Perguntas comuns: Perguntas gerais

O Microsoft Defender para Nuvem ajuda você a impedir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança dos seus recursos. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.

O Defender para Nuvem usa componentes de monitoramento para coletar e armazenar dados. Para mais detalhes, confira Coleta de dados no Microsoft Defender para Nuvem.

O Microsoft Defender para Nuvem é habilitado com sua assinatura do Microsoft Azure e pode ser acessado no portal do Azure. Para acessá-lo, entre no portal, selecione Procurar e role até Microsoft Defender para Nuvem.

O Defender para Nuvem é gratuito nos primeiros 30 dias. Qualquer uso além de 30 dias será cobrado automaticamente de acordo com o esquema de preços. Saiba mais. Observe que a verificação de malware do Defender para Armazenamento não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada desde o primeiro dia.

O Microsoft Defender para Nuvem monitora os seguintes recursos do Azure:

• VMs (máquinas virtuais) (incluindo os Serviços de Nuvem)
• Conjuntos de Dimensionamento de Máquinas Virtuais
• Os vários serviços de PaaS do Azure listados na visão geral do produto

O Defender para Nuvem também protege recursos locais e recursos multinuvem, incluindo o Amazon Web Services (AWS) e o Google Cloud.

A página Visão geral do Microsoft Defender para Nuvem mostra a postura de segurança geral do ambiente dividida em Computação, Rede, Armazenamento e dados e, por fim, Aplicativos. Cada tipo de recurso tem um indicador mostrando vulnerabilidades de segurança identificadas. Selecionar cada bloco exibe uma lista dos problemas de segurança identificados pelo Defender para Nuvem, junto com um inventário dos recursos em sua assinatura.

Uma iniciativa de segurança define o conjunto de controles (políticas) recomendados para os recursos na assinatura ou grupo de recursos especificado. No Microsoft Defender para Nuvem, você atribui iniciativas para as assinaturas do Azure, contas dos AWS e projetos GCP de acordo com os requisitos de segurança de sua empresa e os tipos de aplicativos ou a confidencialidade dos dados de cada assinatura.

As políticas de segurança habilitadas no Microsoft Defender para Nuvem orientam recomendações de segurança e monitoramento. Saiba mais em O que são políticas, iniciativas e recomendações de segurança?.

Para modificar uma política de segurança, você precisa ser um Administrador de Segurança ou um Proprietário dessa assinatura.

Para saber como configurar uma política de segurança, confira Como configurar políticas de segurança no Microsoft Defender para Nuvem.

O Microsoft Defender para Nuvem analisa o estado de segurança dos seus recursos multinuvem e locais do Azure. Quando possíveis vulnerabilidades de segurança são identificadas, são criadas recomendações. As recomendações guiam você pelo processo de configuração do controle necessário. Os exemplos são:

• Provisionamento de antimalware para ajudar a identificar e remover software mal-intencionado
• Grupos de segurança de rede e regras para controlar o tráfego para máquinas virtuais
• Provisionamento de um Firewall do Aplicativo Web para ajudar a proteger contra ataques direcionados aos seus aplicativos Web
• Como implantar atualizações de sistema ausentes
• Abordar configurações do sistema operacional que não coincidem com as linhas de base recomendadas

Somente as recomendações que são habilitadas nas Políticas de segurança são mostradas aqui.

O Microsoft Defender para Nuvem automaticamente coleta, analisa e funde os dados de log de seus recursos multinuvem e locais do Azure, da rede e das soluções de parceiros como antimalwares e firewalls. Quando forem detectadas ameaças, é criado um alerta de segurança. Os exemplos abrangem a detecção de:

• As máquinas virtuais comprometidas se comunicam com os endereços IP mal-intencionados conhecidos
• Malware avançado detectado com o relatório de erros do Windows
• Ataques por força bruta contra máquinas virtuais
• Alertas de segurança das soluções de segurança de parceiro integradas, como antimalware ou Firewalls de aplicativo Web

O MSRC (Microsoft Security Response Center) executa determinado monitoramento de segurança da rede e da infraestrutura do Azure e recebe reclamações de inteligência e abuso de ameaça de terceiros. Quando o MSRC fica ciente de que os dados do cliente foram acessados por uma pessoa não autorizada ou ilegal ou que o uso do cliente do Azure não está de acordo com os termos de Uso Aceitável, um gerente de incidentes de segurança notifica o cliente. Normalmente, a notificação ocorre com o envio de um email aos contatos de segurança especificados no Microsoft Defender para Nuvem ou ao proprietário da assinatura do Azure, caso um contato de segurança não seja especificado.

