Camada de arquivos para novidades no Defender para Nuvem?

A página principal de notas sobre a versão de Novidades no Defender para Nuvem contém atualizações dos últimos seis meses, enquanto essa página contém itens mais antigos.

Esta página apresenta informações sobre:

  • Novos recursos
  • Correções de bug
  • Funcionalidades preteridas

Maio de 2022

As atualizações de maio incluem:

As configurações multinuvem do plano para Servidores agora estão disponíveis no nível do conector

Agora há configurações em nível de conector para o Defender para Servidores multinuvem.

As novas configurações em nível de conector fornecem granularidade para preços e configuração de provisionamento automático por conector, independentemente da assinatura.

Todos os componentes de provisionamento automático disponíveis em nível de conector (Azure Arc, MDPE e avaliações de vulnerabilidade) são habilitados por padrão, e a nova configuração dá suporte aos tipos de preço Plano 1 e Plano 2.

As atualizações na interface do usuário incluem um reflexo do tipo de preço selecionado e dos componentes necessários configurados.

Captura de tela da página do plano principal com as configurações de multicloud do plano do servidor.

Captura de tela da página de provisionamento automático com o conector multicloud habilitado.

Alterações na avaliação de vulnerabilidade

Agora, o Defender para Contêineres mostra vulnerabilidades com gravidade de nível médio e baixo que não permitem a aplicação de patches.

Como parte dessa atualização, as vulnerabilidades que tenham gravidades médias e baixas agora são mostradas mesmo que não existam patches disponíveis. Essa atualização fornece visibilidade máxima, mas ainda permite que você filtre vulnerabilidades indesejadas usando a regra Desabilitar fornecida.

Captura de tela da opção Desabilitar regra.

Saiba mais sobre o gerenciamento de vulnerabilidades

O acesso JIT (just-in-time) para VMs agora está disponível para instâncias EC2 do AWS (versão prévia)

Quando você conecta contas do AWS, o JIT avaliará automaticamente a configuração de rede dos grupos de segurança da instância e recomendará quais instâncias precisam de proteção para suas portas de gerenciamento expostas. Isso é semelhante a como o JIT funciona com o Azure. Quando você integra instâncias EC2 desprotegidas, o JIT bloqueará o acesso público às portas de gerenciamento e só as abrirá com solicitações autorizadas por um período limitado.

Saiba como o JIT protege suas instâncias EC2 do AWS

Adicionar e remover o perfil do Defender para clusters AKS usando a CLI

O perfil do Defender (versão prévia) é necessário para que o Defender para Contêineres forneça as proteções de runtime e colete sinais dos nós. Agora você pode usar a CLI do Azure para adicionar e remover o perfil do Defender para um cluster do AKS.

Observação

Essa opção está incluída na CLI do Azure 3.7 e superior.

Abril de 2022

As atualizações de abril incluem:

Novos planos do Defender para servidores

O Microsoft Defender para Servidores agora é oferecido em dois planos incrementais:

  • Plano 2 do Defender para Servidores, antigo Defender para Servidores
  • Plano 1 do Defender para Servidores, dá suporte apenas ao Microsoft Defender para Ponto de Extremidade

Enquanto o Plano 2 do Defender para Servidores continua a fornecer proteções contra ameaças e vulnerabilidades às cargas de trabalho locais e na nuvem, o Plano 1 do Defender para Servidores oferece somente proteção de ponto de extremidade por meio do Defender para Ponto de Extremidade integrado nativamente. Leia mais sobre os planos do Defender para servidores.

Se você estiver usando o Defender para Servidores até agora, nenhuma ação será necessária.

Além disso, Defender para Nuvem também inicia compatibilidade gradual para o agente unificado do Defender para Ponto de Extremidade para Windows Server 2012 R2 e 2016. O Plano 1 do Defender para Servidores implanta o novo agente unificado em cargas de trabalho de Windows Server 2012 R2 e 2016.

Realocação de recomendações personalizadas

Recomendações personalizadas são aquelas criadas por usuários e que não afetam a classificação de segurança. As recomendações personalizadas agora podem ser encontradas na guia “Todas as recomendações”.

Use o novo filtro "tipo de recomendação" para localizar recomendações personalizadas.

Saiba mais em Criar iniciativas e políticas de segurança personalizadas.

Script do PowerShell para transmitir alertas para o Splunk e o IBM QRadar

Recomendamos usar o Hubs de Eventos e um conector interno para exportar alertas de segurança para Splunk e IBM QRadar. Agora você pode usar um script do PowerShell para configurar os recursos do Azure necessários para exportar alertas de segurança para sua assinatura ou locatário.

Basta baixar e executar o script do PowerShell. Depois que você fornece algumas informações do seu ambiente, o script configura os recursos. Em seguida, o script produz a saída que você usa na plataforma SIEM para concluir a integração.

Para saber mais, confira os alertas do Stream para Splunk e QRadar.

Preterido a recomendação de Cache do Azure para Redis

A recomendação Azure Cache for Redis should reside within a virtual network (pré-visualização) foi preterida. Alteramos nossas diretrizes para proteger as instâncias do Cache do Azure para Redis. Recomendamos o uso de um ponto de extremidade privado para restringir o acesso à sua instância de Cache do Azure para Redis, em vez de uma rede virtual.

Nova variante de alerta do Microsoft Defender para Armazenamento (versão prévia) para detectar a exposição de dados confidenciais

Os alertas do Microsoft Defender para Armazenamento notificam quando há tentativas de verificar e expor, com êxito ou não, contêineres de armazenamento abertos publicamente e mal configurados para tentar filtrar informações confidenciais.

Para permitir um tempo menor de triagem e resposta, quando houver possibilidade de ocorrência de filtração de dados potencialmente confidenciais, lançamos uma nova variação para o alerta Publicly accessible storage containers have been exposed existente.

O novo alerta, Publicly accessible storage containers with potentially sensitive data have been exposed, é disparado com um nível de gravidade High, depois de ter havido uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente com nomes que, estatisticamente, raramente foram expostos publicamente, sugerindo que eles poderiam conter informações confidenciais.

Alerta (tipo de alerta) Descrição Tática MITRE Severity
VERSÃO PRÉVIA – Contêineres de armazenamento acessíveis publicamente com dados potencialmente confidenciais foram expostos
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
Alguém examinou sua conta do Armazenamento do Azure e expôs contêineres que permitem o acesso público. Um ou mais contêineres expostos têm nomes que indicam que podem conter dados confidenciais.

Isso geralmente indica o reconhecimento por um autor de ameaça que está verificando contêineres de armazenamento acessíveis publicamente configurados incorretamente que podem conter dados confidenciais.

Depois que um autor de ameaça descobrir um contêiner, ele poderá continuar filtrando os dados.
✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Alta

Título do alerta de verificação de contêiner aumentado com reputação de endereço IP

A reputação de um endereço IP pode indicar se a atividade de verificação se origina de um autor de ameaça conhecido ou de um que está usando a rede Tor para ocultar a identidade. Ambos os indicadores sugerem que há má intenções. A reputação do endereço IP é fornecida pela Inteligência contra Ameaças da Microsoft.

A adição da reputação do endereço IP ao título do alerta oferece uma maneira de avaliar rapidamente a intenção do autor e, portanto, a gravidade da ameaça.

Os seguintes alertas incluirão essas informações:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Por exemplo, as informações adicionadas ao título do alerta Publicly accessible storage containers have been exposed serão parecidas com estas:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Todos os alertas para o Microsoft Defender para Armazenamento continuarão a incluir informações de inteligência contra ameaças na entidade IP na seção Entidades Relacionadas do alerta.

Confira os logs de atividades relacionados a um alerta de segurança

Como parte das ações que podem ser executadas para avaliar um alerta de segurança, você pode encontrar os logs de plataforma relacionados em Inspecionar contexto de recurso para obter contexto sobre o recurso afetado. O Microsoft Defender para Nuvem identifica os logs de plataforma que estão no prazo de um dia do alerta.

Os logs de plataforma podem ajudar a avaliar a ameaça à segurança e identificar as etapas que você pode executar para atenuar o risco identificado.

Março de 2022

As atualizações de março incluem:

Disponibilidade global de classificação de segurança para ambientes AWS e GCP

Os recursos de gerenciamento de postura de segurança de nuvem oferecidos pelo Microsoft Defender para Nuvem agora adicionaram compatibilidade para ambientes AWS e GCP na sua Pontuação Segura.

As empresas agora podem exibir a postura de segurança geral em vários ambientes, como Azure, AWS e GCP.

A página Pontuação Segura foi substituída pelo painel de postura de segurança. O painel de postura de segurança permite exibir uma pontuação combinada geral para todos os seus ambientes ou um detalhamento da postura de segurança com base em qualquer combinação de ambientes que você escolher.

A página Recomendações também foi reprojetada para fornecer novos recursos, como: seleção de ambiente de nuvem, filtros avançados com base no conteúdo (grupo de recursos, conta do AWS, projeto GCP e muito mais), interface do usuário aprimorada em baixa resolução, compatibilidade com consulta aberta no gráfico de recursos e muito mais. Você pode saber mais sobre sua postura de segurança geral e as recomendações de segurança.

Fim das recomendações para instalar o agente de coleta de dados de tráfego de rede

As alterações em nosso roteiro e em nossas prioridades removeram a necessidade do agente de coleta de dados de tráfego de rede. As duas recomendações a seguir e as políticas relacionadas serão preteridas.

Recomendação Descrição Severidade
O agente de coleta de dados do tráfego de rede deve ser instalado nas máquinas virtuais do Linux O Defender para Nuvem usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. Médio
O agente de coleta dos dados de tráfego de rede deve ser instalado nas máquinas virtuais do Windows O Defender para Nuvem usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças específicas à rede. Médio

O Defender para contêineres já pode verificar se há vulnerabilidades em imagens do Windows (versão prévia)

A verificação de imagem do Defender para contêineres já dá suporte às imagens do Windows que estão hospedadas no Registro de Contêiner do Azure. Esse recurso é gratuito durante a versão prévia e gera um custo quando passa para disponibilidade geral.

Saiba mais em Usar o Microsoft Defender para contêineres para verificar se há vulnerabilidades em imagens.

Novo alerta do Microsoft Defender para Armazenamento (versão prévia)

Para expandir as proteções contra ameaças fornecidas pelo Microsoft Defender para Armazenamento, adicionamos um novo alerta na versão prévia.

Os atores de ameaças usam aplicativos e ferramentas para descobrir e acessar contas de armazenamento. O Microsoft Defender para Armazenamento detecta esses aplicativos e ferramentas para que você possa bloqueá-los e corrigir sua postura.

Esse alerta da versão prévia é chamado Access from a suspicious application. O alerta só é relevante para o Armazenamento de Blobs do Azure e o ADLS Gen2.

Alerta (tipo de alerta) Descrição Tática MITRE Severity
VERSÃO PRÉVIA: acesso em um endereço IP suspeito
(Storage.Blob_SuspiciousApp)
Indica que um aplicativo suspeito acessou com êxito um contêiner de uma conta de armazenamento com autenticação.
Isso pode indicar que um invasor obteve as credenciais necessárias para acessar a conta e está explorando-a. Isso também pode ser uma indicação de um teste de penetração realizado na sua organização.
Aplica-se a: Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2
Acesso inicial Médio

Definir as configurações de notificações por email de um alerta

Uma nova seção foi adicionada à interface do usuário dos alertas, que permite ver e editar quem receberá as notificações por email para os alertas disparados na assinatura atual.

Captura de tela da nova interface do usuário mostrando como configurar a notificação por email.

Saiba como Configurar notificações por email para alertas de segurança.

Preterindo um alerta de visualização: ARM.MCAS_ActivityFromAnonymousIPAddresses

O seguinte alerta de visualização foi preterido:

Nome do alerta Descrição
VERSÃO PRÉVIA – Atividade de um endereço IP suspeito
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
A atividade de usuários de um endereço IP que foi identificado como um endereço IP de proxy anônimo foi detectada.
Esses proxies são usados por usuários que desejam ocultar o endereço IP do dispositivo e podem ser usados com objetivos mal-intencionados. Essa detecção usa um algoritmo de aprendizado de máquina que reduz falsos positivos, como endereços IP marcados incorretamente que são amplamente usados por usuários na organização.
Exige uma licença ativa de aplicativos do Microsoft Defender para Nuvem.

Um novo alerta foi criado que fornece essas informações e adiciona a ele. Além disso, os alertas mais recentes (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) não exigem uma licença do Microsoft Defender para Aplicativos de Nuvem (conhecido anteriormente como Microsoft Cloud App Security).

Veja mais alertas para Resource Manager.

Mover as vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas está sendo movida da classificação de segurança para as melhores práticas

A recomendação Vulnerabilities in container security configurations should be remediated foi movida da seção de classificação de segurança para a seção práticas recomendadas.

A experiência do usuário atual só fornece a pontuação quando todas as verificações de conformidade são aprovadas. A maioria dos clientes tem dificuldades para atender a todas as verificações necessárias. Estamos trabalhando em uma experiência aprimorada para essa recomendação e, depois de lançada, a recomendação será movida de volta para a classificação de segurança.

Fim da recomendação de usar entidades de serviço para proteger suas assinaturas

À medida que as organizações estão se afastando do uso de certificados de gerenciamento para gerenciar assinaturas e com o nosso comunicado recente de que estamos desativando o modelo de implantação dos Serviços de Nuvem (clássico), substituiremos a seguinte recomendação do Defender para Nuvem e sua política relacionada:

Recomendação Descrição Severidade
As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento Os certificados de gerenciamento permitem que qualquer pessoa que os utilize para autenticação gerencie as assinaturas às quais eles estão associados. Para gerenciar assinaturas com mais segurança, o uso de entidades de serviço com o Resource Manager é recomendado para limitar o raio dos danos em caso de comprometimento de um certificado. Ele também automatiza o gerenciamento de recursos.
(Política relacionada: As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento)
Médio

Saiba mais:

A implementação herdada da ISO 27001 substituída pela nova iniciativa ISO 27001:2013

A implementação herdada da ISO 27001 será removida do painel de conformidade regulatória do Defender para Nuvem. Se você está acompanhando sua conformidade com a ISO 27001 com o Defender para Nuvem, integre o novo padrão ISO 27001:2013 para todos os grupos de gerenciamento ou assinaturas relevantes.

Painel de conformidade regulatória do Defender para Nuvem mostrando a mensagem sobre a remoção da implementação herdada da ISO 27001.

Substituição das recomendações de dispositivo do Microsoft Defender para IoT

As recomendações de dispositivo do Microsoft Defender para IoT não ficarão mais visíveis no Microsoft Defender para Nuvem. Essas recomendações ainda estarão disponíveis na página Recomendações do Microsoft Defender.

As seguintes recomendações são preteridas:

Chave de avaliação Recomendações
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT Devices Abrir Portas no Dispositivo
ba975338-f956-41e7-a9f2-7614832d382d: IoT Devices Foi encontrada uma regra de firewall permissiva na cadeia de entrada
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT Devices Foi encontrada uma política de firewall permissiva em uma das cadeias
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT Devices Foi encontrada uma regra de firewall permissiva na cadeia de saída
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT Devices Falha na validação de linha de base do sistema operacional
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT Devices O agente envia mensagens subutilizadas
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT Devices É preciso atualizar o pacote de criptografia do TLS
d74d2738-2485-4103-9919-69c7e63776ec: IoT Devices O processo auditado parou de enviar eventos

Substituição dos alertas de dispositivo do Microsoft Defender para IoT

Todos os alertas de dispositivo do Microsoft Defender para IoT não ficarão mais visíveis no Microsoft Defender para Nuvem. Esses alertas ainda estão disponíveis na página Alerta do Microsoft Defender para IoT e no Microsoft Sentinel.

Gerenciamento de postura e proteção contra ameaças para AWS e GCP liberados para GA (disponibilidade geral)

  • Os recursos do CSPM do Defender para Nuvem se estendem para os recursos da GCP e AWS. Esse plano sem agente avalia os recursos multinuvem de acordo com as recomendações de segurança específicas da nuvem, que estão incluídas na sua classificação de segurança. Os recursos são avaliados quanto à conformidade usando os padrões internos. A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para multinuvem que permite gerenciar seus recursos da AWS junto com seus recursos do Azure.

  • O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação no AWS e no GCP. Esse plano do Defender para servidores inclui uma licença integrada do Microsoft Defender para Ponto de Extremidade, exame de avaliação de vulnerabilidades e muito mais. Saiba mais sobre todos os recursos com compatibilidade para máquinas virtuais e servidores. As funcionalidades de integração automática permitem que você conecte com facilidade as instâncias de computação novas ou existentes descobertas no seu ambiente.

Saiba como proteger e conectar seu ambiente de AWS e a Organização de GCP com o Microsoft Defender para Nuvem.

Verificação de registro para imagens de Windows no ACR na compatibilidade adicionada para nuvens nacionais

A verificação de registro para imagens de Windows agora é permitida no Azure Governamental e no Azure China 21Vianet. Este complemento está atualmente em versão prévia.

Saiba mais sobre a disponibilidade do nosso recurso.

Fevereiro de 2022

As atualizações de fevereiro incluem:

Proteção de cargas de trabalho do Kubernetes para clusters de Kubernetes habilitados para Arc

Anteriormente, o Defender para contêineres protegia apenas as cargas de trabalho do Kubernetes em execução no Serviço de Kubernetes do Azure. Já estendemos a cobertura de proteção para incluir clusters de Kubernetes habilitados para Azure Arc.

Saiba como configurar a proteção de carga de trabalho do Kubernetes para AKS e para clusters do Kubernetes habilitados para Azure Arc.

CSPM nativo para GCP e proteção contra ameaças para instâncias de computação da GCP

A nova integração automatizada de ambientes da GCP permite proteger cargas de trabalho da GCP com o Microsoft Defender para Nuvem. O Defender para Nuvem protege seus recursos com os seguintes planos:

  • Os recursos do CSPM do Defender para Nuvem se estendem para os recursos da GCP. Esse plano sem agente avalia os recursos do GCP de acordo com as recomendações de segurança específicas do GCP, fornecidas com o Defender para Nuvem. As recomendações da GCP estão incluídas na sua pontuação de segurança e os recursos serão avaliados quanto à conformidade com o padrão CIS interno da GCP. A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para multinuvens que ajuda você a gerenciar seus recursos do Azure, do AWS e do GCP.

  • O Microsoft Defender para servidores traz detecção de ameaças e defesas avançadas para suas instâncias de computação da GCP. Esse plano inclui a licença integrada do Microsoft Defender para Ponto de Extremidade, exame de avaliação de vulnerabilidades e muito mais.

    Para ver uma lista completa de recursos disponíveis, confira Recursos com suporte para máquinas virtuais e servidores. As funcionalidades de integração automática permitirão que você conecte com facilidade as instâncias de computação novas e existentes descobertas em seu ambiente.

Saiba como proteger e conectar seus projetos da GCP ao Microsoft Defender para Nuvem.

Plano do Microsoft Defender para Azure Cosmos DB lançado para versão prévia

Estendemos a cobertura de banco de dados estendida do Microsoft Defender para Nuvem. Você já pode habilitar a proteção para seus bancos de dados do Azure Cosmos DB.

O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Microsoft Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados.

Ele analisa continuamente o fluxo de dados do cliente gerado pelos serviços do Azure Cosmos DB.

Quando atividades potencialmente mal-intencionadas são detectadas, alertas de segurança são gerados. Esses alertas são exibidos no Microsoft Defender para Nuvem com os detalhes da atividade suspeita, bem como as etapas de investigação, as ações de correção e as recomendações de segurança relevantes.

Não há nenhum impacto no desempenho do banco de dados na habilitação do serviço, porque o Defender para Azure Cosmos DB não acessa os dados da conta do Azure Cosmos DB.

Saiba mais em Visão Geral do Microsoft Defender para Azure Cosmos DB.

Também estamos introduzindo uma nova experiência de habilitação para segurança de banco de dados. Você já pode habilitar a proteção do Microsoft Defender para Nuvem na sua assinatura para proteger todos os tipos de bancos de dados, como o Azure Cosmos DB, o Banco de Dados SQL do Azure, os servidores SQL do Azure em computadores e o Microsoft Defender para bancos de dados relacionais de código aberto por meio de um processo de habilitação. Tipos de recursos específicos podem ser incluídos ou excluídos pela configuração do seu plano.

Saiba como habilitar a segurança do banco de dados na assinatura.

Proteção contra ameaças para clusters do GKE (Google Kubernetes Engine)

Após nosso comunicado recente CSPM nativo para o GCP e proteção contra ameaças para instâncias de computação do GCP, o Microsoft Defender para Contêineres estendeu a proteção contra ameaças do Kubernetes, a análise comportamental e as políticas internas de controle de admissão para clusters Standard do GKE (Google Kubernetes Engine). Você pode integrar com facilidade todos os clusters Standard do GKE existentes ou novos ao seu ambiente por meio das nossas funcionalidades de integração automática. Confira Segurança de contêiner com o Microsoft Defender para Nuvem para ver uma lista completa dos recursos disponíveis.

Janeiro de 2022

As atualizações em janeiro incluem:

O Microsoft Defender para o Resource Manager foi atualizado com novos alertas e maior ênfase em operações de alto risco mapeadas para o MITRE ATT&CK® Matrix

A camada de gerenciamento de nuvem é um serviço crucial conectado a todos os seus recursos de nuvem. Por isso, ela também é um possível alvo para invasores. Recomendamos que as equipes de operações de segurança monitorem atentamente a camada de gerenciamento de recursos.

O Microsoft Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização, sejam elas executadas por meio do portal do Azure, das APIs REST do Azure, da CLI do Azure ou de outros clientes programáticos do Azure. O Defender para Nuvem executa análises de segurança avançadas a fim de detectar ameaças e alertar você sobre atividades suspeitas.

As proteções do plano aprimoram muito a resiliência da organização contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos Azure para Nuvem.

Em dezembro de 2020, apresentamos a versão prévia do Defender para Resource Manager e, em maio de 2021, o plano foi lançado para disponibilidade geral.

Com essa atualização, revisemos de modo abrangente o foco do plano do Microsoft Defender para Resource Manager. O plano atualizado inclui muitos novos alertas focados na identificação de invocações suspeitas de operações de alto risco. Esses novos alertas fornecem monitoramento extensivo de ataques em toda a matriz do MITRE ATT&CK® para técnicas baseadas em nuvem.

Essa matriz abrange a seguinte variedade de possíveis intenções de atores de ameaças que podem ter como alvo os recursos de sua organização: Acesso inicial, Execução, Persistência, Elevação de privilégio, Evasão de defesa, Acesso a credencial, Descoberta, Movimentação lateral, Coleta, Exfiltração e Impacto.

Os novos alertas para este plano do Defender abrangem essas intenções, conforme mostrado na tabela a seguir.

Dica

Os alertas também aparecem na página de referência de alertas.

Alerta (tipo de alerta) Descrição Táticas do MITRE (intenções) Severidade
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.InitialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Acesso inicial Médio
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Execution)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador na sua assinatura, o que pode indicar uma tentativa de execução de código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Execução Médio
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Persistence)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de estabelecer a persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Persistência Médio
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.PrivilegeEscalation)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de elevar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para elevar privilégios e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Escalonamento de Privilégios Médio
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.DefenseEvasion)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de evadir-se de defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para evitar ser detectado enquanto compromete recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Evasão de defesa Médio
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.CredentialAccess)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de acessar as credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Acesso com credencial Médio
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.LateralMovement)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de realizar uma movimentação lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para comprometer recursos adicionais em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Movimentação lateral Médio
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Collection)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para coletar dados confidenciais de recursos de seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Coleção Médio
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Impact)
O Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco na sua assinatura, que pode indicar uma tentativa de alterar uma configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. Impacto Médio

Além disso, estes dois alertas do plano saíram da versão prévia:

Alerta (tipo de alerta) Descrição Táticas do MITRE (intenções) Severidade
Operação do Azure Resource Manager partindo de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
O Microsoft Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. Execução Médio
Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
O Microsoft Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. Evasão de defesa Médio

Recomendações para habilitar planos do Microsoft Defender em workspaces (em versão prévia)

Para se beneficiar de todos os recursos de segurança disponíveis do Microsoft Defender para servidores e do Microsoft Defender para SQL em computadores, os planos precisam ser habilitados nos dois níveis: assinatura e workspace.

Quando um computador estiver em uma assinatura com um desses planos habilitado, você será cobrado por todas as proteções. No entanto, se esse computador estiver se reportando a um workspace sem o plano habilitado, você não receberá esses benefícios.

Adicionamos duas recomendações que realçam workspaces que não têm os planos habilitados, mas que têm computadores relatando a eles de assinaturas que têm o plano habilitado.

As duas recomendações, que oferecem correção automatizada (a ação "Corrigir"), são:

Recomendação Descrição Severidade
O Microsoft Defender para servidores deve estar habilitado nos workspaces O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux.
Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios.
Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace são cobrados pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure.
Saiba mais em Visão geral do Microsoft Defender para Servidores.
(Não há política relacionada)
Médio
O Microsoft Defender para SQL em computadores deve estar habilitado nos workspaces O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux.
Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios.
Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace são cobrados pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure.
Saiba mais em Visão geral do Microsoft Defender para Servidores.
(Não há política relacionada)
Médio

Provisionar automaticamente o agente do Log Analytics para computadores habilitados para o Azure Arc (versão prévia)

O Defender para Nuvem usa o agente do Log Analytics para coletar dados relacionados à segurança de computadores. O agente lê várias configurações relacionadas à segurança e logs de eventos e copia os dados para seu workspace para análise.

As configurações de provisionamento automático do Defender para Nuvem têm uma alternância para cada tipo de extensão compatível, incluindo o agente do Log Analytics.

