de imagem gratuitas fornecidas por meio do plano defender para contêineres, conforme resumido na página de preços do Microsoft Defender para Nuvem. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem.

  • O GPSN do Defender protege todas as cargas de trabalho multinuvem, mas a cobrança incide somente sobre recursos específicos. As tabelas a seguir indicam os recursos que geram custos quando o GPSN do Defender é habilitado em assinaturas do Azure, contas AWS ou projetos GCP.

    Serviço do Azure Tipos de recurso Exclusões
    Computação Microsoft.Compute/virtualMachines
    Microsoft.Compute/virtualMachineScaleSets/virtualMachines
    Microsoft.ClassicCompute/virtualMachines
    – VMs desalocadas
    – VMs do Databricks
    Armazenamento Microsoft.Storage/storageAccounts Contas de armazenamento sem contêineres de blob ou compartilhamentos de arquivos
    DBs Microsoft.Sql/servers
    Microsoft.DBforPostgreSQL/flexibleServers
    Microsoft.DBforMySQL/flexibleServers
    Microsoft.DBforPostgreSQL/servers
    Microsoft.DBforMySQL/servers
    Microsoft.Sql/managedInstances
    Microsoft.DBforMariaDB/servers
    Microsoft.Synapse/workspaces
    ---
    Serviço AWS Tipos de recurso Exclusões
    Computação Instâncias EC2 VMs desalocadas
    Armazenamento Buckets S3 ---
    DBs Instâncias RDS ---
    Serviço GCP Tipos de recurso Exclusões
    Computação 1. Instâncias do Google Compute
    2. Grupo de instâncias do Google
    Instâncias com estados sem execução
    Armazenamento Buckets de Armazenamento – Buckets das classes: 'nearline', 'coldline', 'archive'
    – Buckets de regiões diferentes de: europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
    DBs Instâncias do Cloud SQL ---

Suporte para nuvens do Azure

Para cobertura de nuvens comerciais e nacionais, examine os recursos com suporte em ambientes de nuvem do Azure.

Próximas etapas