Editar

Compartilhar via


Perguntas comuns: Perguntas gerais

O que é o Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem ajuda você a impedir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança dos seus recursos. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.

O Defender para Nuvem usa componentes de monitoramento para coletar e armazenar dados. Para mais detalhes, confira Coleta de dados no Microsoft Defender para Nuvem.

Como faço para obter o Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem é habilitado com sua assinatura do Microsoft Azure e pode ser acessado no portal do Azure. Para acessá-lo, entre no portal, selecione Procurar e role até Microsoft Defender para Nuvem.

Existe uma versão de avaliação do Defender para Nuvem?

O Defender para Nuvem é gratuito nos primeiros 30 dias. Qualquer uso além de 30 dias será cobrado automaticamente de acordo com o esquema de preços. Saiba mais. Observe que a verificação de malware do Defender para Armazenamento não está incluída gratuitamente na primeira avaliação de 30 dias e será cobrada desde o primeiro dia.

Quais recursos do Azure são monitorados pelo Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem monitora os seguintes recursos do Azure:

O Defender para Nuvem também protege recursos locais e recursos multinuvem, incluindo o Amazon Web Services (AWS) e o Google Cloud.

Como é possível ver o estado atual da segurança dos meus recursos multinuvem e locais do Azure?

A página Visão geral do Microsoft Defender para Nuvem mostra a postura de segurança geral do ambiente dividida em Computação, Rede, Armazenamento e dados e, por fim, Aplicativos. Cada tipo de recurso tem um indicador mostrando vulnerabilidades de segurança identificadas. Selecionar cada bloco exibe uma lista dos problemas de segurança identificados pelo Defender para Nuvem, junto com um inventário dos recursos em sua assinatura.

O que é uma iniciativa de segurança?

Uma iniciativa de segurança define o conjunto de controles (políticas) recomendados para os recursos na assinatura ou grupo de recursos especificado. No Microsoft Defender para Nuvem, você atribui iniciativas para as assinaturas do Azure, contas dos AWS e projetos GCP de acordo com os requisitos de segurança de sua empresa e os tipos de aplicativos ou a confidencialidade dos dados de cada assinatura.

As políticas de segurança habilitadas no Microsoft Defender para Nuvem orientam recomendações de segurança e monitoramento. Saiba mais em O que são políticas, iniciativas e recomendações de segurança?.

Quem pode modificar uma política de segurança?

Para modificar uma política de segurança, você precisa ser um Administrador de Segurança ou um Proprietário dessa assinatura.

Para saber como configurar uma política de segurança, confira Como configurar políticas de segurança no Microsoft Defender para Nuvem.

O que é são recomendações de segurança?

O Microsoft Defender para Nuvem analisa o estado de segurança dos seus recursos multinuvem e locais do Azure. Quando possíveis vulnerabilidades de segurança são identificadas, são criadas recomendações. As recomendações guiam você pelo processo de configuração do controle necessário. Os exemplos são:

  • Provisionamento de antimalware para ajudar a identificar e remover software mal-intencionado
  • Grupos de segurança de rede e regras para controlar o tráfego para máquinas virtuais
  • Provisionamento de um Firewall do Aplicativo Web para ajudar a proteger contra ataques direcionados aos seus aplicativos Web
  • Como implantar atualizações de sistema ausentes
  • Abordar configurações do sistema operacional que não coincidem com as linhas de base recomendadas

Somente as recomendações que são habilitadas nas Políticas de segurança são mostradas aqui.

O que dispara um alerta de segurança?

O Microsoft Defender para Nuvem automaticamente coleta, analisa e funde os dados de log de seus recursos multinuvem e locais do Azure, da rede e das soluções de parceiros como antimalwares e firewalls. Quando forem detectadas ameaças, é criado um alerta de segurança. Os exemplos abrangem a detecção de:

  • As máquinas virtuais comprometidas se comunicam com os endereços IP mal-intencionados conhecidos
  • Malware avançado detectado com o relatório de erros do Windows
  • Ataques por força bruta contra máquinas virtuais
  • Alertas de segurança das soluções de segurança de parceiro integradas, como antimalware ou Firewalls de aplicativo Web

Qual é a diferença entre ameaças detectadas e alertadas pelo Microsoft Security Response Center e pelo Microsoft Defender para Nuvem?