Em uma expansão posterior de nossos recursos de nuvem híbrida, adicionamos uma opção para provisionar automaticamente o agente do Log Analytics para máquinas conectadas a Azure Arc.

Assim como as outras opções de provisionamento automático, ela é configurada no nível da assinatura.

Ao habilitar essa opção, você precisará informar o workspace.

Observação

Para esta versão prévia, você não pode selecionar os workspaces padrão criados pelo Defender para Nuvem. Para garantir que você receba o conjunto completo de recursos de segurança disponíveis para os servidores habilitados para o Azure Arc, verifique se você tem a solução de segurança relevante instalada no workspace selecionado.

Captura de tela de como provisionar automaticamente o agente Log Analytics para as máquinas habilitadas para Azure Arc.

Preterida a recomendação para classificar dados confidenciais em banco de dados SQL

Removemos a recomendação Dados confidenciais em seus bancos de dados SQL devem ser classificados como parte de uma revisão de como o Defender para Nuvem identifica e protege dados confidenciais em seus recursos de nuvem.

O aviso antecipado dessa alteração apareceu nos últimos seis meses na página Alterações importantes futuras no Microsoft Defender para Nuvem.

Anteriormente, o alerta a seguir estava disponível apenas para organizações que tinham habilitado o plano do Microsoft Defender para DNS.

Com essa atualização, o alerta também aparecerá para assinaturas com o plano do Microsoft Defender para servidores ou do Defender para Serviço de Aplicativo habilitado.

Além disso, a Inteligência contra Ameaças da Microsoft expandiu a lista de domínios mal-intencionados conhecidos de modo a incluir domínios associados à exploração das vulnerabilidades amplamente publicadas associadas ao Log4j.

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detectada analisando as transações DNS do recurso e a comparando-as com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido. Acesso inicial / Persistência / Execução / Comando e controle / Exploração Médio

Botão 'Copiar alerta JSON' adicionado ao painel de detalhes do alerta de segurança

Para ajudar nossos usuários a compartilhar rapidamente os detalhes de um alerta com outras pessoas (por exemplo, analistas de SOC, proprietários de recursos e desenvolvedores), adicionamos a capacidade de extrair facilmente todos os detalhes de um alerta específico com um botão do painel de detalhes do alerta de segurança.

O novo botão Copiar alerta JSON coloca os detalhes do alerta, no formato JSON, na área de transferência do usuário.

Captura de tela do botão 'Copiar JSON de alerta' no painel de detalhes do alerta.

Duas recomendações renomeadas

Para consistência com outros nomes de recomendação, renomeamos estas duas recomendações:

  • Recomendação para resolver vulnerabilidades descobertas em imagens de contêiner em execução

    • Nome anterior: As vulnerabilidades nas imagens de contêiner em execução devem ser corrigidas (da plataforma Qualys)
    • Novo nome: As imagens de contêiner em execução devem ter as descobertas de vulnerabilidade resolvidas
  • Recomendação para habilitar logs de diagnóstico para o Serviço de Aplicativo do Azure

    • Nome anterior: Os logs de diagnóstico devem ser habilitados no Serviço de Aplicativo
    • Novo nome: Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados

Preterida a política de que contêineres de cluster do Kubernetes só devem escutar em portas permitidas

A recomendação de que os contêineres de cluster do Kubernetes só devem escutar as portas permitidas foi preterida.

Nome de política Descrição Efeito(s) Versão
Os contêineres de cluster do Kubernetes devem escutar somente em portas permitidas Restringir a escuta dos contêineres apenas às portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, negar, desabilitado 6.1.2

A recomendação de que os serviços devem escutar somente em portas permitidas deve ser usada para limitar as portas que um aplicativo expõe à Internet.

Adicionada a pasta de trabalho 'Alertas Ativos'

Para ajudar nossos usuários a compreender as ameaças ativas nos ambientes e a priorizar entre alertas ativos durante o processo de correção, adicionamos a pasta de trabalho Alertas Ativos.

Captura de tela mostrando a adição da pasta de trabalho de alertas ativos.

A pasta de trabalho de alertas ativos permite que os usuários exibam um painel unificado de seus alertas agregados por gravidade, tipo, marca, táticas de MITRE ATT&CK e local. Saiba mais em Usar a pasta de trabalho 'Alertas Ativos'.

Adicionada a recomendação de 'Atualização do sistema' à nuvem governamental

A recomendação 'As atualizações do sistema devem ser instaladas no seu computador' agora está disponível em todas as nuvens governamentais.

É provável que essa alteração afete a Secure Score da sua assinatura de nuvem governamental. Esperamos que a alteração cause uma pontuação menor, mas é possível que a inclusão da recomendação possa resultar em uma pontuação maior em alguns casos.

Dezembro de 2021

As atualizações de dezembro incluem:

Plano do Microsoft Defender para Contêineres lançado para GA (disponibilidade geral)

Há mais de dois anos, introduzimos o Defender para Kubernetes e o Defender para registros de contêiner como parte da oferta Azure Defender no Microsoft Defender para Nuvem.

Com o lançamento do Microsoft Defender para Contêineres, mesclamos esses dois planos existentes do Defender.

O novo plano:

  • Combina os recursos dos dois planos existentes: detecção de ameaças para clusters do Kubernetes e avaliação de vulnerabilidade para imagens armazenadas em registros de contêiner
  • Traz recursos novos e aprimorados – incluindo suporte multinuvem, detecção de ameaças no nível do host com mais de sessenta novas análises com conhecimento do Kubernetes e avaliação de vulnerabilidade para execução de imagens
  • Apresenta a integração nativa do Kubernetes em escala – por padrão, quando você habilita o plano, todos os componentes relevantes são configurados para serem implantados automaticamente

Com esta versão, a disponibilidade e a apresentação do Defender para Kubernetes e do Defender para registros de contêiner foram alteradas da seguinte forma:

  • Novas assinaturas – os dois planos de contêiner anteriores não estão mais disponíveis
  • Assinaturas existentes – Onde quer que apareçam no portal do Azure, os planos são mostrados como Preteridos com instruções de como atualizá-los para o plano mais recente do Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

O novo plano é gratuito para o mês de dezembro de 2021. Para obter as possíveis alterações na cobrança dos planos antigos para o Defender para Contêineres e para obter mais informações sobre os benefícios introduzidos com esse plano, consulte Introdução ao Microsoft Defender para contêineres.

Para obter mais informações, consulte:

Novos alertas para o Microsoft Defender para Armazenamento lançados para GA (disponibilidade geral)

Os atores de ameaça usam ferramentas e scripts para verificar se há contêineres abertos publicamente na espera de encontrar contêineres de armazenamento abertos configurados incorretamente contendo dados confidenciais.

O Microsoft Defender para Armazenamento detecta esses scanners para que você possa bloqueá-los e remediar sua postura.

O alerta de visualização que detectou isso chamava-se "Verificação anônima de contêineres de armazenamento público". Para fornecer maior clareza sobre os eventos suspeitos descobertos, nós o dividimos em dois novos alertas. Esses alertas são relevantes apenas para o Armazenamento de Blobs do Azure.

Aprimoramos a lógica de detecção, atualizamos os metadados de alerta e mudamos o nome e o tipo de alerta.

Estes são os novos alertas:

Alerta (tipo de alerta) Descrição Tática MITRE Severity
Contêineres de armazenamento acessíveis publicamente descobertos com êxito
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Uma descoberta bem-sucedida de contêineres de armazenamento abertos publicamente em sua conta de armazenamento foi executada na última hora por um script ou ferramenta de exame.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O ator de ameaça pode usar seu próprio script ou usar ferramentas de exame conhecidas como Microburst para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Médio
Falha no exame de contêineres de armazenamento acessíveis publicamente
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Uma série de tentativas com falha para examinar contêineres de armazenamento abertos publicamente foi executada na última hora.

Isso geralmente indica um ataque de reconhecimento, em que o ator de ameaça tenta listar blobs adivinhando nomes de contêiner, na esperança de encontrar contêineres de armazenamento abertos configurados incorretamente com dados confidenciais neles.

O ator de ameaça pode usar seu próprio script ou usar ferramentas de exame conhecidas como Microburst para verificar se há contêineres abertos publicamente.

✔ Armazenamento de Blobs do Azure
✖ Arquivos do Azure
✖ Azure Data Lake Storage Gen2
Coleção Baixo

Para obter mais informações, consulte:

Aprimoramentos aos alertas do Microsoft Defender para Armazenamento

Os alertas de acesso inicial agora têm precisão aprimorada e mais dados para dar suporte à investigação.

Os atores de ameaça usam várias técnicas no acesso inicial para obter uma posição dentro de uma rede. Dois dos alertas do Microsoft Defender para Armazenamento que detectam anomalias comportamentais neste estágio agora têm uma lógica de detecção aprimorada e dados adicionais para dar suporte a investigações.

Se você configurou automações ou definiu regras de supressão de alerta para esses alertas no passado, atualize-os de acordo com essas alterações.

Detectar o acesso de um nó de saída do Tor

O acesso de um nó de saída do Tor pode indicar um ator de ameaça tentando ocultar a própria identidade.

O alerta agora está ajustado para gerar apenas para acesso autenticado, o que resulta em maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.

Um padrão subjacente terá severidade alta, enquanto padrões menos anômalos terão severidade média.

O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.

  • Nome do alerta (antigo): acesso de um nó de saída do Tor a uma conta de armazenamento
  • Nome do alerta (novo): acesso autenticado de um nó de saída do Tor
  • Tipos de alerta: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
  • Descrição: um ou mais contêineres de armazenamento/compartilhamentos de arquivos em sua conta de armazenamento foram acessados com êxito de um endereço IP conhecido como nó de saída ativo do Tor (um proxy anônimo). Os atores de ameaça usam o Tor para dificultar o rastreamento da atividade até eles. O acesso autenticado de um nó de saída do Tor é uma indicação provável de que um ator de ameaça está tentando ocultar a própria identidade. Aplica-se a: Armazenamento de Blobs do Azure, Arquivos do Azure, Azure Data Lake Storage Gen2
  • Tática MITRE: acesso inicial
  • Severidade: alta/média

Acesso não autenticado incomum

Uma alteração nos padrões de acesso pode indicar que um ator de ameaça foi capaz de explorar o acesso de leitura público a contêineres de armazenamento, explorando um erro nas configurações de acesso ou alterando as permissões de acesso.

Esse alerta de severidade média agora está ajustado com lógica comportamental aprimorada, maior precisão e confiança de que a atividade é mal-intencionada. Esse aprimoramento reduz a taxa positiva benigna.

O nome e a descrição do alerta foram atualizados. O AlertType permanece inalterado.

  • Nome do alerta (antigo): acesso anônimo a uma conta de armazenamento
  • Nome do alerta (novo): acesso não autenticado incomum a um contêiner de armazenamento
  • Tipos de alerta: Storage.Blob_AnonymousAccessAnomaly
  • Descrição: essa conta de armazenamento foi acessada sem autenticação, o que é uma alteração no padrão de acesso comum. O acesso de leitura a esse contêiner geralmente é autenticado. Isso pode indicar que um ator de ameaça conseguiu explorar o acesso de leitura público a contêineres de armazenamento nesta(s) conta(s) de armazenamento. Aplica-se a: Armazenamento do Blobs do Azure
  • Tática MITRE: coleção
  • Severidade: média

Para obter mais informações, consulte:

Alerta 'PortSweeping' removido dos alertas de camada de rede

O seguinte alerta foi removido de nossos alertas de camada de rede devido a ineficiências:

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Possível atividade de verificação de porta de saída detectada
(PortSweeping)
A análise do tráfego de rede de detectou um tráfego de saída suspeito de %{Host Comprometido}. Esse tráfego pode ser resultado de uma atividade de verificação de porta. Quando o recurso comprometido é um balanceador de carga ou um gateway de aplicativo, o tráfego de saída suspeito é originado de um ou mais dos recursos no pool de back-end (do balanceador de carga ou do gateway de aplicativo). Se esse comportamento for intencional, observe que a execução da verificação de porta não é permitida pelos Termos de Serviço do Azure. Se esse comportamento não for intencional, poderá significar que o recurso foi comprometido. Descoberta Médio

Novembro de 2021

Nossa versão do Ignite inclui:

Outras alterações em novembro incluem:

A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem

De acordo com o relatório Estado da Nuvem de 2021, 92% das organizações agora têm uma estratégia de várias nuvens. Na Microsoft, nossa meta é centralizar a segurança nesses ambientes e ajudar as equipes de segurança a trabalhar com mais eficiência.

O Microsoft Defender para Nuvem (anteriormente conhecido como Central de Segurança do Azure e Azure Defender) é uma solução GPSN (gerenciamento da postura de segurança na nuvem) e CWP (proteção de cargas de trabalho na nuvem) que descobre pontos fracos em sua configuração de nuvem, ajuda a fortalecer a postura de segurança geral do seu ambiente e protege cargas de trabalho em ambientes híbridos e de várias nuvens.

No Ignite 2019, compartilhamos nossa visão para criar a abordagem mais completa para proteger sua propriedade digital e integrar tecnologias XDR na marca do Microsoft Defender. Unificar Central de Segurança do Azure e Azure Defender com o novo nome Microsoft Defender para Nuvem reflete os recursos integrados de nossa oferta de segurança e nossa capacidade de dar suporte a qualquer plataforma de nuvem.

CSPM nativo para AWS e proteção contra ameaças para Amazon EKS e AWS EC2

Uma nova página de configurações de ambiente fornece maior visibilidade e controle sobre seus grupos de gerenciamento, assinaturas e contas do AWS. A página foi projetada para integração de contas do AWS em escala: conecte sua conta de gerenciamento do AWS e você integrará automaticamente as contas existentes e futuras.

Use a nova página de configurações de ambiente para conectar suas contas do AWS.

Quando você adiciona suas contas do AWS, o Defender para Nuvem protege seus recursos do AWS com um ou todos os seguintes planos:

  • Os recursos do CSPM do Defender para Nuvem se estendem aos seus recursos do AWS. Esse plano sem agente avalia os recursos do AWS de acordo com as recomendações de segurança específicas do AWS, as quais estão incluídas na sua classificação de segurança. Os recursos também serão avaliados quanto à conformidade com padrões internos específicos da AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). A página de inventário de ativos do Defender para Nuvem é um recurso habilitado para várias nuvens que ajuda você a gerenciar seus recursos da AWS e do Azure juntos.
  • O Microsoft Defender para Kubernetes estende sua detecção de ameaças de contêiner e defesas avançadas para seus clusters do Amazon EKS no Linux.
  • O Microsoft Defender para Servidores adiciona proteções avançadas e detecção contra ameaças às suas instâncias EC2 do Windows e do Linux. Esse plano inclui a licença integrada do Microsoft Defender para Ponto de Extremidade, linhas de base de segurança e avaliações no nível do sistema operacional, verificações de avaliação de vulnerabilidade, AAC (controles de aplicativo adaptáveis), FIM (monitoramento de integridade de arquivos) e muito mais.

Saiba mais sobre como conectar suas contas do AWS ao Microsoft Defender para Nuvem.

Priorizar ações de segurança por confidencialidade de dados (da plataforma Microsoft Purview) (em versão prévia)

Os recursos de dados continuam sendo um destino popular para atores de ameaça. Portanto, é crucial que as equipes de segurança identifiquem, priorizem e protejam recursos de dados confidenciais nos próprios ambientes de nuvem.

Para resolver esse desafio, o Microsoft Defender para Nuvem agora integra informações de sensibilidade do Microsoft Purview. O Microsoft Purview é um serviço de governança de dados unificado que fornece insights abrangentes sobre a confidencialidade de seus dados em cargas de trabalho locais e de várias nuvens.

A integração com o Microsoft Purview estende sua visibilidade de segurança no Defender para Nuvem do nível de infraestrutura até os dados, permitindo uma maneira totalmente nova de priorizar recursos e atividades de segurança para suas equipes de segurança.

Saiba mais em Priorizar as ações de segurança por confidencialidade de dados.

Avaliações de controle de segurança expandidas com o Azure Security Benchmark v3

As recomendações de segurança do Microsoft Defender para Nuvem são compatíveis com o Azure Security Benchmark e habilitadas por ele.

O Azure Security Benchmark é um conjunto de diretrizes específicas do Azure criadas pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.

No Ignite 2021, o Azure Security Benchmark v3 está disponível no painel de conformidade regulatória do Defender para Nuvem e habilitado como a nova iniciativa padrão para todas as assinaturas do Azure protegidas com o Microsoft Defender para Nuvem.

Os aprimoramentos da v3 incluem:

  • Mapeamentos adicionais para estruturas do setor PCI-DSS v3.2.1 e CIS Controls v8.

  • Diretrizes mais granulares e acionáveis para controles com a introdução de:

    • Princípios de segurança – fornecendo informações sobre os objetivos gerais de segurança que fundamentam nossas recomendações.
    • Diretrizes do Azure – o guia técnico para atender a esses objetivos.
  • Novos controles incluem segurança do DevOps para problemas como modelagem de ameaças e segurança da cadeia de fornecedores de software, bem como gerenciamento de chaves e certificados para práticas recomendadas no Azure.

Saiba mais em Introdução ao Azure Security Benchmark.

Sincronização opcional de alertas bidirecionais do conector do Microsoft Sentinel liberada para GA (disponibilidade geral)

Em julho, anunciamos uma versão prévia de recurso, a sincronização de alertas bidirecionais, para o conector integrado no Microsoft Sentinel (a solução SIEM e SOAR nativa de nuvem da Microsoft). Esse recurso agora foi lançado para GA (disponibilidade geral).

Quando você conecta o Microsoft Defender para Nuvem ao Microsoft Sentinel, o status dos alertas de segurança é sincronizado entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Defender para Nuvem, esse alerta também será exibido como fechado no Microsoft Sentinel. Alterar o status de um alerta no Defender não afeta o status dos demais incidentes do Microsoft Sentinel que contiverem o alerta do Microsoft Sentinel sincronizado,mas apenas o do próprio alerta sincronizado.

Ao habilitar a sincronização de alertas bidirecional, você sincronizará automaticamente o status dos alertas originais do Defender para Nuvem com os incidentes do Microsoft Sentinel que contêm as cópias desses alertas do Defender para Nuvem. Portanto, por exemplo, quando um incidente do Azure Sentinel que contém um alerta do Microsoft Defender for fechado, o Defender para Nuvem fechará automaticamente o alerta original correspondente.

Saiba como Conectar-se a alertas do Azure Defender na Central de Segurança do Azure e Transmitir alertas para o Azure Sentinel.

Nova recomendação para fazer push de logs do AKS (Serviço de Kubernetes do Azure) para o Sentinel

Em mais um aprimoramento no valor combinado do Defender para Nuvem e do Microsoft Sentinel, agora destacaremos instâncias do Serviço de Kubernetes do Azure que não estão enviando dados de log para o Microsoft Sentinel.

As equipes de SecOps podem escolher o workspace relevante do Microsoft Sentinel diretamente na página de detalhes da recomendação e habilitar imediatamente o streaming de logs brutos. Essa conexão perfeita entre os dois produtos torna mais fácil para as equipes de segurança garantir a cobertura de log completa nas respectivas cargas de trabalho para se manterem no controle de todo o ambiente delas.

A nova recomendação, "Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados", inclui a opção "Corrigir" para correção mais rápida.

Também aprimoramos a recomendação "A auditoria no servidor SQL deve ser habilitada" com as mesmas funcionalidades de streaming do Sentinel.

Recomendações mapeadas para a estrutura MITRE ATT&CK® – lançada em GA (disponibilidade geral)

Aprimoramos as recomendações de segurança do Defender para Nuvem para mostrar a posição do Defender na estrutura MITRE ATT&CK®. Essa base de dados de conhecimento globalmente acessível das táticas e técnicas dos atores de ameaças com base em observações do mundo real fornece mais contexto para ajudar você a entender os riscos associados das recomendações para o seu ambiente.

Você pode encontrar essas táticas sempre que acessar as informações de recomendação:

  • Os resultados da consulta do Azure Resource Graph para recomendações relevantes incluem as técnicas e táticas do MITRE ATT&CK®.

  • As páginas de detalhes da recomendação mostram o mapeamento de todas as recomendações relevantes:

    Captura de tela do mapeamento de táticas do MITRE para uma recomendação.

  • A página de recomendações no Defender para Nuvem tem um novo filtro para selecionar recomendações de acordo com as táticas associadas:

Saiba mais em Examinar as suas recomendações de segurança.

Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft – liberado para GA (disponibilidade geral)

Em outubro, anunciamos uma extensão à integração entre o Microsoft Defender para servidores e o Microsoft Defender para ponto de extremidade, para permitir uma nova avaliação de vulnerabilidade fornecidas para seus computadores: Gerenciamento de Ameaças e Vulnerabilidades da Microsoft. Esse recurso agora foi lançado para GA (disponibilidade geral).

Use o Gerenciamento de ameaças e vulnerabilidades: para descobrir as vulnerabilidades e as configurações incorretas quase em tempo real com a integração com o Microsoft Defender para Ponto de Extremidade habilitado, e sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.

Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.

Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).

Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.

O Microsoft Defender para Ponto de Extremidade para Linux agora tem compatibilidade com o Microsoft Defender para servidores – liberado para GA (disponibilidade geral)

Em agosto, anunciamos o suporte de versão prévia para implantar o sensor do Defender para Ponto de Extremidade para Linux em computadores Linux com suporte. Esse recurso agora foi lançado para GA (disponibilidade geral).

O Microsoft Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem. No Defender para Nuvem, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.

Saiba mais em Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de extremidade.

Exportação de instantâneo para recomendações e descobertas de segurança (em versão prévia)

O Defender para Nuvem gera alertas e recomendações de segurança detalhados. Você pode exibi-los no portal ou por meio de ferramentas programáticas. Talvez você também precise exportar algumas ou todas essas informações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.

O recurso de exportação contínua do Defender para Nuvem permite que você personalize totalmente o que será exportado e para onde irá. Saiba mais em Exportação contínua de dados no Microsoft Defender para Nuvem.

Embora o recurso seja chamado de contínuo, também há uma opção para exportar instantâneos semanais. Até agora, esses instantâneos semanais eram limitados à classificação de segurança e aos dados de conformidade regulatória. Adicionamos a capacidade de exportar recomendações e descobertas de segurança.

Provisionamento automático de soluções de avaliação de vulnerabilidade liberado para GA (disponibilidade geral)

Em outubro, anunciamos a adição de soluções de avaliação de vulnerabilidade à página de provisionamento automático do Defender para Nuvem. Isso é relevante para máquinas virtuais do Azure e Azure Arc em assinaturas protegidas pelo Azure Defender para servidores. Esse recurso agora foi lançado para GA (disponibilidade geral).

Se aintegração com o Microsoft Defender para Ponto de Extremidadeestiver habilitada, o Defender para Nuvem oferecerá uma escolha de soluções de avaliação de vulnerabilidade:

  • (NOVO) O módulo de Gerenciamento de Ameaças e Vulnerabilidades da Microsoft do Microsoft Defender para Ponto de Extremidade (consulte a nota de lançamento)
  • O agente Qualys integrado

Sua solução escolhida será habilitada automaticamente em computadores com suporte.

Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.

Filtros de inventário de software no inventário de ativos lançados em GA (disponibilidade geral)

Em outubro, anunciamos novos filtros para a página de inventário de ativos para selecionar computadores que executam software específico e até mesmo especificar as versões de interesse. Esse recurso agora foi lançado para GA (disponibilidade geral).

Você pode consultar os dados de inventário de software no Explorador do Azure Resource Graph .

Para usar esses recursos, você precisará habilitar a Integração com o Microsoft Defender para Ponto de Extremidade.

Para obter detalhes completos, incluindo consultas de exemplo de Kusto para o Azure Resource Graph, consulte Acessar um inventário de software.

Nova política de segurança do AKS adicionada à iniciativa padrão – para uso somente dos clientes da versão prévia privada

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, o Defender para Nuvem inclui recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

Como parte deste projeto, adicionamos uma política e uma recomendação (desabilitadas por padrão) para a implantação em clusters do Kubernetes. A política está na iniciativa padrão, mas só é relevante para organizações que se registram para a versão prévia privada relacionada.

Você pode ignorar com segurança as políticas e a recomendação ("os clusters do Kubernetes devem proteger a implantação de imagens vulneráveis") e não haverá impacto sobre seu ambiente.

Se você quiser participar da versão prévia privada, precisará ser membro do anel correspondente. Se você ainda não for um membro, envie uma solicitação aqui. Os membros serão notificados quando a versão prévia for iniciada.

A exibição de inventário de computadores locais aplica um modelo diferente para o nome do recurso

Para aprimorar a apresentação de recursos no Inventário de ativos, removeremos o elemento "source-computer-IP" do modelo para nomear computadores locais.

  • Formato anterior:machine-name_source-computer-id_VMUUID
  • Desta atualização:machine-name_VMUUID

Outubro de 2021

As atualizações de outubro incluem:

Gerenciamento de Ameaças e Vulnerabilidades da Microsoft adicionado como solução de avaliação de vulnerabilidade da Microsoft (em versão prévia)

Ampliamos a integração entre o Azure Defender para servidores e o Microsoft Defender para ponto de extremidade a fim de dar suporte a uma nova avaliação de vulnerabilidade fornecidas para seus computadores: Gerenciamento de Ameaças e Vulnerabilidades da Microsoft.

Use o Gerenciamento de ameaças e vulnerabilidades: para descobrir as vulnerabilidades e as configurações incorretas quase em tempo real com a integração com o Microsoft Defender para Ponto de Extremidade habilitado, e sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de Ameaças e Vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças e detecções em sua organização.