O Microsoft Defender para Nuvem é um serviço do Azure que monitora o ambiente do cliente do Azure continuamente e aplica a análise para detectar automaticamente uma ampla gama de atividades potencialmente mal-intencionadas. Essas detecções são exibidas como alertas de segurança no painel de proteção de cargas de trabalho.

As Assinaturas do Azure podem ter vários administradores com permissões para alterar as configurações de preços. Para descobrir qual usuário fez uma alteração, use o log de atividades do Azure.

Se as informações do usuário não estiverem listadas na coluna Evento iniciado por, explore o JSON do evento para ver os detalhes relevantes.

Às vezes, uma recomendação de segurança é exibida em mais de uma iniciativa de política. Caso tenha várias instâncias da mesma recomendação atribuída à mesma assinatura e criar uma isenção para a recomendação, ela afeta todas as iniciativas que você tem permissão para editar.

Se você tentar criar uma isenção para essa recomendação, verá uma das duas seguintes mensagens:

• Se você tiver as permissões necessárias para editar as duas iniciativas, verá:

  Essa recomendação está incluída em várias iniciativas de política: [nomes de iniciativa separados por vírgula]. As isenções serão criadas em todas elas.

• Se você não tiver permissões suficientes nas duas iniciativas, verá esta mensagem:

  Você tem permissões limitadas para aplicar a isenção em todas as iniciativas de política. As isenções serão criadas somente nas iniciativas com permissões suficientes.

Essas recomendações geralmente disponíveis não são suportadas para isenção:

• Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada da instância gerenciada do SQL
• Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada do SQL Server
• Deverão ser aplicados limites de memória e CPU ao contêiner
• As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis
• Os contêineres com elevação de privilégio deverão ser evitados
• Os contêineres que compartilham namespaces de host confidenciais deverão ser evitados
• Os contêineres deverão escutar somente em portas permitidas
• A Política de Filtro IP Padrão deve ser Negar
• Os problemas de configuração da EDR devem ser resolvidos em máquinas virtuais
• A solução EDR deve ser instalada em Máquinas Virtuais
• O monitoramento de integridade de arquivos deve estar habilitado nos computadores
• Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres
• Dispositivos IoT – Abrir portas no dispositivo
• Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias
• Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada
• Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída
• Intervalo de IP grande da regra do Filtro IP
• Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos
• As ações para substituir ou desabilitar o perfil do AppArmor de contêineres deverão ser restritas
• Os contêineres com privilégios deverão ser evitados
• Executar contêineres como usuário raiz deverá ser evitado
• Os serviços deverão escutar somente em portas permitidas
• Os servidores SQL devem ter um administrador do Microsoft Entra provisionado
• Usar redes e portas do host deverá ser restrito
• O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos

Para investigar por que as recomendações ainda estão sendo geradas, verifique as seguintes opções de configuração na política de CA da MFA:

• Você incluiu as contas na seção Usuários da política de AC da MFA (ou um dos grupos na seção Grupos)
• A ID do aplicativo Gerenciamento do Azure (797f4846-ba00-4fd7-ba43-dac1f8f63013) ou todos os aplicativos estão incluídos na seção Apps da política de CA da MFA
• A ID do aplicativo Gerenciamento do Azure não está excluída na seção Aplicativos da política de CA da MFA
• A condição OR é usada apenas com MFA ou a condição AND é usada com o MFA
• No momento, não há suporte para uma política de Acesso Condicional que implemente a MFA por meio de Forças de Autenticação na nossa avaliação.

As recomendações de MFA do Defender para Nuvem não dão suporte a ferramentas de MFA de terceiros (por exemplo, DUO).

Se as recomendações forem irrelevantes para sua organização, considere marcá-las como "atenuadas", conforme descrito em Isentando recursos e recomendações da pontuação segura. Você também pode desabilitar uma recomendação.

As recomendações de MFA do Defender para Nuvem referem-se às funções RBAC do Azure e à função Administradores de assinatura clássica do Azure. Verifique se nenhuma das contas tem essas funções.

As recomendações de MFA do Defender para Nuvem atualmente não dão suporte às contas de PIM. Você pode adicionar essas contas a uma política de AC na seção Usuários/Grupo.

A capacidade de isentar algumas contas que não usam MFA está disponível nas novas recomendações em versão prévia:

• Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA
• Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA
• Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA

Para isentar as contas, siga estas etapas:

1. Selecione uma recomendação de MFA associada a uma conta não íntegra.
2. Na guia Contas, selecione uma conta a ser isenta.
3. Selecione o botão três pontos e, em seguida, selecione Isentar conta.
4. Selecione um escopo e um motivo de isenção.