O MSRC (Microsoft Security Response Center) executa determinado monitoramento de segurança da rede e da infraestrutura do Azure e recebe reclamações de inteligência e abuso de ameaça de terceiros. Quando o MSRC fica ciente de que os dados do cliente foram acessados por uma pessoa não autorizada ou ilegal ou que o uso do cliente do Azure não está de acordo com os termos de Uso Aceitável, um gerente de incidentes de segurança notifica o cliente. Normalmente, a notificação ocorre com o envio de um email aos contatos de segurança especificados no Microsoft Defender para Nuvem ou ao proprietário da assinatura do Azure, caso um contato de segurança não seja especificado.

O Microsoft Defender para Nuvem é um serviço do Azure que monitora o ambiente do cliente do Azure continuamente e aplica a análise para detectar automaticamente uma ampla gama de atividades potencialmente mal-intencionadas. Essas detecções são exibidas como alertas de segurança no painel de proteção de cargas de trabalho.

Como posso controlar quem em minha organização habilitou um plano do Microsoft Defender no Defender para Nuvem?

As Assinaturas do Azure podem ter vários administradores com permissões para alterar as configurações de preços. Para descobrir qual usuário fez uma alteração, use o log de atividades do Azure.

Captura de tela de um log de atividades do Azure mostrando um evento de alteração de preço.

Se as informações do usuário não estiverem listadas na coluna Evento iniciado por, explore o JSON do evento para ver os detalhes relevantes.

Captura de tela de explorador do Log de atividades do Azure em formato JSON.

O que acontece quando uma recomendação está em várias iniciativas de política?

Às vezes, uma recomendação de segurança é exibida em mais de uma iniciativa de política. Caso tenha várias instâncias da mesma recomendação atribuída à mesma assinatura e criar uma isenção para a recomendação, ela afeta todas as iniciativas que você tem permissão para editar.

Se você tentar criar uma isenção para essa recomendação, verá uma das duas seguintes mensagens:

  • Se você tiver as permissões necessárias para editar as duas iniciativas, verá:

    Essa recomendação está incluída em várias iniciativas de política: [nomes de iniciativa separados por vírgula]. As isenções serão criadas em todas elas.

  • Se você não tiver permissões suficientes nas duas iniciativas, verá esta mensagem:

    Você tem permissões limitadas para aplicar a isenção em todas as iniciativas de política. As isenções serão criadas somente nas iniciativas com permissões suficientes.

Existem recomendações livres de isenção?

Essas recomendações geralmente disponíveis não são suportadas para isenção:

  • Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada da instância gerenciada do SQL
  • Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada do SQL Server
  • Deverão ser aplicados limites de memória e CPU ao contêiner
  • As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis
  • Os contêineres com elevação de privilégio deverão ser evitados
  • Os contêineres que compartilham namespaces de host confidenciais deverão ser evitados
  • Os contêineres deverão escutar somente em portas permitidas
  • A Política de Filtro IP Padrão deve ser Negar
  • Os problemas de configuração da EDR devem ser resolvidos em máquinas virtuais
  • A solução EDR deve ser instalada em Máquinas Virtuais
  • O monitoramento de integridade de arquivos deve estar habilitado nos computadores
  • Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres
  • Dispositivos IoT – Abrir portas no dispositivo
  • Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias
  • Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada
  • Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída
  • Intervalo de IP grande da regra do Filtro IP
  • Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos
  • As ações para substituir ou desabilitar o perfil do AppArmor de contêineres deverão ser restritas
  • Os contêineres com privilégios deverão ser evitados
  • Executar contêineres como usuário raiz deverá ser evitado
  • Os serviços deverão escutar somente em portas permitidas
  • Os servidores SQL devem ter um administrador do Microsoft Entra provisionado
  • Usar redes e portas do host deverá ser restrito
  • O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos

Já estamos usando a política de acesso condicional (CA) para aplicar a MFA. Por que ainda recebemos as recomendações do Defender para Nuvem?

Para investigar por que as recomendações ainda estão sendo geradas, verifique as seguintes opções de configuração na política de CA da MFA:

  • Você incluiu as contas na seção Usuários da política de AC da MFA (ou um dos grupos na seção Grupos)
  • A ID do aplicativo Gerenciamento do Azure (797f4846-ba00-4fd7-ba43-dac1f8f63013) ou todos os aplicativos estão incluídos na seção Apps da política de CA da MFA
  • A ID do aplicativo Gerenciamento do Azure não está excluída na seção Aplicativos da política de CA da MFA
  • A condição OR é usada apenas com MFA ou a condição AND é usada com o MFA
  • No momento, não há suporte para uma política de Acesso Condicional que implemente a MFA por meio de Forças de Autenticação na nossa avaliação.

Estamos usando uma ferramenta de MFA de terceiros para impor MFA. Por que ainda recebemos as recomendações do Defender para Nuvem?