Use a recomendação de segurança "Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais" para mostrar as vulnerabilidades detectadas pelo Gerenciamento de Ameaças e Vulnerabilidades para suas máquinas com suporte.

Para mostrar as vulnerabilidades automaticamente, em máquinas novas e existentes, sem a necessidade de corrigir manualmente a recomendação, consulte As soluções de avaliação de vulnerabilidades agora podem ser habilitadas automaticamente (em versão prévia).

Saiba mais em Investigar os pontos fracos com o Gerenciamento de Ameaças e Vulnerabilidades do Microsoft Defender para Ponto de Extremidade.

As soluções de avaliação de vulnerabilidade agora podem ser habilitadas automaticamente (em versão prévia)

A página de provisionamento automático da Central de Segurança agora inclui a opção de habilitar automaticamente uma solução de avaliação de vulnerabilidade para máquinas virtuais do Azure e máquinas de Azure Arc em assinaturas protegidas pelo Azure Defender para servidores.

Se aintegração com o Microsoft Defender para Ponto de Extremidadeestiver habilitada, o Defender para Nuvem oferecerá uma escolha de soluções de avaliação de vulnerabilidade:

  • (NOVO) O módulo de Gerenciamento de Ameaças e Vulnerabilidades da Microsoft do Microsoft Defender para Ponto de Extremidade (consulte a nota de lançamento)
  • O agente Qualys integrado

Configure o provisionamento automático do Gerenciamento de Ameaças e Vulnerabilidades da Microsoft na Central de Segurança do Azure.

Sua solução escolhida será habilitada automaticamente em computadores com suporte.

Saiba mais em Configurar automaticamente a avaliação de vulnerabilidade para os seus computadores.

Filtros de inventário de software adicionados ao inventário de ativos (em versão prévia)

A página de inventário de ativo agora inclui um filtro para selecionar computadores que executam software específico e até mesmo especificar as versões de interesse.

Além disso, você pode consultar os dados de inventário de software no Explorador do Azure Resource Graph .

Para usar esses novos recursos, você precisará habilitar a Integração com o Microsoft Defender para Ponto de Extremidade.

Para obter detalhes completos, incluindo consultas de exemplo de Kusto para o Azure Resource Graph, consulte Acessar um inventário de software.

Se você habilitou a solução de ameaça e vulnerabilidade, o inventário de ativos da Central de Segurança oferecerá um filtro para selecionar os recursos por seu software instalado.

Alteração de prefixo de alguns tipos de alerta de "ARM_" para "VM_"

Em julho de 2021, anunciamos uma reorganização lógica dos alertas do Azure Defender para Resource Manager

Como parte de uma reorganização lógica de alguns dos planos do Azure Defender, movemos 21 alertas do Azure Defender para Resource Manager para o Azure Defender para servidores.

Com essa atualização, mudamos os prefixos desses alertas para corresponder a essa reatribuição e substituímos "ARM_" por "VM_", conforme mostrado na seguinte tabela:

Nome original A partir dessa alteração
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Saiba mais sobre os planos do Azure Defender para Resource Manager e Azure Defender para servidores.

Alterações na lógica de uma recomendação de segurança para clusters do Kubernetes

A recomendação "Os clusters do Kubernetes não devem usar o namespace padrão" impede o uso do namespace padrão para uma variedade de tipos de recursos. Dois dos tipos de recursos incluídos nessa recomendação foram removidos: ConfigMap e Segredo.

Saiba mais sobre essa recomendação e como proteger os clusters do Kubernetes em Noções Básicas do Azure Policy para clusters do Kubernetes.

Para esclarecer as relações entre diferentes recomendações, adicionamos uma área de Recomendações relacionadas às páginas de detalhes de várias recomendações.

Os três tipos de relação mostrados nessas páginas são:

  • Pré-requisito – Uma recomendação que precisa ser concluída antes da recomendação selecionada
  • Alternativa – Uma recomendação diferente que oferece outra maneira de atingir as metas da recomendação selecionada
  • Dependente – Uma recomendação da qual a recomendação selecionada é um pré-requisito

Para cada recomendação relacionada, o número de recursos não íntegros é mostrado na coluna "Recursos afetados".

Dica

Se uma recomendação relacionada estiver em cinza, a respectiva dependência ainda não estará concluída e, portanto, não estará disponível.

Um exemplo de recomendações relacionadas:

  1. A Central de Segurança verifica se há soluções de avaliação de vulnerabilidades com suporte nos seus computadores:
    Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais

  2. Se uma solução for encontrada, você receberá uma notificação sobre as vulnerabilidades descobertas:
    As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas

Obviamente, a Central de Segurança não poderá enviar notificações sobre as vulnerabilidades descobertas se não encontrar uma solução de avaliação de vulnerabilidades com suporte.

Portanto:

  • A recomendação nº 1 é um pré-requisito da recomendação nº 2
  • A recomendação nº 2 depende da recomendação nº 1

Captura de tela da recomendação para implantar uma solução de avaliação de vulnerabilidades.

Captura de tela da recomendação para resolver as vulnerabilidades descobertas.

Novos alertas para Azure Defender para Kubernetes (em versão prévia)

Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Kubernetes, adicionamos dois alertas em versão prévia.

Esses alertas são gerados com base em um novo modelo de machine learning e na análise avançada do Kubernetes, medindo vários atributos de implantação e de atribuição de função e comparando-os a atividades anteriores no cluster e em todos os clusters monitorados pelo Azure Defender.

Alerta (tipo de alerta) Descrição Tática MITRE Severity
Implantação de pod anormal (versão prévia)
(K8S_AnomalousPodDeployment)
A análise de log de auditoria do Kubernetes detectou a implantação de pod que é anormal com base na atividade de implantação de pod anterior. Essa atividade é considerada uma anormalidade ao levar em conta como os diferentes recursos vistos na operação de implantação estão em relações entre si. Os recursos monitorados por essa análise incluem o registro de imagem de contêiner usado, a conta que executa a implantação, o dia da semana, a frequência com que essa conta executa implantações de pod, o agente de usuário usado na operação, esse é um namespace que é a implantação de pod que ocorre com frequência ou outro recurso. Os principais motivos que contribuem para a criação desse alerta como atividade anormal são detalhados nas propriedades estendidas do alerta. Execução Médio
Permissões de função excessivas atribuídas no cluster do Kubernetes (versão prévia)
(K8S_ServiceAcountPermissionAnomaly)
A análise dos logs de auditoria do Kubernetes detectou uma atribuição de função de permissões excessivas ao cluster. Ao examinar as atribuições de função, as permissões listadas são incomuns para a conta de serviço específica. Essa detecção considera as atribuições de função anteriores para a mesma conta de serviço em clusters monitorados pelo Azure, volume por permissão e o impacto da permissão específica. O modelo de detecção de anormalidades usado para esse alerta leva em conta como essa permissão é usada em todos os clusters monitorados por Azure Defender. Escalonamento de Privilégios Baixo

Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.

Setembro de 2021

Em setembro, a seguinte atualização foi lançada:

Duas novas recomendações para auditar as configurações do sistema operacional para conformidade da linha de base de segurança do Azure (em versão prévia)

Estas duas recomendações foram lançadas para avaliar a conformidade dos computadores com a linha de base de segurança do Windows e a linha de base de segurança do Linux:

Essas recomendações usam o recurso de configuração de convidado do Azure Policy para comparar a configuração do sistema operacional de um computador com a linha de base definida no Azure Security Benchmark.

Saiba mais sobre como usar essas recomendações em Proteger a configuração do sistema operacional de um computador usando a configuração de convidado.

Agosto de 2021

As atualizações de agosto incluem:

O Microsoft Defender para Ponto de Extremidade para Linux agora tem suporte do Azure Defender para servidores (em versão prévia)

O Azure Defender para servidores inclui uma licença integrada para o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado na Central de Segurança. Na Central de Segurança, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.

Durante o período de visualização, você implantará o sensor do Defender para Ponto de Extremidade para Linux em computadores Linux com suporte de uma das duas maneiras possíveis, dependendo de se você já o implantou nos seus computadores Windows:

Saiba mais em Proteger seus pontos de extremidade com a solução EDR integrada da Central de Segurança: Microsoft Defender para Ponto de extremidade.

Duas novas recomendações para gerenciar soluções de proteção do ponto de extremidade (em versão prévia)

Adicionamos duas recomendações de versão prévia para implantar e manter as soluções de proteção do ponto de extremidade no seu computador. Ambas as recomendações incluem suporte para máquinas virtuais do Azure e máquinas conectadas a servidores habilitados do Azure Arc.

Recomendação Descrição Severidade
O Endpoint Protection deve ser instalado nos computadores Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte.
Saiba mais sobre como a Endpoint Protection para os computadores é avaliada.
(Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure)
Alto
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção do ponto de extremidade da Central de Segurança do Azure estão documentadas aqui. A avaliação da proteção de ponto de extremidade está documentada aqui.
(Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure)
Médio

Observação

As recomendações mostram o intervalo de atualização como 8 horas, mas há alguns cenários em que isso pode levar muito mais tempo. Por exemplo, quando um computador local é excluído, a Central de Segurança leva 24 horas para identificar a exclusão. Depois disso, a avaliação levará até oito horas para retornar as informações. Portanto, nessa situação específica, o computador pode levar 32 horas para ser removido da lista de recursos afetados.

Indicador de intervalo de atualização para essas duas novas recomendações da Central de Segurança

Solução de problemas e diretrizes internas para solucionar problemas comuns

Uma nova área dedicada das páginas da Central de Segurança no portal do Azure fornece um conjunto de materiais de ajuda autônoma cada vez mais amplo para resolver desafios comuns da Central de Segurança e do Azure Defender.

Quando você estiver enfrentando um problema ou estiver buscando conselhos de nossa equipe de suporte, Diagnosticar e resolver problemas é outra ferramenta para ajudar a encontrar a solução:

Página

Relatórios de auditoria do Azure do painel de conformidade regulatória liberados para GA (disponibilidade geral)

A barra de ferramentas do painel de conformidade regulatória oferece relatórios de certificação do Azure e do Dynamics para os padrões aplicados às suas assinaturas.

Barra de ferramentas do painel de conformidade regulatória mostrando o botão para gerar relatórios de auditoria.

Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.

Para obter mais informações, confira Gerar certificados e relatórios de status de conformidade.

Listas com guias de relatórios de Auditoria do Azure disponíveis. São mostradas guias para relatórios ISO, relatórios SOC, PCI e muito mais.

Substituição da recomendação "Os problemas de integridade do agente do Log Analytics devem ser resolvidos nos computadores"

Descobrimos que a recomendação de problemas de integridade do agente do Log Analytics devem ser resolvidos em suas máquinas afeta as pontuações seguras de maneiras inconsistentes com o foco do GPSN (Gerenciamento de Postura de Segurança na Nuvem) da Central de Segurança. Normalmente, o GPSN está relacionado à identificação de configurações incorretas de segurança. Os problemas de integridade do agente não se encaixam nessa categoria de problemas.

Além disso, a recomendação é uma anomalia quando comparada com os outros agentes relacionados à Central de Segurança: esse é o único agente com uma recomendação relacionada a problemas de integridade.

A recomendação foi preterida.

Como resultado dessa descontinuação, também fizemos pequenas alterações nas recomendações para instalar o agente do Log Analytics (O agente do Log Analytics deve ser instalado em... ).

Provavelmente essa alteração afetará suas classificações de segurança. Para a maioria das assinaturas, a expectativa é que a alteração leve a uma classificação maior, mas é possível que as atualizações da recomendação de instalação possam resultar em redução da classificação, em alguns casos.

Dica

A página de inventário de ativos também será afetada por essa alteração, pois exibe o status monitorado de computadores (monitorado, não monitorado ou monitorado parcialmente – um estado que se refere a um agente com problemas de integridade).

O Azure Defender para registros de contêiner inclui um verificador de vulnerabilidade para examinar imagens no seu Registro de Contêiner do Azure. Saiba como verificar seus registros e corrigir descobertas em Usar o Azure Defender para registros de contêiner para verificar suas imagens quanto a vulnerabilidades.

Para limitar o acesso a um registro hospedado no Registro de Contêiner do Azure, atribua endereços IP privados da rede virtual aos pontos de extremidade do registro e use o Link Privado do Azure conforme explicado em Conectar-se de forma privada a um registro de contêiner do Azure usando um Link Privado do Azure.

Como parte de nossos esforços contínuos para dar suporte a ambientes e casos de uso adicionais, o Azure Defender agora também examina os registros de contêiner protegidos com Link Privado do Azure.

A Central de Segurança agora pode provisionar automaticamente a extensão de Configuração de Convidado do Azure Policy (em versão prévia)

O Azure Policy pode auditar as configurações dentro de um computador, tanto para computadores em execução no Azure quanto em Computadores Conectados pelo Arc. A validação é executada pela extensão e pelo cliente de Configuração de Convidado. Saiba mais em Entender a Configuração de Convidado do Azure Policy.

Com esta atualização, agora você pode configurar a Central de Segurança para provisionar automaticamente essa extensão para todos os computadores com suporte.

Habilitar a implantação automática da extensão de Configuração de Convidado.

Saiba mais sobre como o provisionamento automático funciona em Configurar o provisionamento automático para agentes e extensões.

As recomendações para habilitar os planos do Azure Defender agora dão suporte a "Impor"

A Central de Segurança inclui dois recursos que ajudam a garantir que recursos recém-criados sejam provisionados de forma segura: impor e negar. Quando uma recomendação oferece essas opções, você pode garantir que seus requisitos de segurança sejam atendidos sempre que alguém tentar criar um recurso:

  • Negar interrompe a criação de recursos não íntegros
  • Impor corrige automaticamente recursos não compatíveis quando eles são criados

Com esta atualização, a opção Impor agora está disponível nas recomendações para habilitar planos do Azure Defender (como O Azure Defender para o Serviço de Aplicativo deve estar habilitado, O Azure Defender para Key Vault deve estar habilitado, O Azure Defender para Armazenamento deve estar habilitado).

Saiba mais sobre essas opções em Impedir configurações incorretas com as recomendações de Impor/Negar.

Exportações de CSV de dados de recomendação agora limitadas a 20 MB

Estamos instituindo um limite de 20 MB ao exportar dados de recomendações da Central de Segurança.

Botão 'baixar relatório CSV' da Central de Segurança para exportar dados de recomendação.

Se for necessário exportar grandes quantidades de dados, use os filtros disponíveis antes de selecionar ou selecione subconjuntos de suas assinaturas e baixe os dados em lotes.

Como filtrar assinaturas no portal do Azure.

Saiba mais sobre como executar uma exportação CSV das recomendações de segurança.

A página de recomendações agora inclui várias exibições

A página de recomendações agora tem duas guias para fornecer maneiras alternativas de exibir as recomendações relevantes para seus recursos:

  • Recomendações de classificação de segurança – Use essa guia para exibir a lista de recomendações agrupadas por controle de segurança. Saiba mais sobre esses controles em Controles de segurança e suas recomendações.
  • Todas as recomendações – Use essa guia para exibir a lista de recomendações como uma lista simples. Essa guia também é excelente para entender qual iniciativa (incluindo padrões de conformidade regulatória) gerou a recomendação. Saiba mais sobre iniciativas e sua relação com as recomendações em O que são políticas de segurança, iniciativas e recomendações?

Guias para alterar a exibição da lista de recomendações na Central de Segurança do Azure.

Julho de 2021

As atualizações de julho incluem:

O conector do Azure Sentinel agora inclui a sincronização opcional de alertas bidirecionais (em versão prévia)

A Central de Segurança se integra nativamente ao Azure Sentinel, a solução de SIEM e SOAR nativa de nuvem do Azure.

O Azure Sentinel inclui conectores internos para a Central de Segurança do Azure nos níveis de assinatura e locatário. Saiba mais em Alertas do Stream para o Azure Sentinel.

Quando você conecta o Azure Defender ao Azure Sentinel, o status dos alertas do Azure Defender que são ingeridos no Azure Sentinel são sincronizados entre os dois serviços. Portanto, por exemplo, quando um alerta for fechado no Azure Defender, esse alerta também será exibido como fechado no Azure Sentinel. Alterar o status de um alerta no Azure Defender "não" afetará o status de nenhum incidente do Azure Sentinel que contenha o alerta do Azure Sentinel sincronizado, somente o do alerta sincronizado em si.

Habilitar a versão prévia do recurso, a sincronização de alertas bilateral, sincronizará automaticamente o status dos alertas originais do Azure Defender com incidentes do Azure Sentinel que contêm as cópias desses alertas do Azure Defender. Portanto, por exemplo, quando um incidente do Azure Sentinel que contém um alerta do Azure Defender for fechado, o Azure Defender fechará automaticamente o alerta original correspondente.

Saiba mais em Conectar alertas do Azure Defender da Central de Segurança do Azure.

Reorganização lógica do Azure Defender para alertas do Resource Manager

Os alertas listados abaixo são fornecidos atualmente como parte do plano do Azure Defender para Resource Manager.

Como parte de uma reorganização lógica de alguns dos planos do Azure Defender, movemos alguns alertas do Azure Defender para Resource Manager para o Azure Defender para servidores.

Os alertas são organizados de acordo com dois princípios essenciais:

  • Alertas que fornecem proteção de plano de controle – em vários tipos de recursos do Azure, são parte do Azure Defender para Resource Manager
  • Alertas que protegem cargas de trabalho específicas estão no plano do Azure Defender relacionado à carga de trabalho correspondente

Estes são os alertas que faziam parte do Azure Defender para Resource Manager e que, como resultado dessa alteração, agora fazem parte do Azure Defender para servidores:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Saiba mais sobre os planos do Azure Defender para Resource Manager e Azure Defender para servidores.

Aprimoramentos na recomendação para habilitar o ADE (Azure Disk Encryption)

Após os comentários de usuários, renomeamos a recomendação A criptografia de disco deve ser aplicada em máquinas virtuais.

A nova recomendação usa a mesma ID de avaliação e é chamada Máquinas virtuais devem criptografar fluxos de dados, caches e discos temporários entre recursos de Computação e de Armazenamento.

A descrição também foi atualizada para explicar melhor a finalidade dessa recomendação de proteção:

Recomendação Descrição Severidade
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e de Armazenamento Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves de criptografia gerenciada pela plataforma; os caches de dados e discos temporários não são criptografados, e os dados não são criptografados durante o fluxo entre recursos de computação e de armazenamento. Para obter mais informações, consulte a comparação de diferentes tecnologias de criptografia de disco no Azure.
Use o Azure Disk Encryption para criptografar todos esses dados. Desconsidere essa recomendação se: (1) você estiver usando o recurso de criptografia no host ou (2) a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais sobre a criptografia do lado do servidor do Armazenamento em Disco do Azure.
Alto

Exportação contínua de dados de conformidade regulatória e classificação de segurança para GA (disponibilidade geral)

A exportação contínua fornece o mecanismo para exportar seus alertas de segurança e recomendações para acompanhamento com outras ferramentas de monitoramento em seu ambiente.

Ao configurar a sua exportação contínua, você configura quais itens serão exportados e para onde eles vão. Saiba mais na visão geral de exportação contínua.

Aprimoramos e expandimos esse recurso ao longo do tempo:

Com esta atualização, essas duas opções são liberadas para GA (disponibilidade geral).

As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (GA)

Em fevereiro de 2021, adicionamos um terceiro tipo de dados de versão prévia às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória. Saiba mais em As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória.

Com esta atualização, essa opção de gatilho é liberada para GA (disponibilidade geral).

Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.

Como usar as avaliações de conformidade regulatória para disparar uma automação de fluxo de trabalho.

Campos de API de avaliações "FirstEvaluationDate" e "StatusChangeDate" agora disponíveis em esquemas de workspace e aplicativos lógicos

Em maio de 2021, atualizamos a API de Avaliação com dois novos campos, FirstEvaluationDate e StatusChangeDate. Para obter detalhes completos, confira API de Avaliações expandida com dois novos campos.

Esses campos eram acessíveis por meio da API REST, do Azure Resource Graph, da exportação contínua e nas exportações de CSV.

Com esta alteração, estamos disponibilizando as informações no esquema de workspace do Log Analytics e nos aplicativos lógicos.

Em março, anunciamos a experiência integrada de Pastas de Trabalho do Azure Monitor na Central de Segurança (confira Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos).

A versão inicial incluía três modelos para criar relatórios dinâmicos e visuais sobre a postura de segurança da sua organização.

Agora, adicionamos uma pasta de trabalho dedicada a acompanhar a conformidade de uma assinatura com os padrões regulatórios ou do setor aplicados a ela.

Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.

Pasta de trabalho Conformidade ao longo do tempo da Central de Segurança do Azure

Junho de 2021

As atualizações de junho incluem:

Novo alerta do Azure Defender para o Key Vault

Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Key Vault, adicionamos o seguinte alerta:

Alerta (tipo de alerta) Descrição Tática MITRE Severity
Acesso de um endereço IP suspeito para um cofre de chaves
(KV_SuspiciousIPAccess)
Um cofre de chaves foi acessado com êxito por um IP que foi identificado pela Inteligência contra Ameaças da Microsoft como um endereço IP suspeito. Isso pode indicar que sua infraestrutura foi comprometida. Recomendamos investigações adicionais. Saiba mais sobre as funcionalidades de inteligência contra ameaças da Microsoft. Acesso com credencial Médio

Para obter mais informações, consulte:

Recomendações para criptografar com CMKs (chaves gerenciadas pelo cliente) desabilitadas por padrão

A Central de Segurança inclui várias recomendações para criptografar dados inativos com chaves gerenciadas pelo cliente, como por exemplo:

  • Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
  • Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)

Os dados no Azure são criptografados automaticamente usando chaves gerenciadas pela plataforma. Portanto, o uso de chaves gerenciadas pelo cliente deve ser aplicado somente quando necessário para conformidade com uma política específica que sua organização está optando por exigir.

Com essa alteração, as recomendações para usar CMKs agora estão desabilitadas por padrão. Quando for relevante para sua organização, você pode habilitá-los alterando o parâmetro Efeito da política de segurança correspondente para AuditIfNotExists ou Exigir. Saiba mais em Habilitar uma política de segurança.

Essa alteração é refletida nos nomes da recomendação com um novo prefixo [Habilitar se necessário] , conforme mostrado nos exemplos a seguir:

  • [Habilitar se necessário] As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografar dados inativos
  • [Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • [Habilitar se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos

As recomendações da CMK da Central de Segurança são desabilitadas por padrão.

O prefixo de alertas do Kubernetes mudou de "AKS_" para "K8S_"

O Azure Defender para Kubernetes foi expandido recentemente para proteger os clusters do Kubernetes hospedados localmente e em ambientes de várias nuvens. Saiba mais em Como usar o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (em versão prévia).

Para refletir o fato de que os alertas de segurança fornecidos pelo Azure Defender para Kubernetes não estão mais restritos aos clusters no Serviço de Kubernetes do Azure, o prefixo dos tipos de alerta mudou de "AKS_" para "K8S_". Quando necessário, os nomes e as descrições também serão atualizados. Por exemplo, este alerta:

Alerta (tipo de alerta) Descrição
Ferramenta de teste de penetração do Kubernetes detectada
(AKS_PenTestToolsKubeHunter)
A análise de logs de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do AKS. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.

mudou para:

Alerta (tipo de alerta) Descrição
Ferramenta de teste de penetração do Kubernetes detectada
(K8S_PenTestToolsKubeHunter)
A análise de logs de auditoria do Kubernetes detectou o uso da ferramenta de teste de penetração do Kubernetes no cluster do Kubernetes. Embora esse comportamento possa ser legítimo, os invasores podem usar essas ferramentas públicas para fins mal-intencionados.

As regras de supressão que se referem aos alertas que começam com "AKS_" foram convertidas automaticamente. Se você configurou exportações do SIEM ou scripts de automação personalizados que se referem aos alertas do Kubernetes por tipo de alerta, precisará atualizá-los com os novos tipos de alertas.

Para obter uma lista completa dos alertas do Kubernetes, confira Alertas dos clusters do Kubernetes.

Foram preteridas duas recomendações do controle de segurança "Aplicar atualizações do sistema"

As duas recomendações abaixo foram preteridas:

  • A versão do sistema operacional das funções de serviço de nuvem deverá ser atualizada – Por padrão, o Azure atualiza de modo periódico o SO convidado para obter a imagem compatível mais recente dentro da família de sistemas operacionais especificada em sua configuração de serviço (.cscfg), como o Windows Server 2016.
  • Os Serviços de Kubernetes deverão ser atualizados para uma versão do Kubernetes não vulnerável – Esta avaliação da recomendação não é tão abrangente quanto gostaríamos. Planejamos substituir a recomendação por uma versão aprimorada mais alinhada às suas necessidades de segurança.

Maio de 2021

As atualizações de maio incluem:

Azure Defender para DNS e Azure Defender para Resource Manager liberados para GA (disponibilidade geral)

Esses dois planos de proteção contra ameaças de amplitude nativa de nuvem agora são GA.

Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.

Para simplificar o processo de habilitação desses planos, use as recomendações:

  • O Azure Defender para Resource Manager deve ser habilitado
  • O Azure Defender para DNS deve ser habilitado

Observação

Habilitar os planos do Azure Defender resultará em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.