Se você quiser ver quais contas estão isentas, navegue até Contas isentas para cada recomendação.

Há algumas limitações às proteções de acesso e identidade do Defender para Nuvem:

• As recomendações de identidade não estão disponíveis para assinaturas com mais de 6.000 contas. Nesses casos, esses tipos de assinaturas são listados na guia Não aplicável.
• As recomendações de identidade não estão disponíveis para agentes administrativos do parceiro CSP (Provedor de Soluções de Nuvem).
• As recomendações de identidade não identificam contas que são gerenciadas com um sistema de gerenciamento de identidade privilegiada (PIM). Se você estiver usando uma ferramenta PIM, poderá ver resultados imprecisos no controle Gerenciar acesso e permissões.
• As recomendações de identidade não dão suporte às políticas de acesso condicional do Microsoft Entra com as funções do diretório incluídas em vez de usuários e grupos.

Para obter uma lista de AMIs com o agente SSM pré-instalado, confira esta página nos documentos da AWS.

Para outros sistemas operacionais, o agente SSM deve ser instalado manualmente usando as seguintes instruções:

• Instalar o agente SSM para um ambiente híbrido (Windows)
• Instalar o agente SSM para um ambiente híbrido (Linux)

As seguintes permissões do IAM são necessárias para descobrir recursos do AWS:

Sim. Para criar, editar ou excluir conectores de nuvem do Defender para Nuvem com uma API REST, confira os detalhes da API de Conectores.

O Defender para Nuvem dá suporte e examina todas as regiões disponíveis na nuvem pública do GCP.

Ao preparar seu ambiente para cenários BCDR, nos quais o recurso de destino está passando por uma interrupção ou outro desastre, é responsabilidade da organização evitar a perda de dados ao estabelecer backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do workspace do Log Analytics e dos Aplicativos Lógicos.

Para cada automação ativa, recomendamos que você crie uma automação idêntica (desabilitada) e armazene-a em um local diferente. Quando houver uma interrupção, você poderá habilitar essas automações de backup e manter as operações normais.

Saiba mais sobre a Continuidade dos negócios e a recuperação de desastres para os Aplicativos Lógicos do Azure.

Não há custos para habilitar uma exportação contínua. Os custos podem ser incorridos para ingestão e retenção de dados no workspace do Log Analytics, dependendo da configuração.

Muitos alertas são fornecidos somente ao habilitar os planos do Defender para os recursos. Uma boa maneira de visualizar os alertas que você obtém em seus dados exportados é visualizar os alertas mostrados nas páginas do Defender para Nuvem no portal do Azure.

Saiba mais sobre o preço do workspace do Log Analytics.

Saiba mais sobre o preço dos Hubs de Eventos do Azure.

Para obter informações gerais sobre preços do Defender para Nuvem, veja a página de preços.

Não. A exportação contínua é criada para fazer streaming de eventos:

• Os alertas recebidos antes de habilitar a exportação não são exportados.
• As recomendações são enviadas sempre que o estado de conformidade de um recurso é alterado. Por exemplo, quando um recurso muda de íntegro para não íntegro. Portanto, assim como os alertas, as recomendações para recursos que não mudaram de estado desde que você habilitou a exportação não serão exportadas.
• A Pontuação segura por controle de segurança ou assinatura é enviada quando a pontuação de um controle de segurança for alterada em 0,01 ou mais.
• O Status de conformidade regulatória é enviado quando o status de conformidade do recurso é alterado.

Diferentes recomendações têm diferentes intervalos de avaliação de conformidade, que podem variar de alguns minutos a alguns dias. Portanto, o tempo necessário para que as recomendações sejam exibidas nas exportações varia.

Para obter um exemplo de consulta para uma recomendação, abra a recomendação no Defender para Nuvem, selecione Abrir consulta e, em seguida, selecione Consulta retornando descobertas de segurança.

A exportação contínua pode ser útil para se preparar para cenários de BCDR, em que o recurso de destino está enfrentando uma interrupção ou outro desastre. No entanto, a organização é responsável por evitar a perda de dados, estabelecendo backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do workspace do Log Analytics e do Aplicativo Lógico.

Saiba mais em Hubs de Eventos do Azure – recuperação de desastre geográfico.

Não recomendamos atualizar programaticamente vários planos em uma única assinatura simultaneamente (por meio da API REST, modelos do ARM, scripts etc.). Ao usar a API Microsoft.Security/pricingsou qualquer outra solução programática, você deve inserir um atraso de 10 a 15 segundos entre cada solicitação.

Próximas etapas

Saiba mais sobre as novidades do Defender para Nuvem