As recomendações de MFA do Defender para Nuvem não dão suporte a ferramentas de MFA de terceiros (por exemplo, DUO).

Se as recomendações forem irrelevantes para sua organização, considere marcá-las como "atenuadas", conforme descrito em Isentando recursos e recomendações da pontuação segura. Você também pode desabilitar uma recomendação.

Por que o Defender para Nuvem mostra contas de usuário sem permissões na assinatura como "requer MFA"?

As recomendações de MFA do Defender para Nuvem referem-se às funções RBAC do Azure e à função Administradores de assinatura clássica do Azure. Verifique se nenhuma das contas tem essas funções.

Estamos impondo MFA com o PIM. Por que as contas do PIM são mostradas como sem conformidade?

As recomendações de MFA do Defender para Nuvem atualmente não dão suporte às contas de PIM. Você pode adicionar essas contas a uma política de AC na seção Usuários/Grupo.

Posso isentar ou ignorar algumas das contas?

A capacidade de isentar algumas contas que não usam MFA está disponível nas novas recomendações em versão prévia:

  • Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA
  • Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA
  • Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA

Para isentar as contas, siga estas etapas:

  1. Selecione uma recomendação de MFA associada a uma conta não íntegra.
  2. Na guia Contas, selecione uma conta a ser isenta.
  3. Selecione o botão três pontos e, em seguida, selecione Isentar conta.
  4. Selecione um escopo e um motivo de isenção.

Se você quiser ver quais contas estão isentas, navegue até Contas isentas para cada recomendação.

Dica

Quando você isenta uma conta, ela não é mostrada como não íntegra. Isso não faz com que uma assinatura pareça não íntegra.

Há alguma limitação às proteções de acesso e identidade do Defender para Nuvem?

Há algumas limitações às proteções de acesso e identidade do Defender para Nuvem:

  • As recomendações de identidade não estão disponíveis para assinaturas com mais de 6.000 contas. Nesses casos, esses tipos de assinaturas são listados na guia Não aplicável.
  • As recomendações de identidade não estão disponíveis para agentes administrativos do parceiro CSP (Provedor de Soluções de Nuvem).
  • As recomendações de identidade não identificam contas que são gerenciadas com um sistema de gerenciamento de identidade privilegiada (PIM). Se você estiver usando uma ferramenta PIM, poderá ver resultados imprecisos no controle Gerenciar acesso e permissões.
  • As recomendações de identidade não dão suporte às políticas de acesso condicional do Microsoft Entra com as funções do diretório incluídas em vez de usuários e grupos.

Quais sistemas operacionais para minhas instâncias EC2 são compatíveis?

Para obter uma lista de AMIs com o agente SSM pré-instalado, confira esta página nos documentos da AWS.

Para outros sistemas operacionais, o agente SSM deve ser instalado manualmente usando as seguintes instruções:

Para o plano do CSPM, quais permissões do IAM são necessárias para descobrir recursos do AWS?

As seguintes permissões do IAM são necessárias para descobrir recursos do AWS:

DataCollector Permissões do AWS
Gateway de API apigateway:GET
Dimensionamento Automático do Aplicativo application-autoscaling:Describe*
Dimensionamento automático autoscaling-plans:Describe*
autoscaling:Describe*
Gerenciador de certificados acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
Logs do CloudWatch logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Serviço de Configuração config:Describe*
config:List*
DMS – serviço de migração de banco de dados dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – balanceamento de carga elástico (v1/2) elasticloadbalancing:Describe*
Pesquisa elástica es:Describe*
es:List*
EMR – redução de mapa elástico elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
Firewall de rede network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 e S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Gerenciador de segredos secretsmanager:Describe*
secretsmanager:List*
SNS – serviço de notificação simples sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Há uma API para conectar meus recursos do GCP ao Defender para Nuvem?

Sim. Para criar, editar ou excluir conectores de nuvem do Defender para Nuvem com uma API REST, confira os detalhes da API de Conectores.

Quais regiões do GCP têm suporte do Defender para Nuvem?

O Defender para Nuvem dá suporte e examina todas as regiões disponíveis na nuvem pública do GCP.

A automação de fluxo de trabalho é compatível com qualquer cenário de BCDR (continuidade de negócios ou recuperação de desastre)?

Ao preparar seu ambiente para cenários BCDR, nos quais o recurso de destino está passando por uma interrupção ou outro desastre, é responsabilidade da organização evitar a perda de dados ao estabelecer backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do workspace do Log Analytics e dos Aplicativos Lógicos.