Azure Defender para bancos de dados relacionais de código aberto liberado para GA (Disponibilidade Geral)

A Central de Segurança do Azure expande sua oferta de proteção do SQL com um novo pacote para abranger seus bancos de dados relacionais de código aberto:

  • Azure Defender para servidores do Banco de Dados SQL do Azure – Defende os seus SQL Servers nativos do Azure
  • Azure Defender para SQL Servers em computadores – Estende as mesmas proteções para os seus SQL Servers em ambientes híbridos, multinuvem e locais
  • Azure Defender para bancos de dados relacionais open-source - protege seus servidores únicos de Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB

O Azure Defender para bancos de dados relacionais open-source monitora constantemente seus servidores em busca de ameaças à segurança e detecta atividades anormais de banco de dados que indicam possíveis ameaças ao Banco de Dados do Azure para MySQL, PostgreSQL e MariaDB. Alguns exemplos são:

  • Detecção granular de ataques de força bruta – o Azure Defender para bancos de dados relacionais de código aberto fornece informações detalhadas sobre tentativas e ataques de força bruta bem-sucedidos. Isso permite que você investigue e atue tendo uma compreensão mais ampla da natureza e do status do ataque em seu ambiente.
  • Detecção de alertas comportamentais – o Azure Defender para bancos de dados relacionais open-source alerta sobre comportamentos suspeitos e inesperados em seus servidores, como por exemplo, alterações no padrão de acesso ao banco de dados.
  • Detecção baseada em inteligência contra ameaças – O Azure Defender aplica a inteligência contra ameaças da Microsoft e a vasta base de dados de conhecimento para mostrar os alertas de ameaças de modo que você possa agir contra elas.

Saiba mais em Introdução ao Azure Defender para bancos de dados relacionais open-source.

Novos alertas do Azure Defender para Resource Manager

Para expandir as proteções contra ameaças fornecidas pelo Azure Defender para Resource Manager, adicionamos os seguintes alertas:

Alerta (tipo de alerta) Descrição Táticas MITRE Severity
Permissões concedidas para uma função RBAC de uma maneira incomum para seu ambiente do Azure (versão prévia)
(ARM_AnomalousRBACRoleAssignment)
O Azure Defender para Resource Manager detectou uma atribuição de função RBAC incomum quando comparada com outras atribuições executadas pelo mesmo designador/executada para o mesmo destinatário/em seu locatário, devido às seguintes anomalias: hora de atribuição, local do designador, designador, método de autenticação, entidades atribuídas, software cliente usado, extensão de atribuição. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando conceder permissões a uma outra conta de usuário. Movimento lateral, Evasão de defesa Médio
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia)
(ARM_PrivilegedRoleDefinitionCreation)
O Azure Defender para Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção. Movimento lateral, Evasão de defesa Baixo
Operação do Azure Resource Manager a partir de um endereço IP suspeito (versão prévia)
(ARM_OperationFromSuspiciousIP)
O Azure Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito nos feeds da inteligência contra ameaças. Execução Médio
Operação do Azure Resource Manager a partir de um endereço IP de proxy suspeito (versão prévia)
(ARM_OperationFromSuspiciousProxyIP)
O Azure Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP que está associado aos serviços de proxy, como TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem. Evasão de defesa Médio

Para obter mais informações, consulte:

Verificação de vulnerabilidade de CI/CD de imagens de contêiner com fluxos de trabalho do GitHub e Azure Defender (versão prévia)

O Azure Defender para registros de contêiner agora fornece observabilidade das equipes DevSecOps nos fluxos de trabalho do GitHub Action.

O novo recurso de verificação de vulnerabilidade para imagens de contêiner utilizando Trivy, ajuda os desenvolvedores a verificar vulnerabilidades comuns em suas imagens de contêineres antes de enviar imagens para registros de contêiner.

Os relatórios de verificação de contêiner são resumidos na Central de Segurança do Azure, fornecendo às equipes de segurança, melhores insights e compreensão sobre a fonte de imagens de contêiner vulneráveis e os fluxos de trabalho e repositórios de onde elas se originam.

Saiba mais em Identificar imagens de contêiner vulneráveis em seus fluxos de trabalho CI/CD.

Mais consultas do Resource Graph disponíveis para algumas recomendações

Todas as recomendações da Central de Segurança têm a opção de exibir as informações sobre o status dos recursos afetados usando o Azure Resource Graph a partir do Abrir consulta. Para saber mais sobre esse recurso poderoso, consulte Analisar dados de recomendação no Explorer do ARG (Azure Resource Graph).

A Central de Segurança inclui verificadores de vulnerabilidades internos para examinar as VMs, servidores SQL e seus hosts e registros de contêiner contra vulnerabilidades de segurança. As conclusões são retornadas como recomendações mostradas uma única exibição, com todas as descobertas individuais de cada tipo de recurso coletado. As recomendações são:

  • As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas (da plataforma Qualys)
  • As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
  • Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas
  • Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas

Com essa alteração, você pode usar o botão Abrir consulta para abrir a consulta e mostrar também as descobertas de segurança.

O botão abrir consulta agora oferece opções para uma consulta mais detalhada, mostrando as descobertas de segurança para as recomendações relacionadas ao verificador de vulnerabilidades.

O botão Abrir consulta oferece opções adicionais para algumas outras recomendações, quando relevante.

Saiba mais sobre os verificadores de vulnerabilidades da Central de Segurança:

Alterada a severidade da recomendação de classificação de dados SQL

A severidade da recomendação Dados confidenciais nos bancos de dado SQL deve ser classificada foi alterada de Alta para Baixa.

Isso faz parte de uma mudança em curso para essa recomendação, anunciada em nossa página de alterações futuras.

Novas recomendações para habilitar recursos de início confiável (em versão prévia)

O Azure oferece o início confiável como uma maneira simples de melhorar a segurança de VMs de geração 2. O início confiável protege contra técnicas de ataque avançadas e persistentes. Este serviço é composto por várias tecnologias de infraestrutura coordenadas que podem ser habilitadas de forma independente. Cada tecnologia fornece mais uma camada de defesa contra ameaças sofisticadas. Saiba mais em Início confiável para máquinas virtuais do Azure.

Importante

O início confiável requer a criação de novas máquinas virtuais. Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.

O início confiável está atualmente em visualização pública. Essa versão prévia é fornecida sem um Contrato de Nível de Serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.

A recomendação da Central de Segurança, vTPM deve ser habilitada em máquinas virtuais com suporte, garante que as VMs do Azure estejam usando um vTPM. Essa versão virtualizada de um Módulo de plataforma confiável de hardware habilita o atestado medindo toda a cadeia de inicialização da VM (UEFI, SO, sistema e drivers).

Com o vTPM habilitado, a extensão de Atestado de convidado pode validar remotamente a inicialização segura. As recomendações a seguir garantem que essa extensão seja implantada:

  • A Inicialização segura deve estar habilitada em máquinas virtuais compatíveis do Windows
  • A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Windows
  • A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Windows
  • A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux
  • A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux

Saiba mais em Início confiável para máquinas virtuais do Azure.

Novas recomendações para fortalecer clusters Kubernetes (em versão prévia)

As recomendações a seguir permitem que você proteja ainda mais os clusters Kubernetes

  • Os clusters Kubernetes não devem usar o namespace padrão – evite o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado de tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount.
  • Os clusters Kubernetes devem desabilitar a montagem automática de credenciais de API – para impedir que um recurso Pod possivelmente comprometido execute comandos de API em clusters Kubernetes, desabilite as credenciais da API de montagem automática.
  • Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN

Saiba como a Central de Segurança pode proteger seus ambientes em contêineres em Segurança de contêiner na Central de Segurança.

API de avaliações expandida com dois novos campos

Adicionamos os dois campos a seguir à API REST de avaliações:

  • FirstEvaluationDate – a hora em que a recomendação foi criada e avaliada pela primeira vez. Retornado como hora UTC no formato ISO 8601.
  • StatusChangeDate – a hora em que o status da recomendação foi alterado pela última vez. Retornado como hora UTC no formato ISO 8601.

O valor padrão inicial para esses campos - para todas as recomendações – é 2021-03-14T00:00:00+0000000Z.

Para acessar essas informações, use qualquer um dos métodos na tabela a seguir.

Ferramenta Detalhes
Chamada da API REST GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Gráfico de Recursos do Azure securityresources
where type == "microsoft.security/assessments"
Exportação contínua Os dois campos dedicados estarão disponíveis nos dados do workspace do Log Analytics
Exportação de CSV Os dois campos foram incluídos nos arquivos CSV

Saiba mais sobre a API REST de avaliações.

O inventário de ativos obtém um filtro de ambiente de nuvem

A página de inventário de ativos da Central de Segurança oferece muitos filtros para refinar rapidamente a lista de recursos exibidos. Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.

Um novo filtro oferece a opção de refinar a lista de acordo com as contas de nuvem que você conectou com os recursos de várias nuvens da Central de Segurança:

Filtro de ambiente do inventário

Saiba mais sobre as funcionalidades de várias nuvens:

Abril de 2021

As atualizações de abril incluem:

Página de integridade de recursos atualizada (em versão prévia)

A integridade de recursos da Central de Segurança foi expandida, melhorada e aprimorada para fornecer uma exibição de instantâneo da integridade geral de um único recurso.

Examine informações detalhadas sobre o recurso e todas as recomendações que se aplicam a esse recurso. Além disso, se você estiver usando os planos de proteção avançada do Microsoft Defender, também poderá ver alertas de segurança pendentes para esse recurso específico.

Para abrir a página de integridade de recursos, selecione qualquer recurso na página de inventário de ativos.

Esta página de versão prévia nas páginas do portal da Central de Segurança mostra:

  1. Informações do recurso: o grupo de recursos e a assinatura à qual ele está anexado, a localização geográfica, entre outros.
  2. Recurso de segurança aplicado: indica se o Azure Defender está habilitado para o recurso.
  3. Contagens de recomendações e alertas pendentes: o número de recomendações de segurança pendentes e alertas do Azure Defender.
  4. Recomendações e alertas acionáveis: duas guias listam as recomendações e os alertas que se aplicam ao recurso.

Página de integridade do recurso da Central de Segurança do Azure que mostra as informações de integridade de uma máquina virtual

Saiba mais em Tutorial: Investigar a integridade dos seus recursos.

As imagens do registro de contêiner que foram recentemente recebidas agora são examinadas novamente a cada semana (liberadas para disponibilidade geral (GA))

O Azure Defender para registros de contêiner inclui um examinador de vulnerabilidades interno. Ele examina imediatamente qualquer imagem que você envia por push para o registro e qualquer imagem extraída nos últimos 30 dias.

Novas vulnerabilidades são descobertas todos os dias. Com essa atualização, as imagens de contêiner que foram extraídas de seus registros durante os últimos 30 dias serão examinadas novamente a cada semana. Isso garante que as vulnerabilidades recém-descobertas sejam identificadas em suas imagens.

O exame é cobrado por imagem, portanto, não há nenhum custo adicional para estes exames feitos novamente.

Saiba mais sobre este exame em Usar o Azure Defender para registros de contêiner para verificar se há vulnerabilidades em suas imagens.

Use o Azure Defender para Kubernetes a fim de proteger as implantações do Kubernetes híbridas e de várias nuvens (versão prévia)

O Azure Defender para Kubernetes está expandindo as funcionalidades de proteção contra ameaças para defender seus clusters onde quer que estejam implantados. Isto foi habilitado pela integração com o Kubernetes habilitado do Azure Arc e suas novas funcionalidades de extensões.

Quando você tiver habilitado o Azure Arc nos clusters do Kubernetes não Azure, uma nova recomendação da Central de Segurança do Azure oferecerá implantar a extensão do Azure Defender neles com apenas alguns cliques.

Use a recomendação (Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Defender instalada) e a extensão para proteger os clusters do Kubernetes implantados em outros provedores de nuvem, embora não em seus serviços Kubernetes gerenciados.

Essa integração entre a Central de Segurança do Azure, o Azure Defender e o Kubernetes habilitado para Azure Arc traz:

  • Provisionamento fácil da extensão do Azure Defender para clusters do Kubernetes desprotegidos habilitados para Azure Arc (manualmente e em escala)
  • Monitoramento da extensão do Azure Defender e seu estado de provisionamento no portal do Azure Arc
  • As recomendações de segurança da Central de Segurança são relatadas na nova Página de Segurança do Portal do Azure Arc
  • As ameaças de segurança identificadas do Azure Defender são relatadas na nova página de segurança do portal do Azure Arc
  • Os clusters do Kubernetes habilitados para Azure Arc são integrados à plataforma e à experiência da Central de Segurança do Azure

Saiba mais em Usar o Azure Defender para Kubernetes com seus clusters do Kubernetes locais e de várias nuvens.

Recomendação da Central de Segurança do Azure para implantar a extensão do Azure Defender para clusters Kubernetes habilitados para o Azure Arc.

Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows, lançada para GA (disponibilidade geral)

O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar o Defender para Ponto de Extremidade juntamente com a Central de Segurança do Azure, confira Proteger os pontos de extremidade com a solução integrada de EDR da Central de Segurança: Microsoft Defender para Ponto de Extremidade.

Quando você habilita o Azure Defender para servidores com Windows Server, uma licença do Defender para Ponto de Extremidade é incluída no plano. Se você já habilitou o Azure Defender para servidores e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.

Agora o suporte foi expandido para incluir o Windows Server 2019 e o Windows 10 na Área de Trabalho Virtual do Windows.

Observação

Se você estiver habilitando o Defender para Ponto de Extremidade em um servidor com Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender para Ponto de Extremidade.

Recomendações para habilitar o Azure Defender para DNS e o Resource Manager (versão prévia)

Duas novas recomendações foram adicionadas para simplificar o processo de habilitar o Azure Defender para Resource Manager e o Azure Defender para DNS:

  • O Azure Defender para Resource Manager deve ser habilitado – O Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas.
  • O Azure Defender para DNS deve ser habilitado – O Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem, monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Azure Defender alertará você sobre atividades suspeitas na camada DNS.

Habilitar os planos do Azure Defender resultará em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança.

Dica

As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.

Três padrões de conformidade regulatória adicionados: Azure CIS 1.3.0, CMMC Nível 3 e ISM restrito da Nova Zelândia

Adicionamos três padrões para uso com a Central de Segurança do Azure. Usando o painel de conformidade regulatória, agora você pode controlar sua conformidade com:

Você pode atribuí-los a suas assinaturas, conforme descrito em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Três padrões adicionados para uso com o painel de conformidade regulatória da Central de Segurança do Azure.

Saiba mais em:

A extensão da Configuração de Convidado do Azure relata à Central de Segurança para ajudar a garantir que as configurações das máquinas virtuais para convidados sejam protegidas. A extensão não é necessária para servidores habilitados para o Arc porque está incluída no agente do Computador Conectado ao Arc. A extensão requer uma identidade gerenciada pelo sistema no computador.

Adicionamos quatro novas recomendações à Central de Segurança para aproveitar ao máximo essa extensão.

  • Duas recomendações solicitam que você instale a extensão e a identidade obrigatória dela gerenciada pelo sistema:

    • A extensão de Configuração de Convidado deve ser instalada nos seus computadores
    • A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema
  • Quando a extensão estiver instalada e em execução, ela começará a auditar seus computadores e você será solicitado a proteger as configurações, como a configuração do sistema operacional e as configurações de ambiente. Essas duas recomendações solicitarão que você proteja seus computadores Windows e Linux conforme descrito:

    • O Microsoft Defender Exploit Guard deve estar habilitado nos computadores
    • A autenticação para computadores Linux deve exigir chaves SSH

Saiba mais em Entender a Configuração de Convidado do Azure Policy.

As recomendações do CMK foram movidas para o controle de segurança de melhores práticas

O programa de segurança de cada organização inclui os requisitos de criptografia de dados. Por padrão, os dados dos clientes do Azure são criptografados em repouso com chaves gerenciadas pelo serviço. Entretanto, as CMKs (chaves gerenciadas pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. As CMKs permitem que você criptografe os dados com uma chave do Azure Key Vault criada por você e de sua propriedade. Isso dá a você o controle e a responsabilidade total pelo ciclo de vida da chave, incluindo rotação e gerenciamento.

Os controles de segurança da Central de Segurança do Azure são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Cada controle, tem um número máximo de pontos que você poderá adicionar à sua classificação de segurança se corrigir todas as recomendações listadas no controle, para todos os seus recursos. O controle de segurança para Implementar as melhores práticas de segurança vale zero pontos. Portanto, as recomendações neste controle não afetam sua classificação de segurança.

As recomendações listadas abaixo estão sendo movidas para o controle de segurança para Implementar as melhores práticas de segurança para refletir melhor sua natureza opcional. Essa transferência garantirá que estas recomendações estejam no controle mais apropriado para atender ao respectivo objetivo.

  • As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
  • Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
  • Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
  • Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
  • As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia

Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.

11 alertas do Azure Defender preteridos

Os 11 alertas do Azure Defender listados abaixo foram preteridos.

  • Novos alertas substituirão estes dois alertas e fornecerão uma cobertura melhor:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo VERSÃO PRÉVIA – Execução da função "Get-AzureDomainInfo" do kit de ferramentas do MicroBurst detectada
    ARM_MicroBurstRunbook VERSÃO PRÉVIA – Execução da função "Get-AzurePasswords" do kit de ferramentas do MicroBurst detectada
  • Estes nove alertas estão relacionados a um IPC do AAD (conector do Azure Active Directory Identity Protection) que já foi preterido:

    AlertType AlertDisplayName
    UnfamiliarLocation Propriedades de entrada desconhecidas
    AnonymousLogin Endereço IP anônimo
    InfectedDeviceLogin Endereço IP vinculado a malware
    ImpossibleTravel Viagem atípica
    MaliciousIP Endereço IP mal-intencionado
    LeakedCredentials Credenciais vazadas
    PasswordSpray Pulverização de senha
    LeakedCredentials Inteligência contra ameaças do Azure AD
    AADAI IA do Azure AD

    Dica

    Esses nove alertas do IPC nunca foram alertas da Central de Segurança. Eles fazem parte do IPC (conector de proteção de identidade) do AAD (Azure Active Directory) que estava enviando eles para a Central de Segurança. Nos últimos dois anos, os únicos clientes que viam esses alertas eram as organizações que configuraram a exportação (do conector para o ASC) em 2019 ou antes. O IPC do ADD continuou a mostrá-los em seus sistemas de alertas e eles continuaram disponíveis no Azure Sentinel. A única alteração é que eles não estão mais aparecendo na Central de Segurança.

Duas recomendações do controle de segurança "Aplicar atualizações do sistema" foram preteridas

As duas recomendações seguintes foram preteridas e as alterações podem resultar em um pequeno impacto na sua classificação de segurança:

  • Seus computadores devem ser reiniciados para que as atualizações do sistema sejam aplicadas
  • O agente de monitoramento deve ser instalado em seus computadores. Essa recomendação está relacionada somente a computadores locais e uma parte da lógica dela será transferida para outra recomendação, Problemas de integridade do agente do Log Analytics devem ser resolvidos em seus computadores

É recomendável verificar suas configurações de exportação contínua e automação de fluxo de trabalho para ver se essas recomendações estão incluídas nelas. Além disso, painéis ou outras ferramentas de monitoramento que possam estar as usando devem ser atualizados de acordo.

Saiba mais sobre cada uma dessas recomendações na página de referência de recomendações de segurança.

Azure Defender para SQL na peça do computador removida do painel do Azure Defender

A área de cobertura do painel do Azure Defender inclui blocos para os planos relevantes do Azure Defender para seu ambiente. Devido a um problema com o relatório dos números de recursos protegidos e desprotegidos, decidimos remover temporariamente o status de cobertura de recursos para o Azure Defender para SQL em computadores até que o problema seja resolvido.

Vinte e uma recomendações transferidas entre controles de segurança

As recomendações a seguir foram transferidas para controles de segurança diferentes. Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas e refletem superfícies vulneráveis a ataques. Essa transferência garantirá que cada uma dessas recomendações esteja no controle mais apropriado para atender ao respectivo objetivo.

Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.

Recomendação Alteração e respectivo impacto
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL
A avaliação de vulnerabilidades deve ser habilitada nas instâncias gerenciadas do SQL
As vulnerabilidades encontradas nos bancos de dados SQL deverão ser corrigidas novamente
As vulnerabilidades nos seus bancos de dados SQL em VMs devem ser corrigidas
Como executar uma transferência da opção Corrigir vulnerabilidades (vale seis pontos)
para Corrigir configurações de segurança (vale quatro pontos).
Essas recomendações terão um impacto reduzido em sua pontuação, dependendo do ambiente.
Deve haver mais de um proprietário atribuído à sua assinatura
As variáveis da conta de automação devem ser criptografadas
Dispositivos IoT – O processo auditado parou de enviar eventos
Dispositivos IoT – Houve uma falha na validação de linha de base do sistema operacional
Dispositivos IoT – É preciso atualizar o pacote de criptografia do TLS
Dispositivos IoT – Abrir portas no dispositivo
Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias
Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada
Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída
Os logs de diagnóstico no Hub IoT devem ser habilitados
Dispositivos IoT – O agente está enviando mensagens subutilizadas
Dispositivos IoT – A política de filtro IP padrão deverá ser negada
Dispositivos IoT – A regra de filtro IP é maior do que o intervalo de IP
Dispositivos IoT – Os intervalos e o tamanho das mensagens do agente deverão ser ajustados
Dispositivos IoT – As credenciais de autenticação são idênticas
Dispositivos IoT – O processo auditado parou de enviar eventos
Dispositivos IoT – A configuração de linha de base do SO (sistema operacional) deverá ser corrigida
Como executar uma transferência para a opção Implementar práticas recomendadas de segurança.
Ao transferir uma recomendação para a opção Implementar o controle de segurança de práticas recomendadas de segurança, que não vale pontos, a recomendação não afetará mais sua classificação de segurança.

Março de 2021

As atualizações de março incluem:

Gerenciamento de Firewall do Azure integrado à Central de Segurança

Quando você abre a Central de Segurança do Azure, a primeira página a ser exibida é a página de visão geral.

Esse painel interativo fornece uma exibição unificada da postura de segurança das cargas de trabalho de nuvem híbrida. Além disso, ela mostra alertas de segurança, informações de cobertura, entre outros.

Como parte da ajuda para exibir o status de segurança de uma experiência central, integramos o Gerenciador de Firewall do Azure a esse painel. Agora você pode verificar o status de cobertura do Firewall em todas as redes e gerenciar de forma centralizada as políticas de Firewall do Azure a partir da Central de Segurança.

Saiba mais sobre esse painel na página de visão geral da Central de Segurança do Azure.

Painel de visão geral da Central de Segurança com um bloco para o Firewall do Azure

Agora a avaliação de vulnerabilidades do SQL inclui a experiência "Desabilitar regra" (versão prévia)

A Central de Segurança inclui um scanner de vulnerabilidades interno para ajudar a descobrir, acompanhar e corrigir possíveis vulnerabilidades do banco de dados. Os resultados das verificações de avaliação fornecem uma visão geral do estado de segurança dos computadores SQL e detalhes sobre eventuais descobertas de segurança.

Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.

Saiba mais em Desabilitar descobertas específicas.

Pastas de Trabalho do Azure Monitor integradas à Central de Segurança e três modelos fornecidos

Como parte do Ignite Spring 2021, anunciamos uma experiência integrada das Pastas de Trabalho do Azure Monitor na Central de Segurança.

Você pode usar a nova integração para começar a utilizar os modelos prontos para uso da galeria da Central de Segurança. Usando modelos de pasta de trabalho, você pode acessar e criar relatórios dinâmicos e visuais para acompanhar a postura de segurança da organização. Além disso, você pode criar novas pastas de trabalho com base nos dados da Central de Segurança ou em qualquer outro tipo de dados com suporte e implantar rapidamente as pastas de trabalho da comunidade do GitHub da Central de Segurança.

São fornecidos três relatórios de modelos:

  • Classificação de segurança ao longo do tempo – Acompanhar as pontuações das assinaturas e as alterações das recomendações para os recursos
  • Atualizações do sistema – Exibir atualizações de sistema ausentes por recursos, sistema operacional, severidade e muito mais
  • Descobertas da avaliação de vulnerabilidade – Exibir as descobertas das verificações de vulnerabilidade dos recursos do Azure

Saiba mais sobre como usar esses relatórios ou criar seus relatórios em Criar relatórios interativos e avançados dos dados da Central de Segurança.

Relatório de classificação de segurança ao longo do tempo.

Agora o painel de conformidade regulatória inclui os relatórios de auditoria do Azure (versão prévia)

Na barra de ferramentas do painel de conformidade regulatória, agora você pode baixar relatórios de certificação do Azure e do Dynamics.

Barra de ferramentas do painel de conformidade regulatória

Você pode selecionar a guia dos tipos de relatórios relevantes (PCI, SOC, ISO e outros) e usar filtros para localizar os relatórios necessários específicos.

Saiba mais sobre Como gerenciar os padrões no painel de conformidade regulatória.

Como filtrar a lista de relatórios de auditoria disponíveis do Azure.

Os dados de recomendação podem ser exibidos no Azure Resource Graph com "Explorar no ARG"

As páginas de detalhes de recomendação agora incluem o botão de barra de ferramentas "Explorar no ARG". Use esse botão para abrir uma consulta do Azure Resource Graph e explorar, exportar e compartilhar os dados da recomendação.

O ARG (Azure Resource Graph) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure.

Saiba mais sobre o ARG (Azure Resource Graph).

Explore os dados de recomendação no Azure Resource Graph.

Atualizações das políticas para implantar a automação do fluxo de trabalho

A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.

Fornecemos três políticas 'DeployIfNotExist' do Azure Policy que criam e configuram os procedimentos de automação do fluxo de trabalho para que você possa implantar as automações na organização:

Goal Política ID da Política
Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas da Central de Segurança do Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações da Central de Segurança do Azure 73d6ab6c-2475-4850-afd6-43795f3492ef
Automação do fluxo de trabalho para alterações de conformidade regulatória Implantar a Automação de Fluxo de Trabalho para conformidade regulatória da Central de Segurança do Azure 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Há duas atualizações para os recursos dessas políticas:

  • Quando atribuídas, elas permanecerão habilitadas por aplicação.
  • Agora você pode personalizar essas políticas e atualizar qualquer um dos parâmetros mesmo depois que eles já tiverem sido implantados. Por exemplo, se um usuário quer adicionar outra chave de avaliação ou editar uma chave de avaliação existente, ele pode.

Introdução aos modelos de automação de fluxo de trabalho.

Saiba mais sobre como Automatizar respostas para os gatilhos da Central de Segurança.

Duas recomendações herdadas não gravam mais dados diretamente no log de atividades do Azure

A Central de Segurança transmite os dados de quase todas as recomendações de segurança para o Assistente do Azure, que, por sua vez, grava-os no log de atividades do Azure.

Para duas recomendações, os dados são gravados de modo simultâneo diretamente no log de atividades do Azure. Com essa alteração, a Central de Segurança para de gravar dados para essas recomendações de segurança herdadas diretamente no log de atividades. Em vez disso, os dados são exportados para o Assistente do Azure, assim como todas as outras recomendações.

As duas recomendações herdadas são:

  • Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores
  • As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas

Se você estiver acessando informações dessas duas recomendações na categoria "Recomendação do tipo TaskDiscovery" do log de atividades, isso não estará mais disponível.

Aprimoramentos na página de recomendações

Lançamos uma versão aprimorada da lista de recomendações para apresentar mais informações em uma visão rápida.

Agora, na página, você verá:

  1. A pontuação máxima e a pontuação atual de cada controle de segurança.
  2. Ícones que substituem marcas, como Correção e Versão prévia.
  3. Uma nova coluna mostrando a Iniciativa de política relacionada a cada recomendação, visível quando a opção "Agrupar por controles" está desabilitada.

Aprimoramentos na página de recomendações da Central de Segurança do Azure – Março de 2021

Aprimoramentos na lista 'simples' de recomendações da Central de Segurança do Azure – Março de 2021

Saiba mais em Recomendações de segurança na Central de Segurança do Azure.

Fevereiro de 2021

As atualizações de fevereiro incluem:

Nova página de alertas de segurança no portal do Azure lançada para GA (disponibilidade geral)

A página de alertas de segurança da Central de Segurança do Azure foi reprojetada para oferecer:

  • Experiência de triagem aprimorada para alertas – ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento.
  • Mais informações na lista de alertas – como táticas MITRE ATTACK.
  • Botão para criação de alertas de exemplo – para avaliar as funcionalidades do Azure Defender e testar a sua configuração de alertas (para integração do SIEM, notificações por email e automação de fluxo de trabalho), você pode criar alertas de exemplo em todos os planos do Azure Defender.
  • Alinhamento com a experiência de incidentes do Azure Sentinel – para clientes que usam os dois produtos, a troca entre eles agora é uma experiência mais simples, além de ser fácil aprender a usar deles com base no conhecimento adquirido com o outro.
  • Melhor desempenho para listas grandes de alertas.
  • Navegação por teclado na lista de alertas.
  • Alertas do Azure Resource Graph – você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.
  • Recurso de criação de alertas de exemplo – para criar alertas de exemplo por meio da nova experiência de alertas, confira Gerar alertas de exemplo do Azure Defender.

Lista de alertas de segurança da Central de Segurança do Azure

Recomendações de proteção de cargas de trabalho do Kubernetes lançadas para GA (disponibilidade geral)

Estamos felizes em anunciar a GA (disponibilidade geral) do conjunto de recomendações para proteções de cargas de trabalho do Kubernetes.

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança adicionou recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

Quando o complemento do Azure Policy para Kubernetes for instalado no seu cluster do AKS (Serviço de Kubernetes do Azure), todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas, exibidas como 13 recomendações de segurança, antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.

Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.

Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.

Observação

Enquanto as recomendações estavam em versão prévia, elas não renderizavam um recurso de cluster do AKS não íntegro e não eram incluídas nos cálculos da sua classificação de segurança. Com este comunicado de GA, elas serão incluídas no cálculo da classificação. Se você ainda não corrigiu, isso pode resultar em um pequeno impacto em sua classificação de segurança. Corrija-as sempre que possível, conforme descrito em Corrigir recomendações na Central de Segurança do Azure.

Agora, a integração do Microsoft Defender para Ponto de Extremidade com o Azure Defender dá suporte ao Windows Server 2019 e ao Windows 10 na Área de Trabalho Virtual do Windows (na versão prévia)

O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística na nuvem. Ele fornece gerenciamento e avaliação de vulnerabilidades com base no risco, bem como EDR (detecção e resposta de ponto de extremidade). Para obter uma lista completa dos benefícios de usar o Defender para Ponto de Extremidade juntamente com a Central de Segurança do Azure, confira Proteger os pontos de extremidade com a solução integrada de EDR da Central de Segurança: Microsoft Defender para Ponto de Extremidade.

Quando você habilita o Azure Defender para servidores com Windows Server, uma licença do Defender para Ponto de Extremidade é incluída no plano. Se você já habilitou o Azure Defender para servidores e tem servidores Windows Server 2019 em sua assinatura, eles receberão automaticamente o Defender para Ponto de Extremidade com essa atualização. Não é necessária nenhuma ação manual.

Agora o suporte foi expandido para incluir o Windows Server 2019 e o Windows 10 na Área de Trabalho Virtual do Windows.

Observação

Se você estiver habilitando o Defender para Ponto de Extremidade em um servidor com Windows Server 2019, verifique se ele atende aos pré-requisitos descritos em Habilitar a integração do Microsoft Defender para Ponto de Extremidade.

Quando você estiver examinando os detalhes de uma recomendação, muitas vezes, será útil poder ver a política subjacente. Para cada recomendação com suporte de uma política, há um novo link na página de detalhes da recomendação:

Link para a página do Azure Policy de uma política específica que dá suporte a uma recomendação.

Use esse link para ver a definição de política e examinar a lógica de avaliação.

Se você estiver examinando a lista de recomendações no nosso Guia de referência de recomendações de segurança, também verá links para as páginas de definição da política:

Como acessar a página do Azure Policy de uma política específica diretamente na página de referência de recomendações da Central de Segurança do Azure.

A recomendação de classificação de dados SQL não afeta mais a sua classificação de segurança

A recomendação Os dados confidenciais nos seus bancos de dados SQL devem ser classificados não afetará mais sua classificação de segurança. Essa é a única recomendação no controle de segurança Aplicar classificação de dados, para que o controle agora tenha um valor de classificação de segurança igual a 0.

Para obter uma lista completa de todos os controles de segurança na Central de Segurança, juntamente com as pontuações e uma lista das recomendações em cada, confira Controles de segurança e suas recomendações.

As automações de fluxo de trabalho podem ser disparadas por alterações nas avaliações de conformidade regulatória (na versão prévia)

Adicionamos um terceiro tipo de dados às opções de gatilho para suas automações de fluxo de trabalho: alterações nas avaliações de conformidade regulatória.

Saiba como usar as ferramentas de automação do fluxo de trabalho em Automatizar respostas para os gatilhos da Central de Segurança.

Como usar as avaliações de conformidade regulatória para disparar uma automação de fluxo de trabalho.

Aprimoramentos de página de inventário de ativos

A página de inventário de ativos da Central de Segurança foi aprimorada das seguintes maneiras:

  • Os resumos na parte superior da página agora incluem Assinaturas não registradas, mostrando o número de assinaturas sem a Central de Segurança habilitada.

    Contagem de assinaturas não registradas nos resumos na parte superior da página de inventário de ativos.

  • Os filtros foram expandidos e aprimorados para incluir:

    • Contagens – Cada filtro apresenta o número de recursos que atendem aos critérios de cada categoria

      Contagens nos filtros na página de inventário de ativos da Central de Segurança do Azure.

    • Contém filtro de isenções (opcional) – Restrinja os resultados a recursos que têm/não têm isenções. Esse filtro não é mostrado por padrão, mas pode ser acessado no botão Adicionar filtro.

      Foi adicionado o filtro 'contém isenção' na página de inventário de ativos da Central de Segurança do Azure

Saiba mais sobre como Explorar e gerenciar seus recursos com o inventário de ativos.

Janeiro de 2021

As atualizações em janeiro incluem:

O Azure Security Benchmark agora é a iniciativa de política padrão da Central de Segurança do Azure

O Azure Security Benchmark é um conjunto específico de diretrizes específicas do Azure criadas pela Microsoft com as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.

Nos últimos meses, a lista da Central de Segurança de recomendações de segurança internas cresceu significativamente expandindo nossa cobertura desse parâmetro de comparação.

A partir desta versão, o parâmetro de comparação é a base para as recomendações da Central de Segurança e é totalmente integrado como a iniciativa de política padrão.

Todos os serviços do Azure têm uma página de linha de base de segurança na documentação. Essas linhas de base são criadas no Azure Security Benchmark.

Se você estiver usando o painel de conformidade regulatória da Central de Segurança, verá duas instâncias do parâmetro de comparação durante um período de transição:

O painel de conformidade regulatória da Central de Segurança do Azure que mostra o Azure Security Benchmark

As recomendações existentes não são afetadas e, conforme o parâmetro de comparação cresce, as alterações serão refletidas automaticamente na Central de Segurança.

Para saber mais, confira as seguintes páginas:

A avaliação de vulnerabilidades para computadores locais e multinuvem foi lançada em GA (disponibilidade geral)

Em outubro, anunciamos uma versão prévia para a verificação de servidores habilitados para Azure Arc com um verificador de avaliação de vulnerabilidades integrado ao Azure Defender para servidores(da plataforma Qualys).

Ela agora foi lançada para GA (disponibilidade geral).

Quando você tiver habilitado o Azure Arc em seus computadores que não são do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado neles, manualmente e em escala.

Com essa atualização, você pode tirar proveito da eficiência do Azure Defender para servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos que são e que não são do Azure.

Principais recursos:

  • Monitoramento do estado de provisionamento do verificador de VA (avaliação de vulnerabilidade) em computadores do Azure Arc
  • Provisionamento do agente de VA integrado para computadores Windows e Linux do Azure Arc desprotegidos (manualmente e em escala)
  • Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
  • Experiência unificada para VMs do Azure e computadores do Azure Arc

Saiba mais sobre a implantação do verificador de vulnerabilidades integrado da Qualys em computadores híbridos.

Saiba mais sobre os servidores habilitados para Azure Arc.

A classificação de segurança para grupos de gerenciamento agora está disponível na versão prévia

A página de classificação de segurança agora mostra as classificações de segurança agregadas dos seus grupos de gerenciamento, além do nível de assinatura. Agora, você pode ver a lista de grupos de gerenciamento na sua organização e a pontuação de cada grupo de gerenciamento.

Como exibir as classificações de segurança de seus grupos de gerenciamento.

Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.

API de classificação de segurança lançada para GA (disponibilidade geral)

Agora é possível acessar sua classificação por meio de uma API de classificação de segurança. Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo:

  • use a API Classificações de Segurança para obter a classificação de uma assinatura específica
  • use a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas

Saiba mais sobre as ferramentas externas que são possíveis com a API de classificação de segurança na área de classificação de segurança da nossa comunidade do GitHub.

Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.

Proteções de DNS pendentes e adicionadas ao Azure Defender para o Serviço de Aplicativo

As invasões de subdomínios são uma ameaça comum de gravidade alta para as organizações. Uma tomada de controle de subdomínio poderá ocorrer quando um registro DNS indicar um site desprovisionado. Esses registros DNS também são conhecidos como entradas "DNS pendentes". Os registros CNAME são particularmente vulneráveis a essa ameaça.

As tomadas de controle de subdomínios permitem que agentes de ameaça redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades mal-intencionadas.

O Azure Defender para o Serviço de Aplicativo agora detecta entradas DNS pendentes quando um site do Serviço de Aplicativo é encerrado. Nesse momento, a entrada DNS indicará um recurso inexistente, e seu site estará vulnerável a uma tomada de controle de subdomínio. Essas proteções estarão disponíveis caso seus domínios sejam gerenciados usando o DNS do Azure ou um registrador de domínios externo. Além disso, elas se aplicam ao Serviço de Aplicativo no Windows e ao Serviço de Aplicativo no Linux.

Saiba mais:

Conectores multinuvem lançados para GA (Disponibilidade Geral)

Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.

A Central de Segurança do Azure protege as cargas de trabalho no Azure, na AWS (Amazon Web Services) e no GCP (Google Cloud Platform).

Conectar seus projetos da AWS ou da GCP integrará ferramentas de segurança nativas, como o AWS Security Hub e o Centro de Comando de Segurança da GCP, à Central de Segurança do Azure.

Essa funcionalidade significa que a Central de Segurança fornece visibilidade e proteção em todos os principais ambientes de nuvem. Alguns dos benefícios dessa integração:

  • Provisionamento automático de agente – A Central de Segurança usa o Azure Arc para implantar o agente do Log Analytics nas instâncias da AWS
  • Gerenciamento de política
  • Gerenciamento de vulnerabilidades
  • Detecção e Resposta de Ponto de Extremidade Inserido (EDR)
  • Detecção de configurações incorretas de segurança
  • Uma exibição que mostra as recomendações de segurança de todos os provedores de nuvem
  • Incorporar todos os recursos aos cálculos de classificação de segurança da Central de Segurança
  • Avaliações de conformidade regulatória dos recursos da AWS e da GCP

No menu do Defender para Nuvem, selecione Conectores de várias nuvens e você verá as opções para criar conectores:

Botão Adicionar conta da AWS na página de conectores de várias nuvens da Central de Segurança

Saiba mais em:

Isente recomendações inteiras da sua classificação de segurança para assinaturas e grupos de gerenciamento

Estamos expandindo a funcionalidade de isenção para incluir recomendações inteiras. Fornecendo mais opções para ajustar as recomendações de segurança que a Central de Segurança faz para as suas assinaturas, grupo de gerenciamento ou recursos.

Ocasionalmente, um recurso será listado como não íntegro quando você souber que o problema foi resolvido por uma ferramenta de terceiros que não foi detectada pela Central de Segurança. Ou uma recomendação será mostrada em um escopo no qual você acha que ela não pertence. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados à recomendação ou ao recurso específico.

Com essa versão prévia do recurso, agora você pode criar uma isenção de uma recomendação para:

  • Isentar um recurso para garantir que ele não esteja listado com os recursos não íntegros no futuro e não afete a sua classificação de segurança. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.

  • Isente uma assinatura ou grupo de gerenciamento para garantir que a recomendação não afete a sua classificação de segurança e não seja mostrada para a assinatura ou grupo de gerenciamento no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você criar no futuro. A recomendação será marcada com a justificativa específica selecionada para o escopo que você selecionou.

Saiba mais em Isentando recursos e recomendações da sua classificação de segurança.

Os usuários agora podem solicitar visibilidade em todo o locatário no administrador global

Caso não tenham permissões para conferir os dados da Central de Segurança, os usuários agora podem acessar um link para solicitar permissões ao administrador global da organização. A solicitação inclui a função que ele deseja e a justificativa do por que ela é necessária.

Faixa informando a um usuário que ele pode solicitar permissões em todo o locatário.

Saiba mais em Solicitar permissões em todo o locatário quando as suas forem insuficientes.

35 recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark

O Azure Security Benchmark é a iniciativa de política padrão na Central de Segurança do Azure.

Para aumentar a cobertura desse parâmetro de comparação, as 35 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança.

Dica

As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.

Controle de segurança Novas recomendações
Habilitar a criptografia em repouso – As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
– Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
– A proteção de dados do Bring Your Own Key será habilitada para servidores MySQL
– A proteção de dados do Bring Your Own Key será habilitada para servidores PostgreSQL
– As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
– Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
– As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos
– As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia
Implementar melhores práticas de segurança – As assinaturas devem ter um endereço de email de contato para problemas de segurança
– O provisionamento automático do agente do Log Analytics será habilitado na sua assinatura
– A notificação por email para alertas de alta severidade deve ser habilitada
– A notificação por email para o proprietário da assinatura para alertas de alta severidade deve ser habilitada
– Os cofres de chaves devem ter a proteção contra limpeza habilitada
– Os cofres de chaves devem ter a exclusão temporária habilitada
Gerenciar acesso e permissões – Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada
Proteger os aplicativos contra DDoS – O WAF (Firewall de Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo
– O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço Azure Front Door Service
Restringir acesso não autorizado à rede – O firewall deve ser habilitado no Key Vault
– O ponto de extremidade privado deve ser configurado para o Key Vault
– A Configuração de Aplicativos deve usar um link privado
– O Cache do Azure para Redis deve residir em uma rede virtual
– Os domínios da Grade de Eventos do Azure devem usar um link privado
– Os tópicos da Grade de Eventos do Azure devem usar um link privado
– Os workspaces do Azure Machine Learning devem usar um link privado
– O Serviço do Azure SignalR deve usar um link privado
– O Azure Spring Cloud deve usar uma injeção de rede
– Os registros de contêiner não devem permitir acesso irrestrito à rede
– Os registros de contêiner devem usar um link privado
– O acesso à rede pública deve ser desabilitado para servidores MariaDB
– O acesso à rede pública deve ser desabilitado para servidores MySQL
– O acesso à rede pública deve ser desabilitado para servidores PostgreSQL
– A conta de armazenamento deve usar uma conexão de link privado
– As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual
– Os modelos do Construtor de Imagens de VM devem usar um link privado

Links relacionados:

Exportação de CSV da lista de recomendações filtrada

Em novembro de 2020, adicionamos filtros à página de recomendações (a lista de recomendações agora inclui filtros). Em dezembro, expandimos esses filtros (a página Recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis).

Com este comunicado, estamos alterando o comportamento do botão Baixar para CSV para que a exportação de CSV inclua apenas as recomendações atualmente exibidas na lista filtrada.

Por exemplo, na imagem abaixo, você pode ver que a lista foi filtrada para duas recomendações. O arquivo CSV gerado inclui os detalhes de status de cada recurso afetado por essas duas recomendações.

Como exportar recomendações filtradas para um arquivo CSV.

Saiba mais em Recomendações de segurança na Central de Segurança do Azure.

Recursos "não aplicáveis" que agora são relatados como "em conformidade" nas avaliações do Azure Policy

Anteriormente, os recursos avaliados com o objetivo de obter uma recomendação e considerados não aplicáveis eram mostrados como "não compatíveis" no Azure Policy. Nenhuma ação do usuário poderia alterar o estado deles para "em conformidade". Com essa alteração, os recursos agora são relatados como "em conformidade" para maior clareza.

O único impacto será visto no Azure Policy, em que o número de recursos em conformidade aumentará. Não haverá nenhum impacto na sua classificação de segurança na Central de Segurança do Azure.

Exportar instantâneos semanais da classificação de segurança e dos dados de conformidade regulatória com exportação contínua (versão prévia)

Adicionamos uma versão prévia do recurso às ferramentas de exportação contínua para exportar instantâneos semanais de classificação de segurança e dados de conformidade regulatória.

Ao definir uma exportação contínua, defina a frequência de exportação:

Como escolher a frequência da exportação contínua.

  • Streaming – as avaliações serão enviadas quando o estado de integridade de um recurso for atualizado (se nenhuma atualização ocorrer, nenhum dado será enviado).
  • Instantâneos – um instantâneo do estado atual de todas as avaliações de conformidade regulatória será enviado a cada semana (essa é uma versão prévia do recurso para instantâneos semanais de classificações de segurança e dados de conformidade regulatória).

Saiba mais sobre as funcionalidades completas desse recurso em Exportar continuamente os dados da Central de Segurança.

Dezembro de 2020

As atualizações de dezembro incluem:

O Azure Defender para SQL Servers em computadores está em disponibilidade geral

A Central de Segurança do Azure oferece dois planos do Azure Defender para SQL Servers:

  • Azure Defender para servidores do Banco de Dados SQL do Azure – Defende os seus SQL Servers nativos do Azure
  • Azure Defender para SQL Servers em computadores – Estende as mesmas proteções para os seus SQL Servers em ambientes híbridos, multinuvem e locais

Com esse comunicado, o Azure Defender para SQL agora protege os seus bancos de dados e os dados neles, independentemente de onde eles estiverem localizados.

O Azure Defender para SQL inclui funcionalidades de avaliação de vulnerabilidade. A ferramenta de avaliação de vulnerabilidade inclui os seguintes recursos avançados:

  • A Configuração de linha de base (novo!) refina de modo inteligente os resultados das verificações de vulnerabilidade, sinalizando aqueles que podem representar problemas de segurança reais. Depois de estabelecer o estado de segurança de linha de base, a ferramenta de avaliação de vulnerabilidade só relata desvios desse estado de linha de base. Os resultados que correspondem à linha de base são considerados ao passar nas verificações posteriores. Isso permite que você e os analistas concentrem a atenção onde importa.
  • As Informações detalhadas de benchmark ajudam você a entender as descobertas e por que elas se relacionam com os seus recursos.
  • Os Scripts de correção ajudam você a reduzir os riscos identificados.

Saiba mais sobre o Azure Defender para SQL.

O suporte do Azure Defender para SQL para o pool de SQL dedicado do Azure Synapse Analytics está em disponibilidade geral

O Azure Synapse Analytics (antigo SQL DW) é um serviço de análise que combina o data warehouse corporativo e a análise de Big Data. Os pools de SQL dedicados são os recursos de data warehouse corporativos do Azure Synapse. Saiba mais em O que é o Azure Synapse Analytics (antigo SQL DW)?.

O Azure Defender para SQL protege os seus pools de SQL dedicados com:

  • Proteção avançada contra ameaças para detectar ameaças e ataques
  • Funcionalidades de avaliação de vulnerabilidade para identificar e corrigir configurações incorretas de segurança

O suporte do Azure Defender para SQL para os pools de SQL do Azure Synapse Analytics é adicionado automaticamente ao pacote de bancos de dados SQL do Azure na Central de Segurança do Azure. Uma nova guia "Azure Defender para SQL" será encontrada na sua página do workspace do Azure Synapse no portal do Azure.

Saiba mais sobre o Azure Defender para SQL.

Os administradores globais já podem conceder a si mesmos permissões no nível dos locatários

Um usuário com a função Administrador global no Azure Active Directory pode ter responsabilidades em todo o locatário, mas não ter as permissões do Azure para ver essas informações de toda a organização na Central de Segurança do Azure.

Para atribuir a si mesmo permissões no nível dos locatários, siga as instruções descritas em Conceder a si mesmo permissões em todo o locatário.

Dois novos planos do Azure Defender: Azure Defender para DNS e Azure Defender para Resource Manager (em versão prévia)

Adicionamos duas novas funcionalidades de proteção contra ameaças com abrangência nativa de nuvem para seu ambiente do Azure.

Essas novas proteções aprimoram muito sua resiliência contra ataques de atores de ameaças e aumentam significativamente o número de recursos do Azure protegidos pelo Azure Defender.

Nova página de alertas de segurança no portal do Azure (versão prévia)

A página de alertas de segurança da Central de Segurança do Azure foi reprojetada para oferecer:

  • Experiência de triagem aprimorada para alertas –ajudando a reduzir os alertas exaustivos e concentrar-se nas ameaças mais relevantes com mais facilidade, a lista inclui filtros personalizáveis e opções de agrupamento
  • Mais informações na lista de alertas – como táticas MITRE ATTACK
  • Botão para criar alertas de exemplo – para avaliar os recursos do Azure Defender e testar sua configuração de alertas (para integração do SIEM, notificações por email e automação de fluxo de trabalho), você pode criar alertas de exemplo em todos os planos do Azure Defender
  • Alinhamento com a experiência de incidentes do Azure Sentinel – para clientes que usam os dois produtos, a troca entre eles agora é uma experiência mais simples, além de ser fácil aprender um do outro
  • Melhores desempenho para listas grandes de alertas
  • Navegação por teclado na lista de alertas
  • Alertas do Azure Resource Graph – você pode consultar alertas no Azure Resource Graph, a API semelhante ao Kusto para todos os seus recursos. Isso também será útil se você estiver criando os próprios painéis de alertas. Saiba mais sobre Azure Resource Graph.

Para acessar a nova experiência, use o link "Experimente agora" da faixa na parte superior da página de alertas de segurança.

Faixa com o link para a nova experiência de versão prévia de alertas.

Para criar alertas de exemplo na nova experiência de alertas, consulte Gerar alertas de exemplo do Azure Defender.

Experiência revitalizada da Central de Segurança no Banco de Dados SQL do Azure & na Instância Gerenciada de SQL

A experiência da Central de Segurança no SQL fornece acesso aos seguintes recursos da Central de Segurança e do Azure Defender para SQL:

  • Recomendações de segurança – A Central de Segurança analisa periodicamente o estado de segurança de todos os recursos do Azure conectados para identificar possíveis configurações incorretas na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades e aprimorar a postura de segurança das organizações.
  • Alertas de segurança – Um serviço de detecção que monitora continuamente as atividades do SQL do Azure em busca de ameaças como injeção de SQL, ataques de força bruta e abuso de privilégios. Este serviço dispara alertas de segurança detalhados e orientados a ações na Central de Segurança e fornece opções para continuar as investigações com o Azure Sentinel, a solução SIEM nativa do Microsoft Azure.
  • Descobertas – Um serviço de avaliação de vulnerabilidade que monitora continuamente as configurações do SQL do Azure e ajuda a corrigir vulnerabilidades. As verificações de avaliação fornecem uma visão geral dos estados de segurança do SQL do Azure junto com as descobertas de segurança detalhadas.

Os recursos de segurança da Central de Segurança do Azure para SQL estão disponíveis no SQL do Azure

Ferramentas e filtros de inventário de ativos atualizados

A página de inventário na Central de Segurança do Azure foi atualizada com as seguintes alterações:

  • Guias e comentários adicionados à barra de ferramentas. Isso abre um painel com links para informações e ferramentas relacionadas.