Para cada automação ativa, recomendamos que você crie uma automação idêntica (desabilitada) e armazene-a em um local diferente. Quando houver uma interrupção, você poderá habilitar essas automações de backup e manter as operações normais.

Saiba mais sobre a Continuidade dos negócios e a recuperação de desastres para os Aplicativos Lógicos do Azure.

Quais são os custos envolvidos na exportação de dados?

Não há custos para habilitar uma exportação contínua. Os custos podem ser incorridos para ingestão e retenção de dados no workspace do Log Analytics, dependendo da configuração.

Muitos alertas são fornecidos somente ao habilitar os planos do Defender para os recursos. Uma boa maneira de visualizar os alertas que você obtém em seus dados exportados é visualizar os alertas mostrados nas páginas do Defender para Nuvem no portal do Azure.

Saiba mais sobre o preço do workspace do Log Analytics.

Saiba mais sobre o preço dos Hubs de Eventos do Azure.

Para obter informações gerais sobre preços do Defender para Nuvem, veja a página de preços.

A exportação contínua inclui dados sobre o estado atual de todos os recursos?

Não. A exportação contínua é criada para fazer streaming de eventos:

  • Os alertas recebidos antes de habilitar a exportação não são exportados.
  • As recomendações são enviadas sempre que o estado de conformidade de um recurso é alterado. Por exemplo, quando um recurso muda de íntegro para não íntegro. Portanto, assim como os alertas, as recomendações para recursos que não mudaram de estado desde que você habilitou a exportação não serão exportadas.
  • A Pontuação segura por controle de segurança ou assinatura é enviada quando a pontuação de um controle de segurança for alterada em 0,01 ou mais.
  • O Status de conformidade regulatória é enviado quando o status de conformidade do recurso é alterado.

Por que as recomendações são enviadas em intervalos diferentes?

Diferentes recomendações têm diferentes intervalos de avaliação de conformidade, que podem variar de alguns minutos a alguns dias. Portanto, o tempo necessário para que as recomendações sejam exibidas nas exportações varia.

Como posso obter um exemplo de consulta para uma recomendação?

Para obter um exemplo de consulta para uma recomendação, abra a recomendação no Defender para Nuvem, selecione Abrir consulta e, em seguida, selecione Consulta retornando descobertas de segurança.

Captura de tela de como criar uma consulta de exemplo para recomendação.

A exportação contínua é compatível com qualquer cenário de BCDR (continuidade dos negócios e recuperação de desastres)?

A exportação contínua pode ser útil para se preparar para cenários de BCDR, em que o recurso de destino está enfrentando uma interrupção ou outro desastre. No entanto, a organização é responsável por evitar a perda de dados, estabelecendo backups de acordo com as diretrizes dos Hubs de Eventos do Azure, do workspace do Log Analytics e do Aplicativo Lógico.

Saiba mais em Hubs de Eventos do Azure – recuperação de desastre geográfico.

Posso atualizar programaticamente vários planos em uma assinatura única simultaneamente?

Não recomendamos atualizar programaticamente vários planos em uma única assinatura simultaneamente (por meio da API REST, modelos do ARM, scripts etc.). Ao usar a API Microsoft.Security/pricingsou qualquer outra solução programática, você deve inserir um atraso de 10 a 15 segundos entre cada solicitação.

Quando eu habilitar o acesso padrão, em quais situações preciso executar novamente o modelo de formação de nuvem, o script do Cloud Shell ou o modelo do Terraform?

As modificações nos planos do Defender para Nuvem ou suas opções, incluindo os recursos nesses planos, exigem a execução do modelo de implantação. Isso se aplica independentemente do tipo de permissão selecionado durante a criação do conector de segurança. Se as regiões tiverem sido alteradas, como nesta captura de tela, não será necessário executar novamente o modelo de formação de nuvem ou o script do Cloud Shell.

Captura de tela que mostra uma alteração na região.

Ao configurar tipos de permissão, o acesso a privilégios mínimos dá suporte a recursos disponíveis no momento em que o modelo ou script foi executado. Novos tipos de recurso só podem ser suportados executando novamente o modelo ou o script.

Captura de tela que mostra a seleção de tipos de permissão.

Se eu alterar a região ou o intervalo de verificação do conector da AWS, será necessário executar novamente o modelo CloudFormation ou o script do Cloud Shell?

Não, se a região ou o intervalo de verificação for alterado, não será necessário executar novamente o modelo CloudFormation ou o script do Cloud Shell. As alterações serão aplicadas automaticamente.