  • Filtro de assinaturas adicionado aos filtros padrão disponíveis para seus recursos.

  • Link Abrir consulta para abrir as opções de filtro atuais como uma consulta do Azure Resource Graph (anteriormente chamada de "Exibir no Resource Graph Explorer").

  • Opções de operador para cada filtro. Agora você pode escolher entre mais operadores lógicos além de '='. Por exemplo, talvez você queira localizar todos os recursos com recomendações ativas cujos títulos incluem a cadeia de caracteres "encrypt".

    Controles para a opção de operador nos filtros de inventário de ativos

Saiba mais sobre inventário em Explorar e gerenciar seus recursos com o inventário de ativos.

Recomendação sobre aplicativos Web solicitando certificados SSL que não fazem mais parte da classificação de segurança

A recomendação "Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada" foi movida do controle de segurança Gerenciar o acesso e as permissões (vale no máximo quatro pontos) para Implementar as melhores práticas de segurança (que não vale nenhum ponto).

Garantir que um aplicativo Web solicite um certificado certamente o torna mais seguro. No entanto, para aplicativos Web voltados para o público, é irrelevante. se você acessar seu site por HTTP e não por HTTPS, você não receberá nenhum certificado do cliente. Por isso, se o aplicativo exigir certificados de cliente, você não deverá permitir solicitações ao seu aplicativo via HTTP. Saiba mais em Como configurar a autenticação mútua TLS para o Serviço de Aplicativo do Azure.

Com essa alteração, a recomendação agora é uma prática recomendada que não afetará sua classificação.

Saiba quais recomendações estão em cada controle de segurança em Controles de segurança e suas recomendações.

A página de recomendações tem novos filtros para o ambiente, a severidade e as respostas disponíveis

A Central de Segurança do Azure monitora todos os recursos conectados e gera recomendações de segurança. Use essas recomendações para fortalecer sua postura de nuvem híbrida e acompanhar a conformidade com as políticas e os padrões relevantes para sua organização, setor e país/região.

À medida que a Central de Segurança continua a expandir sua cobertura e seus recursos, a lista de recomendações de segurança cresce todos os meses. Por exemplo, confira 29 recomendações de versão prévia adicionadas para aumentar a cobertura do Azure Security Benchmark.

Com a lista cada vez maior, há a necessidade de filtrar as recomendações para encontrar as de maior interesse. Em novembro, adicionamos filtros à página de recomendações (confira A lista de recomendações agora inclui filtros).

Os filtros adicionados neste mês fornecem opções para refinar a lista de recomendações de acordo com:

  • Ambiente – Exibir recomendações para seus recursos AWS, GCP ou Azure (ou qualquer combinação)

  • Severidade – Exibir recomendações de acordo com a classificação de severidade definida pela Central de Segurança

  • Ações de resposta – Exibir recomendações de acordo com a disponibilidade das opções de resposta da Central de Segurança: Corrigir, Negar e Impor

    Dica

    O filtro de ações de resposta substitui o filtro de correção rápida disponível (Sim/Não) .

    Saiba mais sobre cada uma dessas opções de resposta:

Recomendações agrupadas por controle de segurança.

A exportação contínua obtém novos tipos de dados e políticas de deployifnotexist aprimoradas

As ferramentas de exportação contínua da Central de Segurança do Azure permitem exportar recomendações e alertas da Central de Segurança para uso com outras ferramentas de monitoramento em seu ambiente.

A exportação contínua permite que você personalize totalmente o que será exportado e o local da exportação. Para obter detalhes completos, confira Exportar continuamente dados da Central de Segurança.

Essas ferramentas foram aprimoradas e expandidas das seguintes maneiras:

  • Aprimoramento das políticas deployifnotexist da exportação contínua. As políticas agora:

    • Verificam se a configuração está habilitada. Se não estiver, a política será mostrada como não compatível e criará um recurso compatível. Saiba mais sobre os modelos do Azure Policy fornecidos na guia "Implantar em escala usando o Azure Policy" da opção Configurar uma exportação contínua.

    • Dão suporte à exportação de descobertas de segurança. Ao usar os modelos do Azure Policy, você pode configurar sua exportação contínua para incluir descobertas. Isso é relevante ao exportar recomendações com "sub" recomendações, como as descobertas de verificações de avaliação de vulnerabilidade ou atualizações de sistema específicas para a recomendação "pai" "As atualizações do sistema devem ser instaladas em seus computadores".

    • Dão suporte à exportação de dados da classificação de segurança.

  • Dados de avaliação de conformidade regulatória adicionados (em versão prévia). Agora você pode exportar atualizações continuamente para avaliações de conformidade regulatória, incluindo para qualquer iniciativa personalizada, para um workspace do Log Analytics ou hub de eventos. Este recurso não está disponível em nuvens nacionais.

    As opções para incluir informações de avaliação de conformidade regulatória com os dados de exportação contínua.

Novembro de 2020

As atualizações de novembro incluem:

29 recomendações de versão prévia adicionadas para aumentar a cobertura do Parâmetro de Comparação de Segurança do Azure

O Azure Security Benchmark é um conjunto específico de diretrizes específicas do Azure criadas pela Microsoft de melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Saiba mais sobre o Azure Security Benchmark.

As 29 recomendações de versão prévia a seguir foram adicionadas à Central de Segurança para aumentar a cobertura desse parâmetro de comparação.

As recomendações de versão prévia não processam um recurso não íntegro e não são incluídas nos cálculos de sua classificação de segurança. Corrija-as sempre que possível, para que, quando o período da versão prévia terminar, elas contribuam para sua classificação. Saiba mais sobre como responder a essas recomendações em Recomendações de correção na Central de Segurança do Azure.

Controle de segurança Novas recomendações
Criptografar dados em trânsito – Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL
– Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL
– O TLS deve estar atualizado com a última versão para o aplicativo de API
– O TLS deve estar atualizado com a última versão para o aplicativo de funções
– O TLS deve estar atualizado com a última versão para o aplicativo Web
– O FTPS deve ser exigido no aplicativo de API
– O FTPS deve ser exigido no aplicativo de funções
– O FTPS deve ser exigido no aplicativo Web
Gerenciar acesso e permissões – Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada
– A identidade gerenciada deve ser usada no aplicativo de API
– A identidade gerenciada deve ser usada no aplicativo de funções
– A identidade gerenciada deve ser usada no aplicativo Web
Restringir acesso não autorizado à rede – O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL
– O ponto de extremidade privado deve ser habilitado para servidores MariaDB
– O ponto de extremidade privado deve ser habilitado para servidores MySQL
– Habilitar a auditoria e o registro em log – Os logs de diagnóstico devem ser habilitados nos Serviços de Aplicativo
Implementar melhores práticas de segurança – O Backup do Azure deve ser habilitado para máquinas virtuais
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL
– O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL
– O PHP deve estar atualizado com a última versão para o aplicativo de API
– O PHP deve estar atualizado com a última versão para o aplicativo Web
– O Java deve estar atualizado com a última versão para o aplicativo de API
– O Java deve estar atualizado com a última versão para o aplicativo de funções
– O Java deve estar atualizado com a última versão para o aplicativo Web
– O Python deve estar atualizado com a última versão para o aplicativo de API
– O Python deve estar atualizado com a última versão para o aplicativo de funções
– O Python deve estar atualizado com a última versão para o aplicativo Web
– A retenção de auditoria para servidores SQL deve ser definida como pelo menos 90 dias

Links relacionados:

NIST SP 800 171 R2 adicionado ao painel de conformidade regulatória da Central de Segurança

O padrão NIST SP 800-171 R2 já está disponível como uma iniciativa interna para uso com o painel de conformidade regulatória da Central de Segurança do Azure. Os mapeamentos para os controles são descritos em Detalhes da iniciativa interna de Conformidade Regulatória do NIST SP 800-171 R2.

Para aplicar o padrão às suas assinaturas e monitorar continuamente o status de conformidade, use as instruções presentes em Personalizar o conjunto de padrões em seu painel de conformidade regulatória.

O padrão NIST SP 800 171 R2 no painel de conformidade regulatória da Central de Segurança

Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.

A lista de recomendações agora inclui filtros

Agora você pode filtrar a lista de recomendações de segurança com base em uma gama de critérios. No seguinte exemplo, a lista de recomendações foi filtrada para mostrar recomendações que:

  • estão em disponibilidade geral (ou seja, não em versão prévia)
  • são voltadas para contas de armazenamento
  • têm suporte para correção rápida

Filtros para a lista de recomendações.

Experiência de provisionamento automático aprimorada e expandida

O recurso de provisionamento automático ajuda a reduzir a sobrecarga de gerenciamento instalando as extensões necessárias em VMs novas e existentes do Azure, a fim de que elas possam se beneficiar das proteções da Central de Segurança.

À medida que a Central de Segurança do Azure cresce, mais extensões são desenvolvidas e é possível monitorar uma lista maior de tipos de recursos. As ferramentas de provisionamento automático já foram expandidas para dar suporte a outras extensões e tipos de recursos aproveitando as funcionalidades do Azure Policy.

Agora você pode configurar o provisionamento automático de:

  • Agente do Log Analytics
  • (Novo) Complemento do Azure Policy para Kubernetes
  • (Novo) Microsoft Dependency Agent

Saiba mais em Agentes e extensões de provisionamento automático da Central de Segurança do Azure.

A classificação de segurança já está disponível na exportação contínua (versão prévia)

Com a exportação contínua da classificação de segurança, você pode transmitir alterações à sua pontuação em tempo real para os Hubs de Eventos do Azure ou um workspace do Log Analytics. Use essa funcionalidade para:

  • acompanhar sua classificação de segurança ao longo do tempo com relatórios dinâmicos
  • exportar dados de classificação de segurança para o Azure Sentinel (ou qualquer outro SIEM)
  • integrar esses dados a qualquer processo que você já esteja usando para monitorar a classificação de segurança em sua organização

Saiba mais sobre como Exportar continuamente dados da Central de Segurança.

A recomendação "Atualizações do sistema deverão ser instaladas em seus computadores" agora inclui sub-recomendações

A recomendação As atualizações do sistema devem ser instaladas nos computadores foi aprimorada. A nova versão inclui sub-recomendações para cada atualização ausente e fornece os seguintes aprimoramentos:

  • Uma experiência reformulada nas páginas da Central de Segurança do Azure do portal do Azure. A página de detalhes da recomendação para As atualizações do sistema devem ser instaladas nos computadores inclui a lista de conclusões, conforme mostrado abaixo. Quando você seleciona uma localização individual, o painel de detalhes é aberto com um link para as informações de correção e uma lista de recursos afetados.

    Como abrir uma das sub-recomendações na experiência do portal para obter uma recomendação atualizada.

  • Dados aprimorados para a recomendação do ARG (Azure Resource Graph). O ARG é um serviço do Azure que foi projetado para oferecer uma exploração eficiente de recursos. Você pode usar o ARG para consultar em escala um determinado conjunto de assinaturas a fim de controlar seu ambiente de maneira eficaz.

    Para a Central de Segurança do Azure, você pode usar ARG e KQL (Kusto Query Language) para consultar uma ampla gama de dados de postura de segurança.

    Anteriormente, se você consultasse essa recomendação no ARG, a única informação disponível seria que a recomendação precisava ser corrigida em um computador. A consulta a seguir da versão aprimorada retornará todas as atualizações de sistema ausentes agrupadas por computador.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

A página de gerenciamento de política no portal do Azure agora mostra o status das atribuições de política padrão

Agora você pode ver se as suas assinaturas têm ou não a política padrão da Central de Segurança atribuída, na página da política de segurança da Central de Segurança do portal do Azure.

A página de gerenciamento de política da Central de Segurança do Azure mostrando as atribuições de política padrão.

Outubro de 2020

As atualizações de outubro incluem:

Avaliação de vulnerabilidades para computadores locais e multinuvem (versão prévia)

O verificador de avaliação de vulnerabilidades integrado ao Azure Defender para servidores (da plataforma Qualys) agora examina servidores habilitados para Azure Arc.

Quando você tiver habilitado o Azure Arc em seus computadores que não são do Azure, a Central de Segurança oferecerá a implantação do verificador de vulnerabilidades integrado neles, manualmente e em escala.

Com essa atualização, você pode tirar proveito da eficiência do Azure Defender para servidores para consolidar seu programa de gerenciamento de vulnerabilidades em todos os seus ativos que são e que não são do Azure.

Principais recursos:

  • Monitoramento do estado de provisionamento do verificador de VA (avaliação de vulnerabilidade) em computadores do Azure Arc
  • Provisionamento do agente de VA integrado para computadores Windows e Linux do Azure Arc desprotegidos (manualmente e em escala)
  • Recebimento e análise das vulnerabilidades detectadas por agentes implantados (manualmente e em escala)
  • Experiência unificada para VMs do Azure e computadores do Azure Arc

Saiba mais sobre a implantação do verificador de vulnerabilidades integrado da Qualys em computadores híbridos.

Saiba mais sobre os servidores habilitados para Azure Arc.

Recomendação do Firewall do Azure adicionada (versão prévia)

Uma nova recomendação foi adicionada para proteger todas as suas redes virtuais com o Firewall do Azure.

A recomendação, Redes virtuais devem ser protegidas pelo Firewall do Azure, aconselha você a restringir o acesso às suas redes virtuais e evitar possíveis ameaças usando o Firewall do Azure.

Saiba mais sobre Firewall do Azure.

Recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes atualizada com uma correção rápida

A recomendação Os intervalos de IP autorizados devem ser definidos nos Serviços de Kubernetes agora tem uma opção de correção rápida.

Para obter mais informações sobre essa recomendação e todas as outras recomendações da Central de Segurança, confira Recomendações de segurança – um guia de referência.

Os intervalos de IP autorizados devem ser definidos na recomendação dos Serviços de Kubernetes com a opção de correção rápida.

O painel de conformidade regulatória agora inclui a opção de remoção de padrões

O painel de conformidade regulatória da Central de Segurança fornece informações sobre sua postura de conformidade com base em como você está atendendo a requisitos e controles de conformidade específicos.

O painel inclui um conjunto padrão de padrões regulatórios. Se um dos padrões fornecidos não é relevante para sua organização, removê-los da interface do usuário de uma assinatura passou a ser um processo simples. Os padrões podem ser removidos somente no nível da assinatura não no escopo do grupo de gerenciamento.

Saiba mais em Remover um padrão de seu painel.

Tabela Microsoft.Security/securityStatuses removida do ARG (Azure Resource Graph)

O Azure Resource Graph é um serviço no Azure desenvolvido para fornecer exploração de recursos eficiente, com a capacidade de consultar em escala um determinado conjunto de assinaturas, permitindo a você controlar o seu ambiente de maneira efetiva.

Para a Central de Segurança do Azure, você pode usar ARG e KQL (Kusto Query Language) para consultar uma ampla gama de dados de postura de segurança. Por exemplo:

Há tabelas de dados no ARG que poderão ser usadas em suas consultas.

Azure Resource Graph Explorer e as tabelas disponíveis.

Dica

A documentação do ARG lista todas as tabelas disponíveis na Referência de tabela e tipo de recurso do Azure Resource Graph.

Nessa atualização, a tabela Microsoft.Security/securityStatuses foi removida. A API securityStatuses ainda está disponível.

A substituição de dados pode ser usada pela tabela Microsoft.Security/Assessments.

A principal diferença entre Microsoft.Security/securityStatuses e Microsoft.Security/Assessments é que, enquanto o primeiro mostra a agregação de avaliações, o segundo mantém um registro para cada uma.

Por exemplo, Microsoft.Security/securityStatuses retornaria um resultado com uma matriz de duas policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Por sua vez, Microsoft.Security/Assessments manterá um registro para cada avaliação de política, da seguinte maneira:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Exemplo de conversão de uma consulta de ARG existente usando securityStatuses para usar a tabela de avaliações:

Consulta que faz referência a SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Consulta de substituição para a tabela de Avaliações:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Saiba mais consultando os seguintes links:

Setembro de 2020

As atualizações de setembro incluem:

A Central de Segurança ganha uma nova aparência

Lançamos uma interface do usuário atualizada para as páginas do portal da Central de Segurança. As novas páginas incluem uma nova página de visão geral e painéis para a classificação de segurança, o inventário de ativos e o Azure Defender.

A página de visão geral remodelada agora traz um bloco para acessar os painéis da classificação de segurança, do inventário de ativos e do Azure Defender. Também traz um bloco vinculado ao painel de conformidade regulatória.

Saiba mais sobre a página de visão geral.

Lançamento do Azure Defender

O Azure Defender é a PPCTN (plataforma de proteção de cargas de trabalho na nuvem) integrada à Central de Segurança para proteção avançada e inteligente das suas cargas de trabalho híbridas e do Azure. Ele substitui a opção de tipo de preço Standard da Central de Segurança.

Quando você habilita o Azure Defender na área Preços e configurações da Central de Segurança do Azure, os seguintes planos do Defender são todos habilitados simultaneamente e fornecem proteções abrangentes para as camadas de computação, dados e serviço do seu ambiente:

Cada um desses planos é explicado separadamente na documentação da Central de Segurança.

Com um painel dedicado, o Azure Defender fornece alertas de segurança e Proteção Avançada contra Ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, sua rede, entre outros.

Saiba mais sobre o Azure Defender

Azure Defender para Key Vault em disponibilidade geral

O Azure Key Vault é um serviço de nuvem que protege segredos e chaves de criptografia, como certificados, cadeias de conexão e senhas.

O Azure Defender para Key Vault fornece proteção avançada e nativa do Azure contra ameaças para o Azure Key Vault, oferecendo uma camada adicional de inteligência de segurança. Por extensão, o Azure Defender para Key Vault está, consequentemente, protegendo muitos dos recursos dependentes das suas contas do Key Vault.

Agora, o plano opcional é GA. Esse recurso estava em versão prévia como "Proteção Avançada contra Ameaças para Azure Key Vault".

Além disso, as páginas do Key Vault no portal do Azure agora incluem uma página Segurança dedicada para as recomendações e os alertas da Central de Segurança.

Saiba mais em Azure Defender para Key Vault.

Proteção do Azure Defender para Armazenamento para os Arquivos e o ADLS Gen2 em disponibilidade geral

O Azure Defender para Armazenamento detecta atividades potencialmente prejudiciais nas contas do Armazenamento do Azure. Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.

O suporte para os Arquivos do Azure e o Azure Data Lake Storage Gen2 já está em disponibilidade geral.

Desde 1º de outubro de 2020, começamos a cobrar pela proteção de recursos nesses serviços.

Saiba mais em Azure Defender para Armazenamento.

Ferramentas de inventário de ativos em disponibilidade geral

A página de inventário de ativos da Central de Segurança do Azure fornece uma só página para exibição da postura de segurança dos recursos que você conectou à Central de Segurança.

A Central de Segurança analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades.

Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.

Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.

Desabilitar uma descoberta de vulnerabilidade específica nas verificações de registros de contêiner e máquinas virtuais

O Azure Defender inclui verificadores de vulnerabilidade para examinar imagens no seu Registro de Contêiner do Azure e nas suas máquinas virtuais.

Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.

Quando uma descoberta corresponde aos critérios definidos nas regras de desabilitação, ela não será exibida na lista de descobertas.

Essa opção está disponível nas páginas de detalhes de recomendações para:

  • As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas
  • As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas

Saiba mais em Desabilitar descobertas específicas nas imagens de contêiner e Desabilitar descobertas específicas nas máquinas virtuais.

Isentar um recurso de uma recomendação

Ocasionalmente, um recurso será listado como não íntegro em relação a uma recomendação específica (e, portanto, reduzindo sua classificação de segurança) mesmo que você ache que ele não deveria ser. Ele pode ter sido corrigido por um processo não acompanhado pela Central de Segurança. Ou, talvez, sua organização tenha decidido aceitar o risco para esse recurso específico.

Nesses casos, você pode criar uma regra de isenção e garantir que o recurso não seja listado entre os recursos não íntegros no futuro. Essas regras podem incluir justificações documentadas, conforme descrito abaixo.

Saiba mais em Isentar um recurso das recomendações e da classificação de segurança.

Os conectores da AWS e do GCP na Central de Segurança trazem uma experiência de várias nuvens

Com as cargas de trabalho de nuvem normalmente abrangendo plataformas de várias nuvens, os serviços de segurança de nuvem precisam fazer o mesmo.

A Central de Segurança do Azure agora protege as cargas de trabalho no Azure, a AWS (Amazon Web Services) e o GCP (Google Cloud Platform).

A integração dos seus projetos da AWS e do GCP à Central de Segurança integra o AWS Security Hub, o GCP Security Command e a Central de Segurança do Azure.

Saiba mais em Conectar suas contas da AWS à Central de Segurança do Azure e Conectar seus projetos do GCP à Central de Segurança do Azure.

Pacote de recomendações da proteção de cargas de trabalho do Kubernetes

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

Quando você instalar o complemento do Azure Policy para Kubernetes no seu cluster do AKS, todas as solicitações para o servidor de API do Kubernetes serão monitoradas em relação ao conjunto predefinido de melhores práticas antes de serem persistidas no cluster. Em seguida, você pode configurá-lo para impor as melhores práticas e exigir o uso dele em cargas de trabalho futuras.

Por exemplo, você poderá proibir a criação de contêineres privilegiados, e todas as futuras solicitações para fazer isso serão bloqueadas.

Saiba mais em Melhores práticas de proteção de cargas de trabalho usando o controle de admissão do Kubernetes.

Disponibilidade das descobertas da avaliação de vulnerabilidades na exportação contínua

Use a exportação contínua para transmitir alertas e recomendações aos Hubs de Eventos do Azure, aos espaços de trabalho do Log Analytics ou ao Azure Monitor. Neles, você pode integrar esses dados aos SIEMs (como o Azure Sentinel, o Power BI, o Azure Data Explorer, entre outros).

As ferramentas integradas de avaliação de vulnerabilidades da Central de Segurança retornam descobertas sobre seus recursos como recomendações práticas em uma recomendação "pai", por exemplo, "As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas".

As descobertas de segurança já estão disponíveis para exportação por meio da exportação contínua quando você seleciona as recomendações e habilita a opção Incluir descobertas de segurança.

Incluir a alternância de descobertas de segurança na configuração de exportação contínua.

Páginas relacionadas:

Impedir configurações incorretas de segurança impondo recomendações durante a criação de recursos

Configurações incorretas de segurança são uma das principais causas de incidentes de segurança. Agora a Central de Segurança pode ajudar a impedir configurações incorretas de novos recursos, com relação a recomendações específicas.

Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua classificação de segurança.

A imposição de uma configuração segura, com base em uma recomendação específica, é oferecida em dois modos:

  • Usando o efeito Negar do Azure Policy, você pode interromper a criação de recursos não íntegros

  • Usando a opção Impor, é possível aproveitar o efeito DeployIfNotExist do Azure Policy e corrigir automaticamente os recursos fora de conformidade após a criação

Isso está disponível para as recomendações de segurança selecionadas e pode ser encontrado na parte superior da página de detalhes do recurso.

Saiba mais em Impedir configurações incorretas com as recomendações de Impor/Negar.

Aprimoramento das recomendações de grupo de segurança de rede

As recomendações de segurança a seguir relacionadas aos grupos de segurança de rede foram aprimoradas para reduzir algumas instâncias de falsos positivos.

  • Todas as portas de rede devem ser restritas no NSG associado à sua VM
  • Portas de gerenciamento devem ser fechadas nas máquinas virtuais
  • As máquinas virtuais para a Internet devem ser protegidas com Grupos de Segurança de Rede
  • As sub-redes devem ser associadas a um Grupo de Segurança de Rede

Reprovação da recomendação da versão prévia do AKS "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes"

A recomendação de versão prévia "As Políticas de Segurança de Pods devem ser definidas nos Serviços de Kubernetes" está sendo preterida, conforme descrito na documentação do Serviço de Kubernetes do Azure.

O recurso da política de segurança de pods (versão prévia) foi configurado para ser substituído e não está mais disponível desde 15 de outubro de 2020 a fim de beneficiar o Azure Policy para AKS.

Depois que a política de segurança de pods (versão prévia) for preterida, você precisará desabilitar o recurso em todos os clusters existentes usando o recurso preterido para realizar futuras atualizações de cluster e permanecer dentro do suporte do Azure.

Aprimoramento nas notificações por email da Central de Segurança do Azure

As seguintes áreas dos emails relacionadas a alertas de segurança foram aprimoradas:

  • Adição da capacidade de enviar notificações por email sobre alertas para todos os níveis de severidade
  • Adição da capacidade de notificar os usuários com diferentes funções do Azure na assinatura
  • Por padrão, estamos notificando de maneira proativa os proprietários da assinatura em alertas de alta severidade (que têm uma alta probabilidade de serem violações autênticas)
  • Removemos o campo de número de telefone da página de configuração das notificações de email

Saiba mais em Configurar notificações por email para alertas de segurança.

A classificação de segurança não inclui recomendações de versão prévia

A Central de Segurança avalia continuamente seus recursos, suas assinaturas e a organização em busca de problemas de segurança. Em seguida, ele agrega todas as conclusões em uma única pontuação para que você possa ver, rapidamente, sua situação de segurança atual: quanto maior a pontuação, menor o nível de risco identificado.

À medida que novas ameaças são descobertas, novas orientações de segurança são disponibilizadas na Central de Segurança por meio de novas recomendações. Para evitar alterações de surpresa na sua classificação de segurança e fornecer um período de cortesia no qual você possa explorar novas recomendações antes que elas afetem suas pontuações, as recomendações sinalizadas como Versão prévia não serão mais incluídas nos cálculos da sua classificação de segurança. Elas ainda deverão ser corrigidas sempre que possível, para que, quando o período de versão prévia terminar, elas contribuam para a sua classificação.

Além disso, as recomendações de Versão prévia não renderizam um recurso "Não íntegro".

Um exemplo de recomendação de versão prévia:

Recomendação com o sinalizador de versão prévia.

Saiba mais sobre a classificação de segurança.

As recomendações agora incluem um indicador de severidade e o intervalo de atualização

A página de detalhes de recomendações agora inclui um indicador de intervalo de atualização (quando relevante) e uma exibição clara da severidade da recomendação.

Página de recomendações mostrando a atualização e a severidade.

Agosto de 2020

As atualizações de agosto incluem:

Inventário de ativos: nova exibição avançada da postura de segurança dos ativos

O inventário de ativos da Central de Segurança (atualmente em versão prévia) fornece uma forma de exibir a postura de segurança dos recursos que você conectou à Central de Segurança.

A Central de Segurança analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como corrigir essas vulnerabilidades. Quando qualquer recurso tiver recomendações pendentes, eles serão exibidos no inventário.

Use a exibição e os respectivos filtros para explorar seus dados de postura de segurança e realizar ações adicionais com base nas descobertas.

Saiba mais sobre o inventário de ativos.

Adição de suporte para padrões de segurança do Azure Active Directory (para autenticação multifator)

A Central de Segurança adicionou suporte completo para os padrões de segurança, as proteções gratuitas de segurança de identidade da Microsoft.

Os padrões de segurança fornecem configurações de segurança de identidade pré-configuradas para defender sua organização contra ataques comuns relacionados à identidade. Os padrões de segurança já estão protegendo mais de 5 milhões de locatários em geral; 50 mil locatários também estão protegidos pela Central de Segurança.

Agora, a Central de Segurança fornece uma recomendação de segurança sempre que identifica uma assinatura do Azure sem os padrões de segurança habilitados. Até agora, a Central de Segurança recomenda habilitar a autenticação multifator usando o acesso condicional, que faz parte da licença Premium do Azure AD (Active Directory). Para os clientes que usam o Azure AD gratuito, agora recomendamos habilitar os padrões de segurança.

Nossa meta é encorajar mais clientes a proteger ambientes de nuvem com a MFA e atenuar um dos maiores riscos que também é o mais impactante para a sua classificação de segurança.

Saiba mais sobre segurança os padrões de segurança.

Adição da recomendação de entidades de serviço

Uma nova recomendação foi adicionada a fim de aconselhar os clientes da Central de Segurança que usam certificados de gerenciamento a gerenciar as assinaturas alternem para as entidades de serviço.

A recomendação As entidades de serviço devem ser usadas para proteger suas assinaturas em vez dos certificados de gerenciamento aconselha você a usar as entidades de serviço ou o Azure Resource Manager para gerenciar suas assinaturas com mais segurança.

Saiba mais sobre os Objetos de entidade de serviço e aplicativo no Azure Active Directory.

Avaliação de vulnerabilidades em VMs – recomendações e políticas consolidadas

A Central de Segurança inspeciona suas VMs para detectar se estão executando uma solução de avaliação de vulnerabilidades. Se nenhuma solução de avaliação de vulnerabilidades for encontrada, a Central de Segurança fornecerá uma recomendação para simplificar a implantação.

Quando as vulnerabilidades são encontradas, a Central de Segurança fornece uma recomendação resumindo as descobertas para você investigar e corrigir, conforme necessário.

Para garantir uma experiência consistente para todos os usuários, independentemente do tipo de verificador que estão usando, unificamos quatro recomendações nas duas seguintes:

Recomendação unificada Descrição das alterações
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Substitui as duas seguintes recomendações:
***** Habilitar a solução interna de avaliação de vulnerabilidades em máquinas virtuais (ativada pela Qualys) (agora preterida) (incluída na camada Standard)
**** A solução de avaliação de vulnerabilidades deve ser instalada nas máquinas virtuais (agora preterida) (Camadas Standard e Gratuita)
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas Substitui as duas seguintes recomendações:
***** Corrija as vulnerabilidades encontradas nas máquinas virtuais (ativada pela Qualys) (agora preterida)
***** As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades (agora preterida)

Agora, você usará a mesma recomendação para implantar a extensão de avaliação de vulnerabilidades da Central de Segurança ou uma solução de licença privada ("BYOL") de um parceiro, como a Qualys ou a Rapid7.

Além disso, quando as vulnerabilidades forem encontradas e relatadas à Central de Segurança, uma só recomendação alertará você sobre as descobertas, independentemente da solução de avaliação de vulnerabilidades que as identificou.

Como atualizar dependências

Se você tiver scripts, consultas ou automações referentes às recomendações ou aos nomes/às chaves de política anteriores, use as tabelas abaixo para atualizar as referências:

Antes de agosto de 2020
Recomendação Escopo
Habilitar a solução interna de avaliação de vulnerabilidades nas máquinas virtuais (ativada pela Qualys)
Chave: 550e890b-e652-4d22-8274-60b3bdb24c63
Interno
Corrija as vulnerabilidades encontradas em suas máquinas virtuais (da plataforma Qualys)
Chave: 1195afff-c881-495e-9bc5-1486211ae03f
Interno
A solução de avaliação de vulnerabilidades deve ser instalada nas suas máquinas virtuais
Chave: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades
Chave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
Política Escopo
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais
ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Interno
As vulnerabilidades devem ser corrigidas por uma solução de avaliação de vulnerabilidades
ID da política: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
A partir de agosto de 2020
Recomendação Escopo
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais
Chave: ffff0522-1e88-47fc-8382-2a80ba848f5d
Interno + BYOL
As vulnerabilidades nas suas máquinas virtuais devem ser corrigidas
Chave: 1195afff-c881-495e-9bc5-1486211ae03f
Interno + BYOL
Política Escopo
A avaliação de vulnerabilidades deve estar habilitada nas máquinas virtuais
ID da política: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Interno + BYOL

Adição de novas políticas de segurança do AKS à iniciativa ASC_default – para uso somente dos clientes da versão prévia privada

Para garantir que as cargas de trabalho do Kubernetes sejam seguras por padrão, a Central de Segurança está adicionando recomendações de proteção e políticas no nível do Kubernetes, incluindo opções de imposição com o controle de admissão do Kubernetes.

A fase inicial deste projeto inclui uma versão prévia privada e a adição de novas políticas (desabilitadas por padrão) à iniciativa ASC_default.

Você poderá ignorar essas políticas com segurança e não haverá nenhum impacto no seu ambiente. Se você quiser habilitá-las, inscreva-se na versão prévia na Microsoft Cloud Security Private Community e escolha uma das seguintes opções:

  1. Versão prévia única: para ingressar somente nessa versão prévia privada. Mencione explicitamente “Verificação contínua do ASC” como a versão prévia na qual deseja ingressar.
  2. Programas em andamento – para ser adicionado a esta e às futuras versões prévias privadas. Você precisará preencher um perfil e assinar um contrato de privacidade.

Julho de 2020

As atualizações de julho incluem:

A avaliação de vulnerabilidades para máquinas virtuais já está disponível para imagens que não são do marketplace

Ao implantar uma solução de avaliação de vulnerabilidades, a Central de Segurança realizou anteriormente uma verificação de validação antes da implantação. O objetivo da verificação era confirmar um SKU do marketplace da máquina virtual de destino.

Desta atualização em diante, a verificação foi removida e agora você pode implantar ferramentas de avaliação de vulnerabilidades em computadores Windows e Linux 'personalizados'. As imagens personalizadas são aquelas que você modificou dos padrões do marketplace.

Embora você possa implantar a extensão integrada de avaliação de vulnerabilidades (ativada pela Qualys) em muitos outros computadores, o suporte só estará disponível se você estiver usando um sistema operacional listado em Implantar o verificador de vulnerabilidades integrado em VMs da camada Standard

Saiba mais sobre o verificador de vulnerabilidades integrado para máquinas virtuais (exige o Azure Defender).

Saiba mais sobre como usar sua solução de avaliação de vulnerabilidades de licença privada da Qualys ou da Rapid7 em Como implantar uma solução de verificação de vulnerabilidades do parceiro.

Expansão da proteção contra ameaças para o Armazenamento do Azure para incluir os Arquivos do Azure e o Azure Data Lake Storage Gen2 (versão prévia)

A proteção contra ameaças para o Armazenamento do Azure detecta atividades potencialmente prejudiciais nas suas contas do Armazenamento do Azure. A Central de Segurança exibe alertas quando detecta tentativas de acessar ou explorar suas contas de armazenamento.

Seus dados podem ser protegidos independentemente de estarem armazenados como contêineres de blob, compartilhamentos de arquivos ou data lakes.

Oito novas recomendações para habilitar os recursos de proteção contra ameaças

Oito novas recomendações foram adicionadas para fornecer uma forma simples de habilitar os recursos de proteção contra ameaças da Central de Segurança do Azure para os seguintes tipos de recursos: máquinas virtuais, Planos do Serviço de Aplicativo, servidores do Banco de Dados SQL do Azure, SQL Servers em computadores, contas do Armazenamento do Azure, clusters do Serviço de Kubernetes do Azure, registros do Registro de Contêiner do Azure e cofres do Azure Key Vault.

As novas recomendações são:

  • A Segurança de Dados Avançada deve ser habilitada nos servidores do Banco de Dados SQL do Azure
  • A Segurança de Dados Avançada deve ser habilitada nos servidores SQL em computadores
  • A Proteção Avançada contra Ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure
  • A Proteção Avançada contra Ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure
  • A Proteção Avançada contra Ameaças deve ser habilitada nos cofres do Azure Key Vault
  • A Proteção Avançada contra Ameaças deve ser habilitada nos clusters do Serviço de Kubernetes do Azure
  • A Proteção Avançada contra Ameaças deve ser habilitada em contas de Armazenamento do Azure
  • A Proteção Avançada contra Ameaças deve estar habilitada nas máquinas virtuais

Essas novas recomendações pertencem ao controle de segurança Habilitar o Azure Defender.

As recomendações também incluem a funcionalidade de correção rápida.

Importante

A correção de uma dessas recomendações resultará em custos para proteger os recursos relevantes. Esses custos serão iniciados imediatamente se você tiver recursos relacionados na assinatura atual. Ou, no futuro, se você adicioná-los em uma data posterior.

Por exemplo, se você não tiver nenhum cluster do Serviço de Kubernetes do Azure na sua assinatura e habilitar a proteção contra ameaças, nenhum custo será cobrado. Se, no futuro, você adicionar um cluster na mesma assinatura, ela será automaticamente protegida e os custos serão iniciados nesse momento.

Saiba mais sobre cada um deles na página de referência de recomendações de segurança.

Saiba mais sobre a proteção contra ameaças na Central de Segurança do Azure.

Aprimoramentos de segurança do contêiner – verificação mais rápida de registro e atualização da documentação

Como parte dos investimentos contínuos no domínio de segurança do contêiner, temos o prazer em compartilhar um aprimoramento significativo de desempenho nas verificações dinâmicas da Central de Segurança de imagens de contêiner armazenadas no Registro de Contêiner do Azure. Agora, as verificações normalmente são concluídas em aproximadamente dois minutos. Em alguns casos, elas podem levar até 15 minutos.

Para aprimorar a clareza e as diretrizes sobre as funcionalidades de segurança do contêiner da Central de Segurança do Azure, também atualizamos as páginas de documentação de segurança do contêiner.

Saiba mais sobre a segurança de contêiner da Central de Segurança nos seguintes artigos:

Atualização de controles de aplicativos adaptáveis com uma nova recomendação e suporte para curingas nas regras de caminho

O recurso de controles de aplicativos adaptáveis recebeu duas atualizações significativas:

  • Uma nova recomendação identifica o comportamento potencialmente legítimo que não era permitido antes. A nova recomendação, As regras de lista de permissões na sua política de controle de aplicativos adaptáveis deve ser atualizada, solicita que você adicione novas regras à política existente para reduzir o número de falsos positivos em alertas de violação de controles de aplicativos adaptáveis.

  • Agora, as regras de caminho dão suporte a curingas. A partir dessa atualização, você pode configurar as regras de caminho permitidas usando curingas. Há dois cenários compatíveis:

    • Usando um curinga no final de um caminho para permitir todos os executáveis dentro desta pasta e das subpastas

    • Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta alterado (por exemplo, pastas de usuário pessoais com um executável conhecido, nomes de pasta gerados automaticamente etc.).

Saiba mais sobre controles de aplicativo adaptáveis.

Seis políticas para a reprovação da Segurança de Dados Avançada do SQL

Seis políticas relacionadas à Segurança de Dados Avançada para computadores SQL estão sendo preteridas:

  • Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada da Instância Gerenciada de SQL
  • Os tipos de Proteção Avançada contra Ameaças devem estar definidos como 'Todos' nas configurações da Segurança de Dados Avançada do SQL Server
  • As configurações da Segurança de Dados Avançada para a instância gerenciada do SQL devem conter um endereço de email para receber alertas de segurança
  • As configurações da Segurança de Dados Avançada para o SQL Server devem conter um endereço de email para receber alertas de segurança
  • As notificações por email para administradores e proprietários de assinatura devem ser habilitadas nas configurações da Segurança de Dados Avançada da instância gerenciada do SQL
  • As notificações por email para os administradores e proprietários de assinaturas devem ser habilitadas nas configurações da Segurança de Dados Avançada do SQL Server

Saiba mais sobre as políticas internas.

Junho de 2020

As atualizações de junho incluem:

API de classificação de segurança (versão prévia)

Agora você pode acessar sua classificação por meio da API de classificação de segurança (atualmente em versão prévia). Os métodos de API oferecem a flexibilidade para consultar os dados e criar seu mecanismo de relatório das suas classificações de segurança ao longo do tempo. Por exemplo, você pode usar a API Classificações de Segurança para obter a classificação de uma assinatura específica. Além disso, você pode usar a API Controles de Classificação de Segurança para listar os controles de segurança e a classificação atual das suas assinaturas.

Para obter exemplos de ferramentas externas possibilitadas com a API de classificação de segurança, confira a área de classificação de segurança da nossa comunidade do GitHub.

Saiba mais sobre os controles de segurança e classificação de segurança na Central de Segurança do Azure.

Segurança de dados avançada para computadores SQL (Azure, outras nuvens e local) (versão prévia)

A Segurança de Dados Avançada da Central de Segurança do Azure para computadores SQL agora protege os SQL Servers hospedados no Azure, em outros ambientes de nuvem e, até mesmo, em computadores locais. Isso estende as proteções para que os SQL Servers nativos do Azure deem suporte completo a ambientes híbridos.

A Segurança de Dados Avançada fornece avaliação de vulnerabilidades e Proteção Avançada contra Ameaças para computadores SQL onde quer que estejam.

A configuração envolve duas etapas:

  1. Implantar o agente do Log Analytics no computador host do SQL Server para fornecer a conexão à conta do Azure.

  2. Habilitar o pacote opcional na página de preços e configurações da Central de Segurança.

Saiba mais sobre a Segurança de Dados Avançada para computadores SQL.

Duas novas recomendações para implantar o agente do Log Analytics em computadores do Azure Arc (versão prévia)

Duas novas recomendações foram adicionadas para ajudar a implantar o agente do Log Analytics nos computadores do Azure Arc e garantir que eles estejam protegidos pela Central de Segurança do Azure:

  • O agente do Log Analytics deve ser instalado nos computadores do Azure Arc baseados no Windows (versão prévia)
  • O agente do Log Analytics deve ser instalado nos computadores do Azure Arc baseados em Linux (versão prévia)

Essas novas recomendações serão exibidas nos mesmos quatro controles de segurança da recomendação existente (relacionada), O agente de monitoramento deve ser instalado nos computadores: corrigir as configurações de segurança, aplicar o controle de aplicativo adaptável, aplicar atualizações do sistema e habilitar a proteção de ponto de extremidade.

As recomendações também incluem a capacidade de correção rápida para ajudar a acelerar o processo de implantação.

Saiba mais sobre essas duas novas recomendações na tabela Recomendações de computação e aplicativo.

Saiba mais sobre como a Central de Segurança do Azure usa o agente em O que é o agente do Log Analytics?.

Saiba mais sobre as extensões para computadores do Azure Arc.

Novas políticas para criar configurações de exportação contínua e automação de fluxo de trabalho em escala

A automatização dos processos de monitoramento e resposta a incidentes da sua organização pode aprimorar significativamente o tempo necessário para investigar e atenuar incidentes de segurança.

Para implantar suas configurações de automação na sua organização, use essas políticas internas do Azure 'DeployIfdNotExist' para criar e configurar procedimentos de exportação contínua e automação de fluxo de trabalho:

As definições da política podem ser encontradas no Azure Policy:

Goal Política ID da Política
Exportação contínua para o hub de eventos Implantar a exportação para o Hub de Eventos para os alertas e as recomendações Central de Segurança do Azure cdfcce10-4578-4ecd-9703-530938e4abcb
Exportação contínua para o workspace do Log Analytics Implantar a exportação para o workspace do Log Analytics para os alertas e as recomendações da Central de Segurança do Azure ffb6f416-7bd2-4488-8828-56585fef2be9
Automação de fluxo de trabalho para alertas de segurança Implantar a Automação de Fluxo de Trabalho para alertas da Central de Segurança do Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automação de fluxo de trabalho para recomendações de segurança Implantar a Automação de Fluxo de Trabalho para recomendações da Central de Segurança do Azure 73d6ab6c-2475-4850-afd6-43795f3492ef

Introdução aos modelos de automação de fluxo de trabalho.

Saiba mais sobre como usar as duas políticas de exportação em Configurar a automação de fluxo de trabalho em escala usando as políticas fornecidas e Configurar uma exportação contínua.

Nova recomendação de uso de NSGs para proteger máquinas virtuais que não são voltadas para a Internet

O controle de segurança "Implementar melhores práticas de segurança" agora inclui a seguinte nova recomendação:

  • Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede

Uma recomendação existente, As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede, não distingue entre as VMs voltadas para a Internet e aquelas não voltadas para a Internet. Para ambas, uma recomendação de alta severidade foi gerada se uma VM não foi atribuída a um grupo de segurança de rede. Essa nova recomendação separa os computadores não voltados para a Internet para reduzir os falsos positivos e evitar alertas de alta severidade desnecessários.

Saiba mais na tabela Recomendações de rede.

Novas políticas para habilitar a proteção contra ameaças e a Segurança de Dados Avançada

As novas definições de política abaixo foram adicionadas à iniciativa Padrão ASC e foram projetadas para ajudar a habilitar a proteção contra ameaças ou a segurança de dados avançada dos tipos de recursos relevantes.

As definições da política podem ser encontradas no Azure Policy:

Política ID da Política
A Segurança de Dados Avançada deve ser habilitada nos servidores do Banco de Dados SQL do Azure 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
A Segurança de Dados Avançada deve ser habilitada nos servidores SQL em computadores 6581d072-105e-4418-827f-bd446d56421b
A Proteção Avançada contra Ameaças deve ser habilitada em contas de Armazenamento do Azure 308fbb08-4ab8-4e67-9b29-592e93fb94fa
A Proteção Avançada contra Ameaças deve ser habilitada nos cofres do Azure Key Vault 0e6763cc-5078-4e64-889d-ff4d9a839047
A Proteção Avançada contra Ameaças deve ser habilitada nos planos do Serviço de Aplicativo do Azure 2913021d-f2fd-4f3d-b958-22354e2bdbcb
A Proteção Avançada contra Ameaças deve ser habilitada nos registros do Registro de Contêiner do Azure c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
A Proteção Avançada contra Ameaças deve ser habilitada nos clusters do Serviço de Kubernetes do Azure 523b5cd1-3e23-492f-a539-13118b6d1e3a
A proteção avançada contra ameaças deve ser habilitada nas Máquinas Virtuais 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Saiba mais sobre a Proteção contra ameaças na Central de Segurança do Azure.

Maio de 2020

As atualizações de maio incluem:

Regras de supressão de alertas (versão prévia)

Esse novo recurso (atualmente em versão prévia) ajuda a reduzir a fadiga causada por alertas. Use regras para ocultar automaticamente os alertas que são conhecidos como inócuos ou relacionados a atividades normais em sua organização. Isso permite que você se concentre nas ameaças mais relevantes.

Os alertas que corresponderem às regras de supressão habilitadas ainda serão gerados, mas o estado deles será definido como ignorado. Você poderá ver o estado no portal do Azure ou de qualquer outra maneira que você acessar os alertas de segurança da Central de Segurança.

As regras de supressão definem os critérios para os quais os alertas devem ser automaticamente ignorados. Normalmente, você usaria uma regra de supressão para:

  • suprimir alertas que você identificou como falsos positivos

  • suprimir alertas que estão sendo disparados com frequência demais para serem úteis

Saiba mais sobre a supressão de alertas da Proteção contra Ameaças da Central de Segurança do Azure.

A avaliação de vulnerabilidades de máquinas virtuais já está em disponibilidade geral

A camada Standard da Central de Segurança agora inclui uma avaliação de vulnerabilidade integrada para máquinas virtuais sem cobrança de nenhum valor adicional. Essa extensão é da plataforma Qualys, mas relata as descobertas dela diretamente para a Central de Segurança. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança.

A nova solução pode verificar continuamente suas máquinas virtuais para encontrar vulnerabilidades e apresentar as descobertas na Central de Segurança.

Para implantar a solução, use a nova recomendação de segurança:

"Habilitar a solução de avaliação de vulnerabilidades interna nas máquinas virtuais (da plataforma Qualys)"

Saiba mais sobre avaliação de vulnerabilidade integrada da Central de Segurança para máquinas virtuais.

Alterações no acesso à VM (máquina virtual) JIT (Just-In-Time)

A Central de Segurança inclui um recurso opcional para proteger as portas de gerenciamento de suas VMs. Isso fornece uma defesa contra a forma mais comum de ataques de força bruta.

Essa atualização traz as seguintes alterações para esse recurso:

  • A recomendação que aconselha você a habilitar o JIT em uma VM foi renomeada. O que anteriormente era "O controle de acesso à rede Just-In-Time deve ser aplicado em máquinas virtuais" agora é: "As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede Just-In-Time".

  • A recomendação é disparada somente se há portas de gerenciamento abertas.

Saiba mais sobre o recurso de acesso JIT.

As recomendações personalizadas foram movidas para um controle de segurança separado

Um dos controles de segurança introduzidos com a classificação de segurança aprimorada foi "Implementar melhores práticas de segurança". Todas as recomendações personalizadas criadas para suas assinaturas foram colocadas automaticamente nesse controle.

Para facilitar a localização de suas recomendações personalizadas, nós as movemos para um controle de segurança dedicado, "Recomendações personalizadas". Este controle não tem impacto sobre sua classificação de segurança.

Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia) na Central de Segurança do Azure.

Adicionada alternância para exibir recomendações em controles ou como uma lista simples

Os controles de segurança são grupos lógicos de recomendações de segurança relacionadas. Eles refletem suas superfícies de ataque vulneráveis. Um controle é um conjunto de recomendações de segurança, com instruções que ajudam a implementar essas recomendações.

Para ver imediatamente como sua organização está protegendo cada superfície de ataque individual, examine as pontuações de cada controle de segurança.

Por padrão, suas recomendações são mostradas nos controles de segurança. Nesta atualização em diante, você também pode vê-las como uma lista. Para vê-las como uma lista simples classificada pelo status de integridade dos recursos afetados, use a nova alternância 'Agrupar por controles'. A alternância está acima da lista no portal.

Os controles de segurança (e essa alternância) são parte da nova experiência de classificação de segurança. Lembre-se de enviar seus comentários de dentro do portal.

Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia) na Central de Segurança do Azure.

Alternância de agrupar por controles para recomendações.

Controle de segurança expandido "Implementar melhores práticas de segurança"

Um dos controles de segurança introduzidos com a classificação de segurança aprimorada é "Implementar melhores práticas de segurança". Quando uma recomendação está nesse controle, ela não afeta a classificação de segurança.

Com essa atualização, três recomendações foram movidas dos controles nos quais foram originalmente colocadas e transferidas para esse controle de práticas recomendadas. Realizamos esta etapa porque determinamos que o risco dessas três recomendações é menor do que se imaginava inicialmente.

Além disso, duas novas recomendações foram introduzidas e adicionadas a esse controle.

As três recomendações que foram movidas são:

  • A MFA deve ser habilitada em contas com permissões de leitura em sua assinatura (originalmente, no controle "Habilitar MFA")
  • Contas externas com permissões de leitura devem ser removidas de sua assinatura (originalmente no controle "Gerenciar acesso e permissões")
  • Um máximo de três proprietários deve ser designado para sua assinatura (originalmente no controle "Gerenciar acesso e permissões")

As duas novas recomendações adicionadas ao controle são:

  • O agente de configuração convidado deve ser instalado em máquinas virtuais do Windows (versão prévia) : o uso da Configuração de Convidado do Azure Policy fornece visibilidade nas máquinas virtuais das configurações de servidor e de aplicativo (somente Windows).

  • O Microsoft Defender Exploit Guard deve ser habilitado nos computadores (versão prévia) : o Microsoft Defender Exploit Guard utiliza o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows).

Saiba mais sobre o Microsoft Defender Exploit Guard em Criar e implantar uma política do Exploit Guard.

Saiba mais sobre os controles de segurança em Classificação de segurança aprimorada (versão prévia).

Políticas personalizadas com metadados personalizados agora estão em disponibilidade geral

As políticas personalizadas agora fazem parte da experiência de recomendações da Central de Segurança, da classificação de segurança e do painel de padrões de conformidade regulatória. Esse recurso agora está em disponibilidade geral e permite que você estenda a cobertura de avaliação de segurança da sua organização na Central de Segurança.

Crie uma iniciativa personalizada no Azure Policy, adicione políticas a ela, integre-a à Central de Segurança do Azure e visualize-a como recomendações.

Agora também adicionamos a opção para editar os metadados de recomendação personalizados. As opções de metadados incluem severidade, etapas de correção, informações sobre ameaças e muito mais.

Saiba mais sobre como aprimorar as recomendações personalizadas com informações detalhadas.

Migração das funcionalidades de análise de despejo de memória para a detecção de ataque sem arquivos

Estamos integrando as funcionalidades de detecção do CDA (análise de despejo de memória) do Windows à detecção de ataque sem arquivos. A análise de detecção de ataque sem arquivos acompanha versões aprimoradas dos seguintes alertas de segurança para computadores Windows: Injeção de código descoberta, Módulo do Windows disfarçado detectado, Shellcode descoberto e Segmento de código suspeito detectado.

Alguns dos benefícios dessa transição:

  • Detecção de malware proativa e oportuna: a abordagem da CDA envolvia a espera da ocorrência de uma falha e a posterior execução da análise para encontrar artefatos mal-intencionados. O uso da detecção de ataque sem arquivos introduz a identificação proativa de ameaças na memória enquanto elas estão em execução.

  • Alertas aprimorados – os alertas de segurança da detecção de ataque sem arquivos incluem aprimoramentos que não estão disponíveis no CDA, como as informações de conexões de rede ativas.

  • Agregação de alerta – quando o CDA detecta vários padrões de ataque em um despejo de memória, ele disparou vários alertas de segurança. A detecção de ataque sem arquivos combina todos os padrões de ataque identificados do mesmo processo em um alerta, eliminando a necessidade de correlacionar vários alertas.

  • Requisitos reduzidos em seu workspace do Log Analytics – despejos de memória que contêm dados potencialmente confidenciais não serão mais carregados em seu workspace do Log Analytics.

Abril de 2020

As atualizações de abril incluem:

Os pacotes de conformidade dinâmica agora estão em disponibilidade geral

O painel de conformidade regulatória da Central de Segurança do Azure agora inclui pacotes de conformidade dinâmica (agora em disponibilidade geral) para acompanhar padrões adicionais do setor e regulatórios.

Os pacotes de conformidade dinâmica podem ser adicionados à sua assinatura ou grupo de gerenciamento na página política de segurança da Central de Segurança. Quando você tiver integrado um padrão ou um parâmetro de comparação, o padrão será exibido em seu painel de conformidade regulatória com todos os dados de conformidade associados mapeados como avaliações. Um relatório de resumo para qualquer um dos padrões que foram integrados estará disponível para download.

Agora, você pode adicionar padrões como:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK Official e UK NHS
  • PBMM Federal do Canadá
  • Azure CIS 1.1.0 (novo) (que é uma representação mais completa do Azure CIS 1.1.0)

Além disso, adicionamos recentemente o Azure Security Benchmark, as diretrizes específicas do Azure criadas pela Microsoft para melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Outros padrões se tornarão compatíveis com o painel à medida que forem disponibilizados.

Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Recomendações de identidade agora incluídas na camada gratuita da Central de Segurança do Azure

As recomendações de segurança para identidade e acesso na camada gratuita da Central de Segurança do Azure agora estão em disponibilidade geral. Isso faz parte do esforço para tornar gratuitos os recursos do CSPM (Gerenciamento da situação de segurança na nuvem). Até agora, essas recomendações só estavam disponíveis no tipo de preço Standard.

Exemplos de recomendações de identidade e acesso incluem:

  • "A autenticação multifator deve ser habilitada em contas com permissões de proprietário em sua assinatura."
  • "Um máximo de três proprietários deve ser designado para sua assinatura."
  • "As contas preteridas devem ser removidas de sua assinatura."

Se você tiver assinaturas no tipo de preço gratuito, suas classificações de segurança serão afetadas por essa alteração, pois essas assinaturas nunca foram avaliadas quanto à identidade e segurança de acesso.

Saiba mais sobre recomendações de identidade e acesso.

Saiba mais sobre como Gerenciar a imposição de MFA (autenticação multifator) em suas assinaturas.

Março de 2020

As atualizações de março incluem:

A automação do fluxo de trabalho já está em disponibilidade geral

O recurso de automação de fluxo de trabalho da Central de Segurança do Azure agora está em disponibilidade geral. Use-o para disparar automaticamente Aplicativos Lógicos em alertas de segurança e recomendações. Além disso, os gatilhos manuais estão disponíveis para alertas e todas as recomendações que têm a opção de correção rápida disponível.

Cada programa de segurança inclui vários fluxos de trabalho para resposta a incidentes. Esses processos podem incluir a notificação de stakeholders relevantes, a inicialização de um processo de gerenciamento de alterações e a aplicação de etapas de correção específicas. Os especialistas em segurança recomendam que você automatize o máximo possível de etapas desses procedimentos. A automação reduz a sobrecarga e pode aprimorar sua segurança, garantindo que as etapas do processo sejam feitas de maneira rápida, consistente e de acordo com seus requisitos predefinidos.

Para obter mais informações sobre as funcionalidades automáticas e manuais da Central de Segurança do Azure para executar seus fluxos de trabalho, confira automação de fluxo de trabalho.

Saiba mais sobre a criação de Aplicativos Lógicos.

Integração da Central de Segurança do Azure ao Windows Admin Center

Agora é possível mover seus servidores Windows locais do Windows Admin Center diretamente para a Central de Segurança do Azure. A Central de Segurança se torna seu único painel de controle para ver informações de segurança para todos os seus recursos do Windows Admin Center, incluindo servidores locais, máquinas virtuais e cargas de trabalho de PaaS adicionais.

Depois de mover um servidor do Windows Admin Center para a Central de Segurança do Azure, você poderá:

  • Exibir alertas de segurança e recomendações na extensão da Central de Segurança do Windows Admin Center.
  • Exibir a postura de segurança e recuperar informações detalhadas adicionais dos servidores gerenciados do Windows Admin Center na Central de Segurança dentro do portal do Azure (ou por meio de uma API).

Saiba mais sobre como integrar a Central de Segurança do Azure ao Windows Admin Center.

Proteção para o Serviço de Kubernetes do Azure

A Central de Segurança do Azure está expandindo os respectivos recursos de segurança de contêiner para proteger o AKS (Serviço de Kubernetes do Azure).

A popular plataforma de software livre Kubernetes foi adotada tão amplamente que ela agora é um padrão do setor para a orquestração de contêineres. Apesar dessa implementação generalizada, ainda há uma falta de compreensão sobre como proteger um ambiente Kubernetes. A defesa das superfícies de ataque de um aplicativo em contêineres exige experiência para garantir que a infraestrutura seja configurada de modo seguro e constante para possíveis ameaças.

A defesa da Central de Segurança inclui:

  • Descoberta e visibilidade – descoberta contínua de instâncias gerenciadas do AKS nas assinaturas registradas na Central de Segurança.
  • Recomendações de segurança – recomendações acionáveis para ajudá-lo a manter a conformidade com as melhores práticas de segurança para o AKS. Essas recomendações estão incluídas na sua classificação de segurança para garantir que elas sejam exibidas como parte da postura de segurança de sua organização. Um exemplo de uma recomendação relacionada ao AKS que você pode ver é "O controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster do serviço de Kubernetes".
  • Proteção contra ameaças – por meio da análise contínua de sua implantação do AKS, a Central de Segurança alerta você sobre ameaças e atividades mal-intencionadas detectadas no nível de cluster do host e do AKS.

Saiba mais sobre a Integração do Serviço de Kubernetes do Azure à Central de Segurança.

Saiba mais sobre os recursos de segurança de contêiner na Central de Segurança.

Experiência Just-In-Time aprimorada

Os recursos, a operação e a interface do usuário das ferramentas just-in-time da Central de Segurança do Azure que protegem suas portas de gerenciamento foram aprimoradas da seguinte maneira:

  • Campo de justificativa – ao solicitar acesso a uma VM (máquina virtual) por meio da página Just-In-Time do portal do Azure, um novo campo opcional estará disponível para inserir uma justificativa para a solicitação. As informações inseridas nesse campo podem ser acompanhadas no log de atividades.
  • Limpeza automática de regras JIT (Just-In-Time) redundantes – sempre que você atualiza uma política JIT, uma ferramenta de limpeza é executada automaticamente para verificar a validade de todo o conjunto de regras. A ferramenta procura incompatibilidades entre as regras em sua política e as regras no NSG. Se a ferramenta de limpeza encontrar uma incompatibilidade, ela determinará a causa e, quando for seguro, removerá as regras internas que não forem mais necessárias. O limpador nunca exclui regras que você criou.

Saiba mais sobre o recurso de acesso JIT.

Duas recomendações de segurança para aplicativos Web preteridas

Duas recomendações de segurança relacionadas a aplicativos Web estão sendo preteridas:

  • As regras para aplicativos Web nos NSGs da IaaS devem ser fortalecidas. (Política relacionada: as regras de NSGs para aplicativos Web em IaaS devem ser fortalecidas)

  • O acesso aos Serviços de Aplicativos deve ser restrito. (Política relacionada: o acesso aos Serviços de Aplicativos deve ser restrito [Versão Prévia])

Essas recomendações não serão mais exibidas na lista de recomendações da Central de Segurança. As políticas relacionadas não serão mais incluídas na iniciativa denominada "Padrão da Central de Segurança".

Saiba mais sobre recomendações de segurança.

Fevereiro de 2020

Detecção de ataque sem arquivos para Linux (versão prévia)

Já que os invasores usam métodos cada vez mais difíceis de detectar, a Central de Segurança do Azure está estendendo a detecção de ataque sem arquivos para o Linux, além do Windows. Ataques sem arquivos exploram vulnerabilidades de software, injetam cargas mal-intencionadas em processos de sistema benignos e ficam ocultos na memória. Essas técnicas:

  • minimizam ou eliminam sinais de malware no disco
  • reduzem significativamente as chances de detecção por soluções de verificação de malware baseadas em disco

Para combater essa ameaça, a Central de Segurança do Azure liberou a detecção de ataque sem arquivos para Windows em outubro de 2018 e agora ampliou a detecção de ataque sem arquivos para o Linux também.

Janeiro de 2020

Classificação de segurança aprimorada (versão prévia)

Uma versão aprimorada do recurso de classificação de segurança da Central de Segurança do Azure agora está disponível em versão prévia. Nesta versão, várias recomendações são agrupadas em Controles de Segurança que refletem melhor suas superfícies de ataque vulneráveis (por exemplo, restringir o acesso às portas de gerenciamento).

Familiarize-se com as alterações classificação de segurança durante a fase de versão prévia e determine outras correções que o ajudarão a proteger ainda mais seu ambiente.

Saiba mais sobre a classificação de segurança aprimorada (versão prévia).

Novembro de 2019

As atualizações de novembro incluem:

Proteção contra ameaças para Azure Key Vault nas regiões da América do Norte (versão prévia)

O Azure Key Vault é um serviço essencial para proteger dados e melhorar o desempenho de aplicativos na nuvem, oferecendo a capacidade de gerenciar centralmente chaves, segredos, chaves de criptografia e políticas na nuvem. Como o Azure Key Vault armazena dados confidenciais e críticos para os negócios, ele exige segurança máxima para os cofres de chaves e os dados armazenados neles.

O suporte da Central de Segurança do Azure para proteção contra ameaças para o Azure Key Vault oferece uma camada adicional de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar cofres de chaves. Essa nova camada de proteção permite que os clientes resolvam ameaças contra seus cofres de chaves sem serem especialistas em segurança ou gerenciar sistemas de monitoramento de segurança. O recurso está em versão preliminar pública em regiões da América do Norte.

A Proteção contra Ameaças para o Armazenamento do Microsoft Azure inclui Triagem de Reputação de Malware

A proteção contra ameaças para o Armazenamento do Azure oferece novas detecções alimentadas pela Inteligência contra Ameaças da Microsoft para detectar carregamentos de malware no Armazenamento do Azure usando análise de reputação de hash e acesso suspeito de um nó de saída de Tor ativo (um proxy de anonimato). Agora você pode ver o malware detectado em contas de armazenamento usando a Central de Segurança do Azure.

Automação de fluxo de trabalho com Aplicativos Lógicos (versão preliminar)

As organizações com segurança gerenciada centralmente e TI/operações implementam processos de fluxo de trabalho integrados para impulsionar a ação necessária na organização quando as discrepâncias são descobertas em seus ambientes. Em muitos casos, esses fluxos de trabalho são processos repetíveis, e a automação pode simplificar muito os processos na organização.

Hoje, estamos introduzindo um novo recurso na Central de Segurança que permite que os clientes criem configurações de automação aproveitando os Aplicativos Lógicos do Azure e criem políticas que vão dispará-los automaticamente com base em descobertas de ASC específicas, como Recomendações ou Alertas. O Aplicativo Lógico do Azure pode ser configurado para realizar qualquer ação personalizada com suporte pela vasta comunidade de conectores de Aplicativos Lógicos ou usar um dos modelos fornecidos pela Central de Segurança, como enviar um email ou abrir um tíquete de do ServiceNow™.

Para obter mais informações sobre as funcionalidades automáticas e manuais da Central de Segurança do Azure para executar seus fluxos de trabalho, confira automação de fluxo de trabalho.

Para saber mais sobre a criação de Aplicativos Lógicos, consulte Aplicativos Lógicos do Azure.

Correção rápida para recursos em massa disponíveis para o público geral

Com as muitas tarefas que um usuário recebe como parte da Classificação de Segurança, a capacidade de corrigir efetivamente os problemas em um grande frota pode se tornar desafiador.

Para simplificar a correção de configurações incorretas de segurança e conseguir corrigir rapidamente as recomendações em uma grande quantidade de recursos e melhorar sua Classificação de Segurança, use a Correção Rápida.

Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.

A Correção Rápida geralmente está disponível para clientes atuais como parte da página de recomendações da Central de Segurança.

Veja quais recomendações têm Correção Rápida habilitada no guia de referência para recomendações de segurança.

Verificar se há vulnerabilidades em imagens de contêiner (versão preliminar)

A Central de Segurança do Azure agora pode verificar as imagens de contêiner no Registro de Contêiner do Azure em busca de vulnerabilidades.

A verificação de imagem funciona analisando o arquivo de imagem de contêiner e, em seguida, verificando se há alguma vulnerabilidade conhecida (da plataforma Qualys).

A varredura em si é disparada automaticamente ao enviar por push novas imagens de contêiner para o Registro de Contêiner do Azure. As vulnerabilidades encontradas surgirão como recomendações da Central de Segurança e serão incluídas na classificação de segurança, com informações sobre como corrigi-las para reduzir a superfície de ataque permitida.

Padrões adicionais de conformidade regulatória (versão preliminar)

O painel de Conformidade Regulatória mostra informações sobre sua postura de conformidade com base nas avaliações da Central de Segurança. O painel mostra como o seu ambiente está em conformidade com os controles e requisitos designados por padrões regulatórios específicos e benchmarks do setor e fornece recomendações prescritivas sobre como lidar com esses requisitos.

O painel de conformidade regulatória oferece, até o momento, suporte a quatro padrões integrados: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Agora estamos anunciando a versão preliminar de padrões adicionais compatíveis: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official com UK NHS. Também estamos lançando uma versão atualizada do Azure CIS 1.1.0, abrangendo mais controles do padrão e aprimorando a extensibilidade.

Saiba mais sobre como personalizar o conjunto de padrões em seu painel de conformidade regulatória.

Proteção contra ameaças para o Serviço de Kubernetes do Azure (versão preliminar)

O Kubernetes está se tornando rapidamente o novo padrão para implantar e gerenciar software na nuvem. Poucas pessoas têm ampla experiência com Kubernetes e muitos se concentram apenas em engenharia e administração geral e ignoram o aspecto de segurança. O ambiente Kubernetes precisa ser configurado com cuidado para ser seguro, garantindo que nenhuma das portas da superfície de ataque focadas no contêiner seja deixada aberta é exposta para invasores. A Central de Segurança está expandindo seu suporte no espaço do contêiner para um dos serviços de crescimento mais rápido no Azure: AKS (Serviço de Kubernetes do Azure).

Os novos recursos dessa versão preliminar pública incluem:

  • Descoberta visibilidade – descoberta contínua de instâncias do AKS gerenciadas nas assinaturas registradas da Central de Segurança.
  • Recomendações de pontuação segura - itens acionáveis para ajudar os clientes a cumprir as práticas recomendadas de segurança para AKS e aumentar sua pontuação segura. As recomendações incluem itens como o “controle de acesso baseado em função deve ser usado para restringir o acesso a um cluster de serviço Kubernetes”.
  • Detecção de ameaças - análise baseada em cluster e host, como "um contêiner privilegiado detectado".

Avaliação de vulnerabilidades de máquinas virtuais (versão preliminar)

Os aplicativos instalados em máquinas virtuais geralmente podem ter vulnerabilidades que poderiam levar a uma violação da máquina virtual. Estamos anunciando que a camada Standard da Central de Segurança inclui a avaliação integrada de vulnerabilidades para máquinas virtuais sem nenhuma taxa adicional. A avaliação de vulnerabilidade, fornecida pela Qualys na versão preliminar pública, permitirá que você examine continuamente todos os aplicativos instalados em uma máquina virtual para encontrar aplicativos vulneráveis e apresente as descobertas na experiência do portal da Central de Segurança. A Central de Segurança cuida de todas as operações de implantação para que não seja necessário nenhum trabalho extra do usuário. No futuro, estamos planejando fornecer opções de avaliação de vulnerabilidade para dar suporte às necessidades de negócios únicas de nossos clientes.

Saiba mais sobre avaliações de vulnerabilidades para suas máquinas virtuais do Azure.

Segurança de Dados Avançada para o SQL Server em Máquinas Virtuais do Microsoft Azure (versão preliminar)

O suporte da Central de Segurança do Azure para proteção contra ameaças e a avaliação de vulnerabilidade para bancos de dados SQL em execução em VMs de IaaS agora está em versão preliminar.

A Avaliação de vulnerabilidade é um serviço fácil de ser configurado que pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. Ela fornece visibilidade de sua postura de segurança como parte da classificação de segurança e inclui as etapas para resolver problemas de segurança e aprimorar as fortificações de seu banco de dados.

A Proteção Avançada contra Ameaças detecta atividades anômalas, indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar seu SQL Server. Monitora continuamente seu banco de dados em busca de atividades suspeitas e fornece alertas de segurança orientados a ações em padrões anormais de acesso de banco de dados. Esses alertas mostram os detalhes da atividade suspeita e as ações recomendadas para investigar e atenuar a ameaça.

Compatibilidade com políticas personalizadas (versão preliminar)

A Central de Segurança do Azure agora permite políticas personalizadas (em versão preliminar).

Nossos clientes querem estender sua cobertura atual de avaliações de segurança na Central de Segurança com suas próprias avaliações, com base nas políticas que elas criam no Azure Policy. Com o suporte a políticas personalizadas, isso agora é possível.

As políticas personalizadas agora serão parte da experiência de recomendações da Central de Segurança, da Classificação de Segurança e do painel de padrões de conformidade regulatória. Com o suporte a políticas personalizadas, agora você pode criar uma iniciativa personalizada no Azure Policy e, em seguida, adicioná-la como uma política na Central de Segurança e visualizá-la como uma recomendação.

Estender a cobertura da Central de Segurança do Azure com plataforma para comunidade e parceiros

Use a Central de Segurança para receber recomendações não apenas da Microsoft, mas também de soluções existentes de parceiros como Check Point, Tenable e CyberArk, com muito mais integrações chegando. O fluxo de integração simples da Central de Segurança pode conectar suas soluções existentes à Central de Segurança, permitindo que você exiba suas recomendações de postura de segurança em um único lugar, execute relatórios unificados e aproveite todos os recursos da Central de Segurança em relação às recomendações integradas e de parceiros. Você também pode exportar recomendações da Central de Segurança para produtos de parceiros.

Saiba mais sobre a associação de segurança inteligente da Microsoft.

Integrações avançadas com a exportação de recomendações e alertas (versão preliminar)

Para habilitar cenários de nível empresarial na Central de Segurança, agora é possível consumir alertas e recomendações da Central de Segurança em locais adicionais, exceto o portal do Azure ou a API. Eles podem ser exportados diretamente para um hub de eventos e para workspaces do Log Analytics. Aqui estão alguns fluxos de trabalho que você pode criar com base nesses novos recursos:

  • Com a exportação para workspaces do Log Analytics, você pode criar painéis personalizados com o Power BI.
  • Com a exportação para o Hub de Eventos, você pode exportar alertas e recomendações da Central de Segurança para seus SIEMs terceirizados, para uma solução terceirizada ou para o Azure Data Explorer.

Integrar servidores locais à Central de Segurança do Centro de Administração do Windows (versão preliminar)

O Centro de Administração do Windows é um portal de gerenciamento para servidores Windows que não estão implantados no Azure, oferecendo vários recursos de gerenciamento do Azure, como atualizações de sistema e backup. Recentemente, adicionamos um recurso para carregar esses servidores não Azure para serem protegidos pelo Certificado do Serviço de Aplicativo diretamente do Centro de Administração do Windows.

Com essa nova experiência, os usuários poderão integrar um servidor WAC à Central de Segurança do Azure e habilitar a exibição de seus alertas de segurança e recomendações diretamente no Centro de Administração do Windows.

Setembro de 2019

As atualizações de setembro incluem:

Gerenciar regras com aprimoramentos de controles de aplicativos adaptáveis

A experiência de gerenciar regras para máquinas virtuais usando controles de aplicativos adaptáveis foi aprimorada. Os controles de aplicativo adaptáveis da Central de Segurança do Azure ajudam a controlar quais aplicativos podem ser executados em suas máquinas virtuais. Além de uma melhoria geral no gerenciamento de regras, um novo benefício permite que você controle quais tipos de arquivo serão protegidos quando você adicionar uma nova regra.

Saiba mais sobre controles de aplicativo adaptáveis.

Controlar a recomendação de segurança do contêiner usando Azure Policy

A recomendação da Central de Segurança do Azure para corrigir vulnerabilidades em segurança de contêiner agora pode ser habilitada ou desabilitada pelo Azure Policy.

Para exibir as políticas de segurança habilitadas, na Central de Segurança, abra a página Política de Segurança.

Agosto de 2019

As atualizações de agosto incluem:

Acesso à VM just-in-time (JIT) para o Firewall do Azure

O acesso à VM just-in-time (JIT) para o Firewall do Azure já está disponível para o público geral. Use-o para proteger seus ambientes protegidos pelo Firewall do Azure, além de seus ambientes protegidos por grupo de segurança de rede.

O acesso à VM JIT reduz a exposição a ataques volumétricos de rede, fornecendo acesso controlado às VMs somente quando necessário, usando suas regras de grupo de segurança de rede e Firewall do Azure.

Quando você habilita o JIT para suas VMs, cria uma política que determina as portas a serem protegidas, por quanto tempo as portas devem permanecer abertas e os endereços IP aprovados de onde essas portas podem ser acessadas. Essa política ajuda você a manter o controle do que os usuários podem fazer quando solicitam acesso.

As solicitações são registradas no log de atividades do Azure, para que você possa monitorar e auditar facilmente o acesso. A página just-in-time também ajuda a identificar rapidamente as VMs existentes que têm o JIT habilitado e as VMs em que o JIT é recomendado.

Saiba mais sobre o Firewall do Azure.

Correção com um só clique para impulsionar sua postura de segurança (versão preliminar)

A pontuação segura é uma ferramenta que ajuda a avaliar sua postura de segurança de carga de trabalho. Ela analisa suas recomendações de segurança e as prioriza para você, para que você saiba quais recomendações devem ser executadas primeiro. Isso ajuda a encontrar as vulnerabilidades de segurança mais sérias para que você possa priorizar a investigação.

Para simplificar a correção de configurações incorretas de segurança e ajudá-lo a melhorar rapidamente sua classificação de segurança, adicionamos um novo recurso que permite que você corrija uma recomendação em uma grande quantidade de recursos com um único clique.

Essa operação permitirá selecionar os recursos para os quais você deseja aplicar a correção e iniciar uma ação de correção que definirá a configuração em seu nome.

Veja quais recomendações têm Correção Rápida habilitada no guia de referência para recomendações de segurança.

Gerenciamento entre locatários

A Central de Segurança agora dá suporte a cenários de gerenciamento entre locatários como parte do Azure Lighthouse. Isso permite que você tenha visibilidade e gerencie a postura de segurança de vários locatários na Central de Segurança.

Saiba mais sobre as experiências de gerenciamento entre locatários.

Julho de 2019

Atualizações das recomendações de rede

A Central de Segurança do Azure (ASC) lançou novas recomendações de rede e melhorou algumas delas. Agora, o uso da Central de Segurança garante uma proteção de rede ainda maior para seus recursos.

Saiba mais sobre as recomendações de rede.

Junho de 2019

Proteção de rede adaptável: em disponibilidade geral

Uma das maiores superfícies de ataque para cargas de trabalho executadas na nuvem pública são as conexões de e para a Internet pública. Nossos clientes acham difícil saber quais regras do Grupo de Segurança de Rede (NSG) devem estar em vigor para garantir que as cargas de trabalho do Azure estejam disponíveis apenas para os intervalos de origem necessários. Com esse recurso, a Central de Segurança aprende o tráfego de rede e os padrões de conectividade das cargas de trabalho do Azure e mostra as recomendações de regras do grupo de segurança de rede para máquinas virtuais voltadas para a Internet. Isso ajuda nossos clientes a configurar melhor suas políticas de acesso à rede e limitar sua exposição a ataques.

Saiba mais sobre a proteção de rede adaptável.